Бесплатно Экспресс-аудит сайта:

28.09.2023

Буквы-призраки помогут хакерам пробраться в вашу электронную почту

Хакеры разработали новый метод обхода систем безопасности в электронной почте — письма со шрифтом нулевого размера. Они позволяют маскировать злонамеренные сообщения под безопасные, уже проверенные алгоритмами Microsoft Outlook .

Хотя метод ZeroFont уже использовался в разных фишинговых кампаниях, это первый задокументированный случай.

Изначально тактику описала компания Avanan в 2018 году. В систему защиты электронной почты внедрен искусственный интеллект для анализа текста. Оказывается, его довольно просто обмануть.

Хакеры добавляют в письма слова или символы с нулевым размером шрифта, делая их невидимыми для человека. Однако для компьютерных алгоритмов этот текст остается читаемым.

В 2018 году исследователи отмечали, что ZeroFont может обойти защиту Microsoft’s Office 365 Advanced Threat Protection (ATP), даже если в сообщении присутствуют известные вредоносные метки.

Недавно аналитик ISC Sans, Ян Коприва, обнаружил фишинговое письмо, в котором хакеры применяют метод ZeroFont для манипуляций со строкой предварительного просмотра. Outlook отображал один текст в общем списке входящих и другой — в самом теле.


Коприва продемонстрировал , как превью «Проверено и защищено Isc®Advanced Threat Protection (APT): 9/22/2023 6:42 AM» исчезает при открытии сообщения. На его месте остается заголовок «Предложение работы | Возможность трудоустройства».

Таким образом, ZeroFont скрывает ложную пометку о проверке безопасности в начале текста. Несмотря на то, что оно невидимо для получателя, Outlook все равно его «захватывает» и отображает в режиме превью.

Цель хакеров — внушить адресату ложное чувство безопасности. Вероятность того, что человек откроет и прочитает письмо с такой пометкой увеличивается.

Outlook, вероятно, не единственный почтовый сервис, который в предпросмотре показывает начальный текст письма, даже если он написан невидимым шрифтом нулевого размера. Это можно считать опасной уязвимостью, поэтому пользователи других программ должны быть настороже.