黑客正利用另一種新技術繞過Office 365安全機制開展網絡釣魚

在上個月，微軟的Outlook safelink釣魚安全研究人員曾透露，某些黑客組織已經發現了一種能夠繞過Microsoft Office 365安全機制跳轉到釣魚網址的新技術。這項技術被稱為“BaseStriker”，任何人在任何配置下使用Office 365都容易受到攻擊，無論是基于Web的OutLook客戶端、移動應用程序還是桌面應用程序。 而在上周，以色列云安全公司Avanan給我們帶來了另一個與之類似的重磅消息。其安全研究人員發現，一些網絡犯罪分子正在使用另一種新技術，可以繞過大多數由廣泛使用的電子郵件服務和網絡安全掃描儀實現的人工智能釣魚檢測機制。 這項新的技術被命名為“ZeroFont”，它涉及到在釣魚電子郵件的實際內容中插入字體大小為零的隱藏字詞，這些字詞大小對收件人來說是不可見的。同時，這些電子郵件也騙過了微軟的自然語言處理。

什么是自然語言處理？ 為了阻止網絡釣魚電子郵件，微軟使用自然語言處理來掃描電子郵件的內容以尋找假冒或欺詐的跡象。例如，如果電子郵件包含 文本 “? 2018 Apple Corporation. All rights reserved”，但電子郵件不是來自apple.com，它會被標記為具有欺詐性。 微軟使用自然語言處理來嘗試解釋文本的上下文或意圖，并將其與發件人關聯起來。諸如建議銀行信息、用戶帳戶、密碼重置、財務請求等等電子郵件都會被仔細檢查，以確保真實性。 隨著微軟的過濾器在閱讀電子郵件方面做得越來越好，攻擊者正在尋找新的方法在欺騙最終用戶之前騙過語言分析器。在ZeroFont中，他們找到了一種方法，可以向微軟過濾器顯示不同于最終用戶看到的文本。 ZeroFont電子郵件 使用ZeroFont技術制作的惡意電子郵件樣本有很多，下面我們看到的這個是其中比較典型的。發件人冒充來自微軟Office 365，宣稱收件人的電子郵箱賬戶達到最高限額，如果想要繼續使用該賬戶，需要點擊一個鏈接進行升級。

你可以看到，在電子郵件正文底部顯示有“? 2018 Microsoft Corporation. All rights reserved”，并未被微軟列為釣魚電子郵件。 ZeroFont策略 這封電子郵件沒有被微軟標記，因為黑客在整個電子郵件中插入了隨機文本來拆解可能觸發微軟自然語言處理的文本字符串。在某些情況下，使用隨機單詞。這些插入的字符嵌入在HTML代碼<span style="FONT-SIZE: 0px">中，其字體大小為零，使其對電子郵件的收件人不可見。以下是電子郵件內容的原始HTML屏幕截圖，顯示了插入的ZeroFont字符。

當收件人閱讀電子郵件時，所有帶有“FONT-SIZE: 0px”的文本都會消失，從而只留下攻擊者希望收件人看到的文本。上面提到的HTML對用戶來說是這樣的：

另一方面，由于微軟的過濾器讀取純文本，而不管字體大小，他們看到的似乎是一串隨機的字符：

微軟自然語言處理無法將其識別為欺詐性電子郵件，因為它看不到“Microsoft”這個詞。從本質性來說，ZeroFont的成功就在于，電子郵件過濾器和最終用戶看到的內容是完全不同的。 來源：黑客視界