Tehdit aktörleri, Microsoft Outlook kullanıcılarını kimlik avı e-postalarının antivirüs taramaları tarafından başarılı bir şekilde incelendiğine inandırmak için yeni bir yöntemle mevcut sıfır noktalı yazı tipi gizleme tekniğini kullanıyor.
Bu teknik, kimlik avı e-postalarının yalnızca güvenlik korumalarını aşma olasılığını değil, aynı zamanda alıcıları dolandırıcılığa düşmeleri için kandırma olasılığını da artırabilir.
SANS Internet Storm Center analisti Jan Kopriva, sıfır piksel boyutunda bir yazı tipiyle yazılmış metni kullanan bir kimlik avı e-postasıyla karşılaştı. Bu gizleme tekniği, ilk olarak bir Check Point şirketi olan Avanan’daki araştırmacılar tarafından 2018’de belgelendi ve ZeroFont Kimlik Avı olarak adlandırıldı. ” Oldukça yeni bir şekilde” diye yazdı.
Saldırganlar, Outlook’un şüpheli mesajları algılamak için kullandığı gibi otomatik e-posta tarama sistemlerinin işini zorlaştırmak amacıyla, normal ve görünür bir şekilde yazılan metni parçalamak için kimlik avı e-postalarına uzun, sıfır yazı tipi boyutunda metin yerleştirir. Ancak Kopriva’nın gözlemlediği ZeroFont tekniğinin tamamen farklı bir amacı vardı.
Gönderisinde “Bu, otomatik tarayıcıların mesajı potansiyel olarak sahtekarlık/kötü amaçlı olarak tanımlamasını engellemeyi amaçlamıyordu; bunun yerine mesajın alıcıya daha güvenilir görünmesini sağlamaktı” diye yazdı.
Çek Cumhuriyeti’ndeki Nettles Consulting’den Kopriva, bu tekniğin genellikle Outlook’un listeleme bölmesinde gösterilen metni değiştirdiğini ve bu metnin solda, mesajların gövdesinin yanında göründüğünü ve kullanıcılara mesajda ne olduğuna dair ipuçları verdiğini açıkladı.
Listeleme bölmesindeki metin, yalnızca olağan e-posta konu satırını ve kullanıcıyı bir kimlik avı dolandırıcılığına karşı uyarmış olabilecek mesaj metninin başlangıcını görüntülemek yerine, konu satırını ve ardından mesajın tarandığını belirten başka bir metin satırını gösteriyordu. ve bir tehdit koruma hizmeti tarafından güvence altına alınmıştır.
ZeroFont’u Yönetme
Avanan tarafından keşfedilen ve “Tek Yazı Tipi” olarak adlandırılan başka bir teknik olan sıfır veya tek noktalı yazı tipi aralığına küçük boyutlu metin yerleştirmek, tehdit aktörlerinin daha karmaşık kimlik avı dolandırıcılıkları oluşturmak için tasarladığı birçok yöntemden biridir. Küçük yazı tipi boyutu, semantik analize dayalı e-posta tarama tekniklerini bozarak sistemin kafasını karıştırır ve e-posta alıcıları, okunamayacak kadar küçük olduğu için metni algılayamaz.
Saldırganlar, Kopriva’nın gözlemlediği kimlik avı e-postasında, sıfır yazı tipi boyutunda mesajın doğrulandığını belirten metni (yani “Isc®Gelişmiş Tehdit koruması (APT) tarafından tarandı ve güvence altına alındı: 22.09.2023T6:42 AM”) akıllı bir şekilde eklediler. Mesajın metninden önce dedi.
Bu, mesajın güvenli olduğunu onaylayan metnin Outlook’taki mesajın liste bölmesinde kullanıcı tarafından görülebildiği bir senaryo oluşturdu; bu, kimlik avı e-posta mesajının gerçek ilk satırı yerine mesajın konu satırının altında görüntülenir. Kullanıcı arayüzünde ekranın sağ tarafında.
Kopriva, tekniğin, saldırganların Outlook’un e-posta mesajı metnini görüntüleme biçiminin bir özelliğini kötüye kullandığını gösterdiğini açıkladı.
“Görünüşe göre Outlook (ve muhtemelen diğer [mail user agents]) bir mesajın başında bulunan herhangi bir metni, sıfır yazı tipi boyutuna sahip olsa bile, maalesef (yanlış) kullanılabilir,” diye yazdı.
Çalışanları Bilgilendirin
Kopriva, taktiğin bir süredir doğada kullanılmış olmasının mümkün olduğunu kabul etti.
Kopriva, “Bu, her halükarda, daha etkili kimlik avı kampanyaları oluşturmak için kullanılabilecek, tehdit aktörleri araç kutusuna yapılan küçük bir eklemedir ve bu nedenle, savunucular olarak bizim bunun farkında olmamız kesinlikle iyi olur” diye ekledi.
Kopriva, tekniğin saldırganlar tarafından halihazırda uygulandığından, kimlik avı odaklı güvenlik farkındalığı kursları düzenleyen kuruluşların, çalışanları bu teknik hakkında bilgilendirmesi gerektiğini, böylece bu tekniği bir tespit önleme aracı olarak kullanan sahte mesajları kolayca tespit edebilmeleri gerektiğini ekledi.