Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry
🕒 3 min čtení
Ke stávajícím úžasným technikám jako je Punycode, Ropemaker, nám přibyla další, tzv. ZeroFont.
Je neuvěřitelné, jak jsou tyhle staronové techniky účinné a jak jsou stávající řešení na detekci podvodných e-mailů bezbranné.
Tentokrát je to ještě jednodušší, stačí použít párový in-line HTML element SPAN umožňující použít obecné atributy. Nás bude zajímat především atribut STYLE, pomocí kterého lze předefinovat výslednou podobu textu.
Vlastnost FONT-SIZE umožňuje definovat velikost písma. Ta pokud je rovna nule způsobí, že daný text není, jaké to překvapení, jednoduše vidět. Ve výsledku pak dojde k tomu, že příjemce zprávy vidí jiný text, než který interpretuje Microsoft. Ten totiž vyhodnocuje nikoliv jen text, který uživatel vidí na obrazovce, ale i ten, který je vysázen nulovou velikostí.
A pokud útočník vysází nulovou velikostí pokaždé jiný text, tak viditelný text bude sice pořád stejný, ale pro antiphishing filtr naopak pokaždé jiný. Snadno tak lze uživateli poslat e-mail, který se bude tvářit, jako že je od nějaké velké společnosti, ale jelikož se v e-mailu její název při použití této techniky v podstatě nikde neobjeví, tak takovýto e-mail nebude označen jako podvodný.
Zde je třeba si uvědomit, jak ony antiphishing filtry vůbec fungují. Asi vás zklamu, ale žádná velká umělá inteligence se nekoná. Vše v zásadě funguje na velice primitivním, ale v zásadě účinném pravidle, tedy fungovalo, až donedávna. V e-mailu se hledá textový řetězec, který odpovídá názvu nějaké známé společnosti, a ten pokud je nalezen, tak se pak porovná vizuální podoba dané stránky s originální.
A je nasnadě, že pokud je použita stejná grafika, barvy a kaskádové styly, jakože ano, protože útočník chce příjemce přesvědčit, že e-mail pochází od dané společnosti, tak antiphishing filtr toto snadno detekuje a daný e-mail označí za podvodný. Za podezřelý ho označí i v případě, když detekuje velké množství e-mailů stejného obsahu, což však zvýše uvedeného důvodu nenastane.
Jak tedy tato technika funguje? Útočník si jednoduše připraví e-mail, který chce poslat obmýšleným příjemcům, a pak písmena v kritických slovech indikující jméno dané společnosti, proloží jinými znaky nebo slovy. Samozřejmě, že to při větším počtu e-mailů nedělá ručně. Jak že tedy ten kouzelný tag vypadá? Takto:
<span style=“FONT-SIZE: 0px“> Jakýkoliv náhodný text </span>
Problém je, že tohle není jediný způsob, jak lze manipulovat s obsahem e-mailu resp. s tím, co příjemce vidí, vězte, že existují i jiné možnosti, o kterých se zatím nikde nepsalo, a které rovněž využívají možností in-line stylování, ostatně proto jsem tento článek tak nazval. Ovlivnit výslednou podobu textu můžeme např. takto.
<span style=“COLOR: #fffffe; LETTER-SPACING:-10px“> Jakýkoliv náhodný text </span>
anebo takto:
<span style=“POSITION: absolute; TOP: -100px“> Jakýkoliv náhodný text </span>
Prostě fantazii se meze nekladou. A pokud si s tím dá útočník práci, tak i ten matoucí text, který je vkládán mezi text určený k přečtení příjemcem emailu, může dávat smysl. Možná bych pro tuhle zranitelnost měl vytvořit vlastní logo a založit webovou stránku. Pokud by vás ještě něco napadlo, napište.
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry. Online. Clever and Smart. 2018. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/phishing-with-style-aneb-jak-dostat-maligni-email-skrz-antiphishing-filtry/. [cit. 2026-01-25].
Štítky: phishing
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.