Ukryty tekst w wiadomościach e-mail: jak cyberprzestępcy omijają systemy wykrywania zagrożeń
W miarę jak cyberprzestępcy nieustannie rozwijają swoje techniki, aby omijać tradycyjne zabezpieczenia, pojawia się coraz więcej wyrafinowanych metod, które stanowią zagrożenie dla organizacji na całym świecie. Jedną z technik jest wykorzystanie ukrytego tekstu w wiadomościach e-mail (ang. hidden text salting), określane również jako zatruwanie. Technika w skuteczny sposób umożliwia obejście filtrów antyspamowych oraz systemów wykrywających złośliwe wiadomości.
W drugiej połowie 2024 roku eksperci z Cisco Talos zaobserwowali gwałtowny wzrost liczby ataków opartych na tej metodzie, co stanowi poważne wyzwanie dla firm, które stawiają na bezpieczeństwo poczty elektronicznej. W efekcie rośnie liczba udanych ataków phishingowych oraz infekcji złośliwym oprogramowaniem, które mogą prowadzić do poważnych strat finansowych i wycieku danych.
Czym jest hidden text salting?
Hidden text salting to prosta, ale skuteczna technika, która umożliwia obejście parserów e-mailowych, mylenie filtrów antyspamowych oraz unikanie systemów wykrywania zagrożeń opartych na słowach kluczowych. Polega ona na dodaniu do źródła HTML wiadomości znaków, które nie są widoczne gołym okiem.
W tej metodzie wykorzystywane są elementy języka HTML (Hypertext Markup Language) oraz CSS (Cascading Style Sheets) do dodawania komentarzy i treści, które nie są widoczne dla ofiary po wyświetleniu wiadomości, ale mogą wpłynąć na skuteczność systemów detekcji zagrożeń.
Niewidoczne dla oka, groźne dla systemów
Dzięki technice Hidden text salting oszuści mogą ukrywać podejrzane słowa lub linki, które normalnie zostałyby zablokowane przez filtry. E-maile wydają się bezpieczne i wiarygodne, podczas gdy w rzeczywistości mogą zawierać złośliwe treści, np. linki phishingowe. Dodatkowo, technika ta może mylić systemy wykrywania języka.
W jednym z przypadków przeanalizowanych przez Cisco Talos phishingowy e-mail podszywał się pod znaną markę. Na pierwszy rzut oka wiadomość była napisana po angielsku, jednak analiza nagłówków ujawniła, że oryginalnie była sporządzona w języku francuskim. Informacja ta była ukryta w polu "LANG" nagłówka antyspamowego X-Forefront-Antispam-Report firmy Microsoft. Hidden text salting skutecznie zmylił mechanizmy wykrywania języka, co pozwoliło ominąć filtry antyspamowe opierające się na tej funkcjonalności.
Hidden text salting i HTML smuggling
Zdaniem ekspertów Cisco Talos, technika trucia jest również wykorzystywana w ramach HTML smuggling — metody pozwalającej na ukryte umieszczanie złośliwego kodu w e-mailu lub na stronie internetowej. Kod ten jest składany i wykonywany dopiero po stronie odbiorcy, co pozwala cyberprzestępcom ominąć standardowe zabezpieczenia.
W przypadku HTML smuggling atakujący wprowadzają nieistotne komentarze między znakami zakodowanymi w Base64. To utrudnia parserom analizę plików załączników, przez co systemy zabezpieczające mogą niepoprawnie przetwarzać dane i nie wykryć zagrożenia.
Jak się bronić?
Żeby zwiększyć poziom bezpieczeństwa, kluczowe jest wdrożenie odpowiednich strategii wykrywania i przeciwdziałania:
Zaawansowane techniki filtrowania — nowoczesne systemy mogą analizować użycie właściwości CSS, takich jak visibility i display, oraz wykrywać nadmierne użycie stylów inline lub nietypowe zagnieżdżenia elementów HTML.
Analiza wizualna — monitorowanie nietypowego formatowania i ukrytych elementów wizualnych pozwala zidentyfikować próby obejścia filtrów tekstowych.
„Wdrożenie zaawansowanych technik filtrowania oraz monitorowanie nietypowego formatowania i ukrytych elementów wizualnych pozwala skutecznie zidentyfikować próby obejścia filtrów tekstowych. W połączeniu z regularnym aktualizowaniem systemów ochrony oraz monitorowaniem podejrzanych aktywności, można znacznie zmniejszyć ryzyko związane z tą metodą ataków. Stanowi to istotny element w utrzymaniu bezpieczeństwa poczty elektronicznej i ochrony przed phishingiem” – radzą eksperci Cisco Talos.
