Фишеры обманывают защиту Microsoft Office 365 с помощью техники ZeroFont
20.06.2018
Специалисты компании Avanan, специализирующейся на безопасности облачных решений, предупреждают, что фишеры научились обманывать защитные механизмы Office 365. Спам обходит фильтры и попадает в ящики пользователей благодаря использованию техники ZeroFont.
Сама по себе методика ZeroFont вовсе не нова, киберпреступники придумали ее много лет назад. Суть такой атаки заключается в использовании символов нулевого размера, чтобы спрятать невидимый человеческому глазу текст в обычном с виду письме. К примеру: < span style="FONT-SIZE: 0px" >Скрытый с помощью ZeroFont текст < /span >. В итоге для защитного решения текст письма должен выглядеть безобидным блоком из ничего не значащих символов, а для человека послание с виду будет совершенно обычным.
Так как этот метод известен уже много лет, как правило, защитные решения без труда обнаруживают письма с символами нулевой величины и помечают их как подозрительные. Однако аналитики Avanan пишут, что платформа Microsoft Office 365 по какой-то причине не видит в подобных посланиях ничего предосудительного.
Скорее всего, проблема в том, что антифишинговая защита Office 365 полагается, в том числе, на понимание и обработку естественного языка и именно так выявляет мошеннические или вредоносные письма. К примеру, подозрительными будут признаны письма, содержащие слова "Apple" или "Microsoft", но отправленные не с легитимных доменов, а также упоминающие учетную запись пользователя, сброс пароля или финансовые операции.
В итоге использование ZeroFont позволяет преступникам сбивать защитные механизмы с толку, маскируя определенные слова множеством "невидимых" мусорных символов. Так, в приведенном ниже примере спрятано упоминание Microsoft.
Специалисты Avanan предупредили, что о неожиданной эффективности ZeroFont уже известно киберпреступникам, которые применяют данную технику наряду с использованием Punycode, Unicode и шестнадцатеричными escape-последовательностями.
