Le campagne di phishing continuano ad essere tra i principali vettori di attacco, e sebbene le aziende di sicurezza sviluppino sistemi per la loro individuazione, gruppi criminali propongono nuove tecniche in grado di bypassare anche sofisticati meccanismi di difesa.
La tecnica di cui phishing di parlo oggi si chiama ZeroFont e prevede la manipolazione delle dimensioni dei caratteri all’interni dei messaggi di posta elettronica per aggirare le protezioni implementate da Microsoft Office 365.
La tecnica è nota da tempo, ma a ricordarci del problema sono stato gli esperti di sicurezza dell’azienda Avanan.
Come riconoscere il phishing
Uno dei principali meccanismi di rilevamento di e-mail di phishing implementato da Office 365 prevede l’elaborazione naturale del linguaggio per identificare contenuti delle mail tipicamente utilizzati nelle e-mail malevoli.
Ad esempio, un’e-mail che include le parole “Apple” o “Microsoft” che non sia stata inviata da un dominio legittimo associato a queste aziende, oppure un messaggio che fa riferimento ad account utente, reimpostazione di password o qualunque richiesta finanziaria è contrassegnata come potenzialmente malevola.
Gli esperti di Avanan hanno scoperto alcune campagne di phishing che utilizzano e-mail i cui contenuti presentano caratteri di dimensione zero, e quindi non sono visibili. Il trucco è possibile utilizzando la sintassi <span style = “FONT-SIZE: 0px”>, per questo motivo la tecnica è stata denominata ZeroFont .
“Recentemente, abbiamo assistito a una serie di attacchi di phishing che utilizzano una semplice tecnica per eludere le scansioni anti-phishing implementate da Microsoft. La tecnica, denominata ZeroFont, implica l’inserimento di parole nascoste con una dimensione del font pari a zero, che sono quindi invisibili al destinatario, al fine di ingannare l’elaborazione del linguaggio naturale da parte di Microsoft”. Si legge nell’analisi pubblicata da Avanan.
Come riesce ZeroFont ad aggirare il sistema
Il contenuto che appare al destinatario è quello classico di una mail di phishing, tuttavia la stessa mail appare legittima ai filtri di Microsoft che sono in grado di analizzare anche il testo con una dimensione del carattere “0”.
Il testo infatti è inserito in modo da poter rendere un testo di phishing non malevolo agli occhi del sistema di scansione, ad esempio immaginando una campagna di phishing contro utenti Apple si potrebbe inserire nel testo dei caratteri a dimensione zero per trasformare la parola Apple in Applicabile. Il testo in grassetto quindi verrebbe visualizzato sono dal filtro ma non dall’utente e quindi passerebbe il meccanismo anti-phishing se basato unicamente sull’analisi del linguaggio.
Riassumendo, mentre l’utente vede un classico contenuto di phishing come questo:
Il filtro di Microsoft vedrà il testo completo comprensivo di quelle parole scritte con l’attributo “FONT-SIZE: 0px”. Questo testo, ovviamente, non appare come un contenuto dannoso:
“Microsoft non può identificare il messaggio come fraudolento perchè non può vedere la parola” Microsoft “nella versione non completa. In sostanza, l’attacco ZeroFont consente di visualizzare un messaggio per i filtri anti-phishing e un altro per l’utente finale “, ha detto Yan Nathaniel di Avanan in un post sul blog.
L’elaborazione del linguaggio naturale è essenziale per prevenire gli attacchi di phishing, ma una tecnica come ZeroFont ha dimostrato che gli attaccanti possono bypassare i filtri con un trucco.
In passato, sono state escogitate altre tecniche molto astute per aggirare i filtri anti-phishing, solo per citarne alcune, l’attacco Punycode, l’attacco, l’attacco Unicode, e l’attacco Hexadecimal Escape Characters.
Alla prossima, e diffidate di qualunque mail a carattere di urgenza che vi giunge improvvisa, anche se da un vostro contatto diretto, in quest’ultimo caso contattatelo attraverso un altro canale come quello telefonico.
Piccole attenzioni potrebbero evitare che voi e le vostre imprese siate vittima di un attacco di phishing.
