Close Menu
    SIOS24 WINTER
    Milano, 17 Dicembre 2024
    Prendi il tuo biglietto
    Giorni
    Ore
    Minuti
    Secondi
    Cybersecurity

    Phishing | Ecco ZeroFont il trucco che permette di aggirare le protezioni di Office 365

    Pierluigi Paganini3 Mins Read
    Phishing

    Gli esperti di Avanan hanno scoperto alcune campagne di phishing che utilizzano mail i cui contenuti presentano caratteri di dimensione zero, e quindi non sono visibili. La nuova tecnica

    firma email wapp 3

    Le campagne di phishing continuano ad essere tra i principali vettori di attacco, e sebbene le aziende di sicurezza sviluppino sistemi per la loro individuazione, gruppi criminali propongono nuove tecniche in grado di bypassare anche sofisticati meccanismi di difesa.

    La tecnica di cui phishing di parlo oggi si chiama ZeroFont e prevede la manipolazione delle dimensioni dei caratteri all’interni dei messaggi di posta elettronica per aggirare le protezioni implementate da Microsoft Office 365.

    La tecnica è nota da tempo, ma a ricordarci del problema sono stato gli esperti di sicurezza dell’azienda Avanan.

    Come riconoscere il phishing

    Uno dei principali meccanismi di rilevamento di e-mail di phishing implementato da Office 365 prevede l’elaborazione naturale del linguaggio per identificare contenuti delle mail tipicamente utilizzati nelle e-mail malevoli.

    Ad esempio, un’e-mail che include le parole “Apple” o “Microsoft” che non sia stata inviata da un dominio legittimo associato a queste aziende, oppure un messaggio che fa riferimento ad account utente, reimpostazione di password o qualunque richiesta finanziaria è contrassegnata come potenzialmente malevola.

    Gli esperti di Avanan hanno scoperto alcune campagne di phishing che utilizzano e-mail i cui contenuti presentano caratteri di dimensione zero, e quindi non sono visibili. Il trucco è possibile utilizzando la sintassi <span style = “FONT-SIZE: 0px”>, per questo motivo la tecnica è stata denominata ZeroFont .

    “Recentemente, abbiamo assistito a una serie di attacchi di phishing che utilizzano una semplice tecnica per eludere le scansioni anti-phishing implementate da Microsoft. La tecnica, denominata ZeroFont, implica l’inserimento di parole nascoste con una dimensione del font pari a zero, che sono quindi invisibili al destinatario, al fine di ingannare l’elaborazione del linguaggio naturale da parte di Microsoft”. Si legge nell’analisi pubblicata da Avanan.

    Come riesce ZeroFont ad aggirare il sistema

    Il contenuto che appare al destinatario è quello classico di una mail di phishing, tuttavia la stessa mail appare legittima ai filtri di Microsoft che sono in grado di analizzare anche il testo con una dimensione del carattere “0”.

    Il testo infatti è inserito in modo da poter rendere un testo di phishing non malevolo agli occhi del sistema di scansione, ad esempio immaginando una campagna di phishing contro utenti Apple si potrebbe inserire nel testo dei caratteri a dimensione zero per trasformare la parola Apple in Applicabile. Il testo in grassetto quindi verrebbe visualizzato sono dal filtro ma non dall’utente e quindi passerebbe il meccanismo anti-phishing se basato unicamente sull’analisi del linguaggio.

    FontZero

     

    Riassumendo, mentre l’utente vede un classico contenuto di phishing come questo:

    FontZero 2.jpg

    Il filtro di Microsoft vedrà il testo completo comprensivo di quelle parole scritte con l’attributo “FONT-SIZE: 0px”. Questo testo, ovviamente, non appare come un contenuto dannoso:

    FontZero 3.jpg

    “Microsoft non può identificare il messaggio come fraudolento perchè non può vedere la parola” Microsoft “nella versione non completa. In sostanza, l’attacco ZeroFont consente di visualizzare un messaggio per i filtri anti-phishing e un altro per l’utente finale “, ha detto Yan Nathaniel di Avanan in un post sul blog.

    L’elaborazione del linguaggio naturale è essenziale per prevenire gli attacchi di phishing, ma una tecnica come ZeroFont ha dimostrato che gli attaccanti possono bypassare i filtri con un trucco.

    In passato, sono state escogitate altre tecniche molto astute per aggirare i filtri anti-phishing, solo per citarne alcune, l’attacco Punycode, l’attacco, l’attacco Unicode, e l’attacco Hexadecimal Escape Characters.

    Alla prossima, e diffidate di qualunque mail a carattere di urgenza che vi giunge improvvisa, anche se da un vostro contatto diretto, in quest’ultimo caso contattatelo attraverso un altro canale come quello telefonico.

    Piccole attenzioni potrebbero evitare che voi e le vostre imprese siate vittima di un attacco di phishing.

    Ultimo aggiornamento:
    Share.
    Avatar

    Potrebbero interessarti

    StartupItalia

    StartupItalia

    Privacy

    Cookie Policy

    PUBBLICITÀ SU STARTUPITALIA

    Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

    SCOPRI DI PIÙ

    StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012

    StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA – CA – 352408, Capitale Sociale: € 25.478,76, PEC startupitalia (at) legalmail.it

    Iscriviti alla nostra newsletter

    Rimani aggiornato sulle migliori notizie, approfondimenti, dati, eventi e opportunità del mondo dell’innovazione italiano e internazionale.

    CANALI

    CATEGORIE

    RUBRICHE

    UTILITY