-
09/04/2020
-
85
-
553 bài viết
ZeroFont - kỹ thuật phishing mới trong Outlook
Hacker đang lợi dụng một kỹ thuật phishing mới có tên Zerofont bằng cách sử dụng các ký tự có kích thước bằng 0 (zero-point fonts) trong thư điện tử để khiến các email độc hại trông như đã được quét an toàn bởi các công cụ an ninh của Microsoft Outlook.
Mặc dù kỹ thuật lừa đảo ZeroFont đã được phát hiện trong quá khứ nhưng đây là lần đầu tiên nó được ghi nhận sử dụng theo cách này.
Các chuyên gia cảnh báo rằng kỹ thuật này có thể tạo ra sự khác biệt lớn trong các chiến dịch lừa đảo và người dùng nên được cảnh báo về sự tồn tại của loại hình này.
Nó liên quan đến việc chèn các từ hoặc ký tự ẩn trong email bằng cách đặt kích thước phông chữ về 0, khiến mắt thường không thể nhìn thấy văn bản nhưng vẫn có thể được đọc bằng thuật toán NLP.
Kỹ thuật này được sử dụng nhằm né tránh các bộ lọc an ninh bằng cách chèn các thuật ngữ vô hình vô hại kết hợp với nội dung hiển thị đáng ngờ giúp đánh lừa AI và trả về kết quả kiểm tra sai lệch.
Trong báo cáo năm 2018, các chuyên gia cảnh báo rằng ZeroFont đã vượt qua Cơ chế bảo vệ mối đe dọa nâng cao (ATP) trong Office 365 của Microsoft ngay cả khi các email chứa các từ khóa độc hại đã biết.
Cụ thể, email được đề cập đã hiển thị một thông điệp khác trong danh sách thư điện tử của Outlook so với khung xem trước.
Tin tặc đã sử dụng ZeroFont để ẩn thông báo quét giả mạo ở phần đầu email lừa đảo, do đó, mặc dù người nhận không nhìn thấy nhưng Outlook vẫn trích xuất và hiển thị dưới dạng bản xem trước trong danh sách email.
Bằng cách đưa ra một thông báo quét an ninh lừa đảo, khả năng mục tiêu mở tin nhắn và tương tác với nội dung đó sẽ tăng lên.
Rất có khả năng Outlook không phải là ứng dụng email duy nhất lấy phần đầu nội dung của email để hiển thị trong ngăn xem trước mà không kiểm tra xem kích thước phông chữ của nó có hợp lệ hay không, vì vậy, người dùng ứng dụng email khác cũng nên cảnh giác.
Mặc dù kỹ thuật lừa đảo ZeroFont đã được phát hiện trong quá khứ nhưng đây là lần đầu tiên nó được ghi nhận sử dụng theo cách này.
Các chuyên gia cảnh báo rằng kỹ thuật này có thể tạo ra sự khác biệt lớn trong các chiến dịch lừa đảo và người dùng nên được cảnh báo về sự tồn tại của loại hình này.
Tấn công ZeroFont
Phương thức tấn công ZeroFont, được ghi nhận lần đầu tiên vào năm 2018, là một kỹ thuật lừa đảo khai thác các lỗ hổng khi các hệ thống AI và xử lý ngôn ngữ tự nhiên (NLP) của nền tảng bảo mật email phân tích văn bản.Nó liên quan đến việc chèn các từ hoặc ký tự ẩn trong email bằng cách đặt kích thước phông chữ về 0, khiến mắt thường không thể nhìn thấy văn bản nhưng vẫn có thể được đọc bằng thuật toán NLP.
Kỹ thuật này được sử dụng nhằm né tránh các bộ lọc an ninh bằng cách chèn các thuật ngữ vô hình vô hại kết hợp với nội dung hiển thị đáng ngờ giúp đánh lừa AI và trả về kết quả kiểm tra sai lệch.
Trong báo cáo năm 2018, các chuyên gia cảnh báo rằng ZeroFont đã vượt qua Cơ chế bảo vệ mối đe dọa nâng cao (ATP) trong Office 365 của Microsoft ngay cả khi các email chứa các từ khóa độc hại đã biết.
Giả mạo thông báo quét virus
Trong một email lừa đảo sử dụng ZeroFont, tin tặc đã thao túng việc xem trước tin nhắn trên các ứng dụng email được sử dụng rộng rãi như Microsoft Outlook.Cụ thể, email được đề cập đã hiển thị một thông điệp khác trong danh sách thư điện tử của Outlook so với khung xem trước.
Tin tặc đã sử dụng ZeroFont để ẩn thông báo quét giả mạo ở phần đầu email lừa đảo, do đó, mặc dù người nhận không nhìn thấy nhưng Outlook vẫn trích xuất và hiển thị dưới dạng bản xem trước trong danh sách email.
Bằng cách đưa ra một thông báo quét an ninh lừa đảo, khả năng mục tiêu mở tin nhắn và tương tác với nội dung đó sẽ tăng lên.
Rất có khả năng Outlook không phải là ứng dụng email duy nhất lấy phần đầu nội dung của email để hiển thị trong ngăn xem trước mà không kiểm tra xem kích thước phông chữ của nó có hợp lệ hay không, vì vậy, người dùng ứng dụng email khác cũng nên cảnh giác.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối: