Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry
Ke stávajícím úžasným technikám jako je Punycode, Ropemaker, nám přibyla další, tzv. ZeroFont.
Je neuvěřitelné, jak jsou tyhle staronové techniky účinné a jak jsou stávající řešení na detekci podvodných e-mailů bezbranné.
Tentokrát je to ještě jednodušší, stačí použít párový in-line HTML element SPAN umožňující použít obecné atributy. Nás bude zajímat především atribut STYLE, pomocí kterého lze předefinovat výslednou podobu textu.
Vlastnost FONT-SIZE umožňuje definovat velikost písma. Ta pokud je rovna nule způsobí, že daný text není, jaké to překvapení, jednoduše vidět. Ve výsledku pak dojde k tomu, že příjemce zprávy vidí jiný text, než který interpretuje Microsoft. Ten totiž vyhodnocuje nikoliv jen text, který uživatel vidí na obrazovce, ale i ten, který je vysázen nulovou velikostí.
A pokud útočník vysází nulovou velikostí pokaždé jiný text, tak viditelný text bude sice pořád stejný, ale pro antiphishing filtr naopak pokaždé jiný. Snadno tak lze uživateli poslat e-mail, který se bude tvářit, jako že je od nějaké velké společnosti, ale jelikož se v e-mailu její název při použití této techniky v podstatě nikde neobjeví, tak takovýto e-mail nebude označen jako podvodný.
Zde je třeba si uvědomit, jak ony antiphishing filtry vůbec fungují. Asi vás zklamu, ale žádná velká umělá inteligence se nekoná. Vše v zásadě funguje na velice primitivním, ale v zásadě účinném pravidle, tedy fungovalo, až donedávna. V e-mailu se hledá textový řetězec, který odpovídá názvu nějaké známé společnosti, a ten pokud je nalezen, tak se pak porovná vizuální podoba dané stránky s originální.
A je nasnadě, že pokud je použita stejná grafika, barvy a kaskádové styly, jakože ano, protože útočník chce příjemce přesvědčit, že e-mail pochází od dané společnosti, tak antiphishing filtr toto snadno detekuje a daný e-mail označí za podvodný. Za podezřelý ho označí i v případě, když detekuje velké množství e-mailů stejného obsahu, což však zvýše uvedeného důvodu nenastane.
Jak tedy tato technika funguje? Útočník si jednoduše připraví e-mail, který chce poslat obmýšleným příjemcům, a pak písmena v kritických slovech indikující jméno dané společnosti, proloží jinými znaky nebo slovy. Samozřejmě, že to při větším počtu e-mailů nedělá ručně. Jak že tedy ten kouzelný tag vypadá? Takto:
<span style=“FONT-SIZE: 0px“> Jakýkoliv náhodný text </span>
Problém je, že tohle není jediný způsob, jak lze manipulovat s obsahem e-mailu resp. s tím, co příjemce vidí, vězte, že existují i jiné možnosti, o kterých se zatím nikde nepsalo, a které rovněž využívají možností in-line stylování, ostatně proto jsem tento článek tak nazval. Ovlivnit výslednou podobu textu můžeme např. takto.
<span style=“COLOR: #fffffe; LETTER-SPACING:-10px“> Jakýkoliv náhodný text </span>
anebo takto:
<span style=“POSITION: absolute; TOP: -100px“> Jakýkoliv náhodný text </span>
Prostě fantazii se meze nekladou. A pokud si s tím dá útočník práci, tak i ten matoucí text, který je vkládán mezi text určený k přečtení příjemcem emailu, může dávat smysl. Možná bych pro tuhle zranitelnost měl vytvořit vlastní logo a založit webovou stránku. Pokud by vás ještě něco napadlo, napište.
Štítky: phishing
K článku “Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.