Filtry poczty e-mail wykorzystane w ataku phishing’owym Business Email Compromise (BEC)

Nowa kampania kompromitacji biznesowej przy użyciu poczty e-mail (BEC) skierowana na użytkowników platformy Microsoft 365 wykorzystuje szereg wyrafinowanych taktyk tzw. zaciemniania wiadomości phishingowych, które mogą oszukać filtry przetwarzania języka naturalnego i są niewykrywalne dla użytkowników końcowych.

Badacze z Avanan, firmy CheckPoint, po raz pierwszy odkryli kampanię – nazwaną One Font ze względu na sposób, w jaki ukrywa ona tekst w jednopunktowej czcionce w wiadomościach – miało to miejsce we wrześniu br.

Atakujący ukrywają również linki w kaskadowych arkuszach stylów (CSS) w wiadomościach phishingowych: kolejna taktyka, która służy zmyleniu filtrów języka naturalnego, takich jak przetwarzanie (NLP) firmy Microsoft. Kampania One Font obejmuje również wiadomości z linkami zakodowanymi w tagu <font>, które – w połączeniu z innymi technikami zaciemniania – niweczą skuteczność filtrów poczty e-mail, których analiza opiera się na języku naturalnym, według Jeremy’ego Fuchsa, badacza cyberbezpieczeństwa w firmie Avanan.

„To łamie analizę semantyczną, która prowadzi do tego, że wiele rozwiązań traktuje je jako e-mail marketingowy, w przeciwieństwie do phishingu” – napisał Fuchs. „Filtry języka naturalnego widzą losowy tekst; czytelnicy widzą to, co napastnicy chcą, aby zobaczyli”.

Ostatnia kampania jest podobna do tej, którą odkryli badacze Avanan w 2018 roku, nazwanej ZeroFont, która zastosowała podobną taktykę, aby ominąć Microsoft NLP w swoich zabezpieczeniach Office 365. Kampania ta umieszczała w wiadomościach ukryty tekst z czcionką zerową, aby uruchomić skanery poczty e-mail, które wykorzystują język naturalny w celu wyeliminowania złośliwych wiadomości e-mail.

Podobnie jak ta kampania, One Font jest również skierowany na organizacje używające Office 365, może to prowadzić do BEC i ostatecznie zagrozić sieci korporacyjnej, jeśli wiadomości nie zostaną oznaczone, a użytkownicy zostaną oszukani, aby podali swoje dane uwierzytelniające, stwierdzili naukowcy.

Wyrafinowanie zaciemniania
Rzeczywiście, od czasu kampanii ZeroFont cyberprzestępcy stali się coraz bardziej wyrafinowani w swoich taktykach, aby przemykać się przez NLP używane w powszechnych filtrach poczty e-mail, twierdzą naukowcy. Inne techniki, które zaobserwowali badacze z Avanan, obejmują taktyki przekierowań, takie jak meta-odświeżanie, które może zakłócać NLP i omijać Microsoft SafeLinks.

Po dotarciu do skrzynek odbiorczych, które wyglądają na wiarygodną wiadomość, kampania One Font wykorzystuje typowe taktyki phishingu związane z inżynierią społeczną, aby zwrócić uwagę ludzi. Atakujący przedstawiają coś, co wygląda jak powiadomienie o wygaśnięciu hasła, używając pilnych wiadomości, chcąc nakłonić potencjalną ofiarę do kliknięcia w złośliwe łącze. Link ten przenosi ich na stronę phishingową, na której użytkowniki wydaje się, że wprowadza swoje dane uwierzytelniające, aby mógł zmienić swoje hasło. Zamiast tego cyberprzestępcy kradną ich dane uwierzytelniające, aby wykorzystać je do innych działań cyberprzestępczych – twierdzą naukowcy.

W swoim poście naukowcy wykazali, w jaki sposób określone wiadomości phishingowe wykorzystywały kombinację taktyk – w szczególności linki ukryte w CSS i linki prześlizgujące się w tagu <font>, a następnie zmniejszane do zera – które razem myliły filtry języka naturalnego.

Fuchs zauważył, że techniki maskowania są niewidoczne dla użytkownika końcowego, oznaczanie takich wiadomości jako złośliwych może być trudne. Aby uniknąć prześlizgnięcia się tych wiadomości przez filtry, naukowcy zalecają organizacjom korzystanie z wielopoziomowego rozwiązania bezpieczeństwa, które łączy zaawansowaną sztuczną inteligencję i uczenie maszynowe, a także warstwy statyczne, takie jak reputacja domeny i nadawcy.

Korzystanie z architektury bezpieczeństwa, która opiera się na więcej niż jednym czynniku do blokowania wiadomości e-mail i wymaga od użytkowników korporacyjnych potwierdzenia w dziale IT przed jakąkolwiek próbą kliknięcia w link wiadomości e-mail z prośbą o zmianę hasła, może również służyć do ograniczania ataków, napisał Fuchs.