Przestępcy wykorzystują Unicode i HTML do wprowadzania w błąd filtrów antyphishingowych

Cyberprzestępców powiększyli swój arsenał. Tym razem sięgnęli po sztuczki z HTML/CSS oraz Unicode i w efekcie całkiem skutecznie omijają narzędzia blokujące podejrzane wiadomości.

Można więc śmiało powiedzieć, że w tym roku zetknęliśmy się już z kilkoma innowacyjnymi technikami phishingu.

Niektórzy przestępcy ukrywają tekst dzięki czcionce o wielkości 0px. Inni umieszczają niewidoczne znaki pomiędzy właściwymi literami wiadomości. Dzięki temu treść „hasło wygasło” lub „Office 365” pozytywnie przechodzi analizę filtrów. Jeszcze inni za to wykorzystują swoją wiedzę z zakresu HTML, CSS i Unicode do ukrywania wiadomości phishingowych w wyjątkowo sprytny sposób.

Jedna z nowych technik wykorzystuje „miękki łącznik” Unicode, znany również jako „łącznik sylaby”. Podczas składu służy do informowania modułu renderującego, gdzie bezpiecznie przerwać wiersz i wstawić widoczny łącznik. Miękki łącznik jest zwykle wyświetlany jako niewidoczny. W takiej sytuacji narzędzie bezpieczeństwa szukając frazy„zmień swoje hasło”, nie da żadnych wyników. To dlatego, że atakujący zapisali je w rzeczywistości w takiej postaci: „z-m-i-e-ń -s-w-o-j-e -h-a-s-ł-o-”. Skanery nie są konfigurowane do wyszukiwania tego typu treści, więc mogą nie zgłaszać żadnych ostrzeżeń.

Następny przykład. Atakujący wpisuje „Office 365” z użyciem tagu HTML <font>, aby sprawiało wrażenie że użytkownik ma do czynienia z logotypem. Ludzie często rejestrują tekst w wiadomościach phishingowych jako logo. Więc jest to kolejna taktyka, która się sprawdza.

Atakujący używali również ustawienia „display: none”, elementu CSS, który mówi przeglądarce, aby renderowała tekst jako niewidoczny. W jednej z kampanii atakujący wykorzystał tę sztuczkę, aby ukryć powtarzający się tekst „40008” między słowami frazy „haslodlauzytkownika