Підступна тактика нульового шрифту в фішингових атаках
Основні моменти
- Тактика з нульовим шрифтом використовує невидимий для ока текст, щоб оминути спам-фільтри та обдурити системи електронної пошти. Це дозволяє зловмисникам обходити захист та вводити в оману користувачів.
- Додавання великої кількості непотрібного тексту, встановленого у нульовий розмір шрифту, допомагає замаскувати спам-повідомлення. Зловмисники, таким чином, можуть імітувати легітимні організації, не викликаючи підозр.
- Невидимий текст може створювати помилкове враження про безпеку, показуючи фальшиві результати антивірусного сканування у попередньому перегляді електронних листів. Тому важливо бути пильними та обережними щодо підозрілих листів.
З розвитком кібербезпеки у постачальників послуг електронної пошти, зловмисники також вдосконалюють свої методи обходу цих захисних механізмів. Одним із таких методів є тактика нульового шрифту. Вона полягає у маніпулюванні шрифтами електронних листів, щоб вони проникали через спам-фільтри прямо у вашу папку “Вхідні”.
Розглянемо детальніше, що собою являє ця тактика, як вона працює та як ви можете захистити себе від неї.
Що таке тактика нульового шрифту у фішингових листах?
Тактика нульового шрифту – це хитрість, яку використовують зловмисники, щоб збільшити шанси, що ваш поштовий сервіс не ідентифікує їхні листи як спам. Вони досягають цього, додаючи текст до листа і встановлюючи для нього розмір шрифту 0.
Коли розмір шрифту встановлено на 0, текст стає невидимим. Це означає, що користувач, який читає лист, де застосовується ця тактика, не бачить цього тексту.
Однак, цей текст все ще присутній в HTML-коді, який формує електронний лист. Оскільки поштовий сервіс використовує HTML для відображення листів, він може “прочитати” цей невидимий текст, навіть якщо ви його не бачите.
Який сенс використовувати невидимий текст в електронних листах?
Може здаватися дивним, що зловмисники додають текст, який ви не можете прочитати. Проте, цей текст призначений для “прочитання” програмою електронної пошти, а не вами.
Існує два основних способи, як зловмисники можуть використовувати невидимий текст для маніпуляцій:
- Обхід виявлення спаму.
- Створення фальшивих результатів антивірусного сканування.
1. Як невидимий текст обманює системи виявлення спаму
Чи задумувалися ви, як ваш поштовий сервіс визначає, які листи є легітимними, а які – спамом? Це складний процес, який включає багато технологій, але один із простих методів – аналіз тексту листа. Якщо він містить підозрілий або шахрайський вміст, лист блокується.
Тактика нульового шрифту дозволяє обійти ці сканування, додаючи до листа велику кількість “сміттєвого тексту”. Це захаращує сканування. Відомий випадок 2018 року, про який повідомляє Avanan, продемонстрував, як цей метод був використаний для обходу безпеки Office 365.
У цьому випадку зловмисник хотів видати себе за Microsoft. Він знав, що якщо почне підписувати листи як Microsoft, системи виявлення шахрайства спрацюють. Щоб обійти це, він додав багато випадкового невидимого тексту між важливими словами в листі.
Наприклад, коли шахраї стверджували, що вони з “Microsoft Corporation”, вони розділили слова “Microsoft” і “Corporation” великою кількістю непотрібного тексту з розміром шрифту 0.
В результаті, коли поштовий сервіс сканував HTML-код листа, він не бачив фразу “Microsoft Corporation”. Натомість, він бачив багато хаотичних літер, які не несли жодного сенсу. Коли ж цей текст відображався для читача, невидимий текст зникав, показуючи лише слова “Microsoft Corporation”.
2. Як невидимий текст створює фальшиві результати антивірусного сканування
Інший метод використовує невидимий текст для додавання слів у попередній перегляд листа. Зазвичай, у папці “Вхідні” відображається відправник, тема та початок тексту листа.
Оскільки цей попередній перегляд створюється за допомогою HTML-коду, хакери можуть додати невидимий текст на початку листа, який буде відображатися у попередньому перегляді. Однак, коли жертва відкриває лист, цей текст зникає.
Про один із таких випадків повідомлялося на SANS Internet Storm Center. У цьому випадку шахраї додали підроблений результат антивірусної перевірки у верхній частині листа, використовуючи невидимий текст.
Коли лист потрапляв у папку “Вхідні”, у попередньому перегляді відображався фальшивий результат сканування, створюючи у жертви відчуття безпеки. Вважалося, що посилання в листі перевірено і не є шкідливим. Коли ж жертва відкривала лист, невидимий текст зникав, залишаючи лише рекламу шахрая.
Як уникнути атак з використанням нульового шрифту
На щастя, хоча атаки з використанням нульового шрифту можуть здаватися складними, насправді це лише спосіб обдурити спам-фільтри та читачів. Основний спосіб захиститися від таких атак – це дотримуватися основних правил кібербезпеки під час роботи з електронною поштою.
Завжди звертайте увагу на ознаки фішингу. Ознайомтеся з прикладами шахрайських листів. Пам’ятайте, що навіть якщо лист потрапив у вашу папку “Вхідні” і стверджує, що він перевірений на віруси, це не означає, що він безпечний для натискання. Будьте уважні, і ви зможете розпізнати шахрайський лист у своїй пошті.
Захистіть себе від тактики нульового шрифту
Тактика нульового шрифту є підступною, але найкращий спосіб захистити себе від неї та інших шахрайських листів – це залишатися пильними і критично ставитися до всього, що ви бачите в своїй електронній пошті.