office 365网络钓鱼使用Css技巧绕过电子邮件网关
发布日期:2013-12-29 作者:木风雨林 来源:http://www.olzp.com使用office 365语音邮件的网络钓鱼活动诱使他们诱骗访问旨在窃取其个人信息或用恶意软件感染其计算机的着陆页。
操作员在此系列攻击背后发送的网络钓鱼电子邮件使用了一种古老的技巧,即反转源代码中的某些文本元素,并在显示给目标的电子邮件中向前呈现,这是一种扭曲:这次涉及使用级联样式表(Css)。
反转电子邮件HTML代码中的文本可协助攻击者绕过安全电子邮件网关(sEG)用来区分合法电子邮件和网络钓鱼邮件的一些自动文本匹配模型。
欺骗电子邮件网关的Css技巧
inky首席执行官dave Baggett解释说: “你们的主要发现是Css提供了混合诸如阿拉伯语和拉丁语之类的脚本的工具,它们自然会在页面上朝不同的方向流动。”
“攻击者可以滥用此功能,以使电子邮件中的文本向后渲染,从而使文本从安全电子邮件网关(sEG)中隐藏起来,同时又保持了收件人的正常外观。”
尽管inky分析的网络钓鱼样本看起来像是普通的伪造的语音邮件通知骗局电子邮件,但第二步发现,“ office 365”徽标实际上是基于文本的,并且在纯文本源代码中它显示为“ 563 eciffo”,表示不正确的迹象。
骗子使用 unicode-bidi:bidi-override; 方向:rtl Css属性,以从右到左呈现反转的文本,以便在击中目标的收件箱并阅读电子邮件后,该文本显示为“ office 365”。
这是绕开sEG贝叶斯统计模型的容易技巧,该模型使用文本序列来发现网络钓鱼邮件。
网络钓鱼电子邮件HTML代码
网络钓鱼电子邮件HTML代码 (inky)
透过错误的视窗寻找sEG
“自从90年代以来,这些模型就成为邮件保护的主力军,例如,美元在主题行中签名并“快速赚钱!” 体内的垃圾邮件与垃圾邮件关于。”
“这些模型还学会检测欺诈指示模式,例如'office 365 ...语音邮件'。尽管存在这种模式显然不能保证邮件是正确的,但它或许会触发sEG对邮件进行更深入的分析。”
win7 下载官网提示你:由于sEG会查看网络钓鱼电子邮件的实际源代码以查找恶意意图的迹象,并且HTML代码中不存在将网络钓鱼标记为垃圾邮件的文本,因此这种基于Css的文本反转技巧使攻击者能够破坏sEG的安全。模式匹配的努力。
这种策略可协助网络钓鱼攻击通过传统的sEG,这些sEG旨在仅分析原始HTML元素,而无需呈现电子邮件以知道最终用户将看到的呈现内容。
新狗的老把戏
为了检测这种或这种技术的网络钓鱼攻击,sEG应该首先呈现电子邮件的HTML代码,以便可以访问源代码和最终呈现的电子邮件。
这样,他们可以在它们之间进行比较,并迅速注意到任何旨在掩盖钓鱼电子邮件中某些文本元素的误导,它们或许会暴露其恶意性质并阻止其到达目标收件箱。
骗子已经在他们的垃圾邮件使用类似伎俩早在2005年(1,2,3),或伪装恶意的二进制代码为良性的文件(1,2),使用unicode从右到左覆盖字符覆盖(LTRo和RTLo ) 表示为HTML实体,用于在电子邮件的源代码或文件名中反转文本。