Inne

Ukryty text w wiadomościach e-mail: jak cyberprzestępcy omijają systemy wykrywania zagrożeń

Cyberprzestępcy nieustannie doskonalą swoje metody, by przechytrzyć systemy bezpieczeństwa. Jedną z najnowszych technik stosowanych w atakach phishingowych jest hidden text salting, czyli zatruwanie treści wiadomości poprzez ukryty tekst. Metoda ta pozwala skutecznie omijać filtry antyspamowe i systemy wykrywające złośliwe wiadomości, co stwarza poważne zagrożenie dla organizacji na całym świecie.

W drugiej połowie 2024 roku eksperci z Cisco Talos zauważyli gwałtowny wzrost wykorzystania tej techniki w kampaniach phishingowych. Coraz więcej ataków kończy się powodzeniem, prowadząc do kradzieży danych, infekcji złośliwym oprogramowaniem i strat finansowych.

Czym jest hidden text salting?

Hidden text salting to prosta, ale niezwykle skuteczna metoda pozwalająca na omijanie mechanizmów analizy treści e-maili. Technika ta polega na dodaniu niewidocznych znaków do kodu HTML wiadomości, co pozwala oszukać algorytmy filtrujące.

Cyberprzestępcy wykorzystują język HTML i CSS, by ukrywać podejrzane słowa, linki oraz złośliwe treści. Dzięki temu ich wiadomości nie są oznaczane jako niebezpieczne, mimo że zawierają szkodliwe treści. Wśród stosowanych technik można wyróżnić:

  • Dodawanie niewidocznych znaków przy użyciu stylów CSS (np. display: none, opacity: 0);
  • Wstawianie komentarzy HTML dzielących kluczowe słowa, aby uniemożliwić ich wykrycie;
  • Manipulowanie nagłówkami e-maili w celu zmiany języka wiadomości i uniknięcia analizy treści.

Ukryte zagrożenie dla systemów bezpieczeństwa

Dzięki hidden text salting oszuści mogą skutecznie ukrywać linki phishingowe i inne złośliwe elementy. Przykładowo, e-mail wydaje się bezpieczny dla odbiorcy i systemów ochronnych, choć w rzeczywistości prowadzi do niebezpiecznej strony internetowej.

W jednym z przypadków analizowanych przez Cisco Talos phishingowa wiadomość podszywała się pod znaną firmę. Choć treść była napisana po angielsku, nagłówki techniczne wskazywały, że oryginalnie była w języku francuskim. Oszuści użyli pola „LANG” w nagłówku antyspamowym X-Forefront-Antispam-Report firmy Microsoft, by zmylić filtry antyspamowe. Technika ta sprawiła, że system nie wykrył podejrzanej wiadomości.

Hidden text salting i HTML smuggling – groźna kombinacja

Eksperci Cisco Talos ostrzegają, że hidden text salting często łączy się z inną zaawansowaną techniką ataków – HTML smuggling. Ta metoda pozwala oszustom ukrywać złośliwy kod w wiadomościach e-mail lub na stronach internetowych. Kod jest składany i wykonywany dopiero po stronie odbiorcy, co pozwala cyberprzestępcom omijać systemy zabezpieczeń.

W przypadku HTML smuggling atakujący umieszczają zakodowane w Base64 fragmenty plików w treści e-maila. Filtry antywirusowe nie są w stanie ich przeanalizować, ponieważ kod jest dekodowany dopiero po otwarciu wiadomości przez użytkownika.

Jak się bronić?

Aby skutecznie chronić się przed tego typu zagrożeniami, organizacje muszą wdrożyć zaawansowane strategie wykrywania i przeciwdziałania. Oto kilka kluczowych rozwiązań:

  1. Zaawansowane techniki filtrowania – systemy powinny analizować właściwości CSS, takie jak visibility i display, oraz wykrywać nietypowe zagnieżdżenia elementów HTML. Pozwoli to na identyfikację ukrytego tekstu w e-mailach.
  2. Analiza wizualna – monitorowanie nietypowego formatowania i obecności ukrytych elementów pozwala wychwycić próby obejścia filtrów tekstowych.
  3. Regularne aktualizowanie systemów ochrony – konieczne jest ciągłe dostosowywanie filtrów antyspamowych do nowych metod ataków stosowanych przez cyberprzestępców.
  4. Świadomość użytkowników – edukacja pracowników na temat zagrożeń związanych z phishingiem i hidden text salting zwiększa szanse na rozpoznanie podejrzanych e-maili.
  5. Monitorowanie podejrzanych aktywności – analiza nietypowych wzorców ruchu poczty elektronicznej może ujawnić aktywność cyberprzestępców.

Podsumowanie

Cyberprzestępcy stale poszukują nowych sposobów na obejście systemów zabezpieczeń, a hidden text salting to jedna z najbardziej podstępnych metod. Wykorzystanie ukrytego tekstu i manipulacja kodem HTML umożliwiają omijanie filtrów antyspamowych oraz systemów wykrywania zagrożeń.

Wdrożenie zaawansowanych technik filtrowania oraz monitorowanie nietypowego formatowania i ukrytych elementów wizualnych pozwala skutecznie zidentyfikować próby obejścia filtrów tekstowych. W połączeniu z regularnym aktualizowaniem systemów ochrony oraz monitorowaniem podejrzanych aktywności można znacznie zmniejszyć ryzyko związane z tą metodą ataków” – radzą eksperci Cisco Talos.

Dbanie o bezpieczeństwo poczty elektronicznej i edukacja użytkowników to kluczowe kroki w ochronie przed nowoczesnymi cyberzagrożeniami.