SANS ISC sorumlusu Jan Kopriva, siber suçluların, kullanıcıları kimlik avı e-postalarına güvenmeleri için kandırmak amacıyla ZeroFont tekniğinden yararlandığı konusunda uyardı.
ZeroFont kimlik avı saldırısı
2018 yılında Avanan tarafından belgelenen ve isimlendirilen ZeroFont tekniği, e-posta gövdesi boyunca “0” yazı tipi boyutunda yazılan metnin kullanılmasını içeriyor.
Bu kampanyada, Microsoft’un NLP tabanlı kimlik avına karşı korumalarını, normalde bunları tetikleyecek metin dizelerini parçalayarak atlamak için kullanıldı.
Yeni bir amaç
E-posta istemcileri genellikle mesajları iki bitişik pencerede görüntüler: soldaki pencere (liste penceresi) alınan, gönderilen veya taslak halindeki mesajların listesini gösterir ve sağdaki ise e-posta gövdesini gösterir. Soldaki dul pencere ayrıca gönderenin adını, konuyu ve e-postada yer alan metnin başlangıcını da görüntüler.
Kopriva, e-postanın spam önleyici e-posta filtreleri tarafından taranmış gibi görünmesini sağlamak için ZeroFont kimlik avı tekniğini kullanan bir kimlik avı e-postası aldı.
Ancak bunu belirten metin (Isc®Gelişmiş Tehdit koruması (APT) tarafından tarandı ve güvenliği sağlandı: 22.09.2023T6:42) yalnızca liste bölmesinde görüntülendi çünkü e-posta mesajındaki aynı metin mesajın başına “0” yazı tipi boyutunda yazılmıştı ve bu nedenle alıcı tarafından görülemiyordu.
Outlook’ta görüntülenen kimlik avı e-postası (Kaynak: SANS ISC)
“Görünüşe göre Outlook (ve muhtemelen diğer [Mail User Agents]) bir mesajın başında bulunan herhangi bir metni, sıfır yazı tipi boyutuna sahip olsa bile, maalesef (yanlış) kullanılabilir,” dedi Kopriva.
“İşleyici e-posta adresimize (…) teslim edilen e-postadaki ‘görünmez’ metin olağan amaca hizmet etmedi; otomatik tarayıcıların mesajı potansiyel olarak sahtekarlık/kötü niyetli olarak tanımlamasını engellemeyi amaçlamadı, bunun yerine mesajın alıcıya daha güvenilir görünmesini sağlamak için.
Bazı kimlik avı yapanların bu tekniği daha etkili kimlik avı kampanyaları oluşturmak için kullandığı açık; dolayısıyla Kopriva’ya göre “kimlik avı odaklı güvenlik farkındalığı kurslarında bundan bahsetmek kötü bir fikir olmayabilir.”