Ukryty text w wiadomościach e-mail: jak cyberprzestępcy omijają systemy wykrywania zagrożeń
Cyberprzestępcy nieustannie doskonalą swoje metody, by przechytrzyć systemy bezpieczeństwa. Jedną z najnowszych technik stosowanych w atakach phishingowych jest hidden text salting, czyli zatruwanie treści wiadomości poprzez ukryty tekst. Metoda ta pozwala skutecznie omijać filtry antyspamowe i systemy wykrywające złośliwe wiadomości, co stwarza poważne zagrożenie dla organizacji na całym świecie.
W drugiej połowie 2024 roku eksperci z Cisco Talos zauważyli gwałtowny wzrost wykorzystania tej techniki w kampaniach phishingowych. Coraz więcej ataków kończy się powodzeniem, prowadząc do kradzieży danych, infekcji złośliwym oprogramowaniem i strat finansowych.
Czym jest hidden text salting?
Hidden text salting to prosta, ale niezwykle skuteczna metoda pozwalająca na omijanie mechanizmów analizy treści e-maili. Technika ta polega na dodaniu niewidocznych znaków do kodu HTML wiadomości, co pozwala oszukać algorytmy filtrujące.
Cyberprzestępcy wykorzystują język HTML i CSS, by ukrywać podejrzane słowa, linki oraz złośliwe treści. Dzięki temu ich wiadomości nie są oznaczane jako niebezpieczne, mimo że zawierają szkodliwe treści. Wśród stosowanych technik można wyróżnić:
- Dodawanie niewidocznych znaków przy użyciu stylów CSS (np.
display: none
,opacity: 0
); - Wstawianie komentarzy HTML dzielących kluczowe słowa, aby uniemożliwić ich wykrycie;
- Manipulowanie nagłówkami e-maili w celu zmiany języka wiadomości i uniknięcia analizy treści.
Ukryte zagrożenie dla systemów bezpieczeństwa
Dzięki hidden text salting oszuści mogą skutecznie ukrywać linki phishingowe i inne złośliwe elementy. Przykładowo, e-mail wydaje się bezpieczny dla odbiorcy i systemów ochronnych, choć w rzeczywistości prowadzi do niebezpiecznej strony internetowej.
W jednym z przypadków analizowanych przez Cisco Talos phishingowa wiadomość podszywała się pod znaną firmę. Choć treść była napisana po angielsku, nagłówki techniczne wskazywały, że oryginalnie była w języku francuskim. Oszuści użyli pola „LANG” w nagłówku antyspamowym X-Forefront-Antispam-Report firmy Microsoft, by zmylić filtry antyspamowe. Technika ta sprawiła, że system nie wykrył podejrzanej wiadomości.
Hidden text salting i HTML smuggling – groźna kombinacja
Eksperci Cisco Talos ostrzegają, że hidden text salting często łączy się z inną zaawansowaną techniką ataków – HTML smuggling. Ta metoda pozwala oszustom ukrywać złośliwy kod w wiadomościach e-mail lub na stronach internetowych. Kod jest składany i wykonywany dopiero po stronie odbiorcy, co pozwala cyberprzestępcom omijać systemy zabezpieczeń.
W przypadku HTML smuggling atakujący umieszczają zakodowane w Base64 fragmenty plików w treści e-maila. Filtry antywirusowe nie są w stanie ich przeanalizować, ponieważ kod jest dekodowany dopiero po otwarciu wiadomości przez użytkownika.
Jak się bronić?
Aby skutecznie chronić się przed tego typu zagrożeniami, organizacje muszą wdrożyć zaawansowane strategie wykrywania i przeciwdziałania. Oto kilka kluczowych rozwiązań:
- Zaawansowane techniki filtrowania – systemy powinny analizować właściwości CSS, takie jak
visibility
idisplay
, oraz wykrywać nietypowe zagnieżdżenia elementów HTML. Pozwoli to na identyfikację ukrytego tekstu w e-mailach. - Analiza wizualna – monitorowanie nietypowego formatowania i obecności ukrytych elementów pozwala wychwycić próby obejścia filtrów tekstowych.
- Regularne aktualizowanie systemów ochrony – konieczne jest ciągłe dostosowywanie filtrów antyspamowych do nowych metod ataków stosowanych przez cyberprzestępców.
- Świadomość użytkowników – edukacja pracowników na temat zagrożeń związanych z phishingiem i hidden text salting zwiększa szanse na rozpoznanie podejrzanych e-maili.
- Monitorowanie podejrzanych aktywności – analiza nietypowych wzorców ruchu poczty elektronicznej może ujawnić aktywność cyberprzestępców.
Podsumowanie
Cyberprzestępcy stale poszukują nowych sposobów na obejście systemów zabezpieczeń, a hidden text salting to jedna z najbardziej podstępnych metod. Wykorzystanie ukrytego tekstu i manipulacja kodem HTML umożliwiają omijanie filtrów antyspamowych oraz systemów wykrywania zagrożeń.
„Wdrożenie zaawansowanych technik filtrowania oraz monitorowanie nietypowego formatowania i ukrytych elementów wizualnych pozwala skutecznie zidentyfikować próby obejścia filtrów tekstowych. W połączeniu z regularnym aktualizowaniem systemów ochrony oraz monitorowaniem podejrzanych aktywności można znacznie zmniejszyć ryzyko związane z tą metodą ataków” – radzą eksperci Cisco Talos.
Dbanie o bezpieczeństwo poczty elektronicznej i edukacja użytkowników to kluczowe kroki w ochronie przed nowoczesnymi cyberzagrożeniami.