Winzige Schriftgröße täuscht E-Mail-Filter beim BEC-Phishing

  • Die One Font BEC-Kampagne zielt auf Microsoft 365-Benutzer ab und nutzt ausgeklügelte Verschleierungstaktiken, um die Sicherheitsvorkehrungen zu umgehen und Anmeldedaten zu sammeln.

    Eine neue BEC-Kampagne (Business Email Compromise), die auf Microsoft 365-Benutzer abzielt, verwendet eine Reihe ausgeklügelter Verschleierungstaktiken in Phishing-E-Mails, die Filter für die Verarbeitung natürlicher Sprache täuschen können und für Endbenutzer unerkennbar sind.

    Forscher von Avanan, einem Unternehmen von CheckPoint, entdeckten die Kampagne, die aufgrund der Art und Weise, wie sie Text in einer Ein-Punkt-Schriftgröße in Nachrichten versteckt, den Namen One Font trägt, erstmals im September.

    Die Angreifer verstecken auch Links in den Cascading Style Sheets (CSS) in ihren Phishing-E-Mails: eine weitere Taktik, die dazu dient, Filter für natürliche Sprache wie Microsofts Natural Language Processing (NLP) zu verwirren, so die Forscher in einem am Donnerstag online veröffentlichten Bericht.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    Die One Font-Kampagne enthält auch Nachrichten mit Links, die innerhalb des Tags <font> kodiert sind, was – in Kombination mit den anderen Verschleierungstechniken – auch die Wirksamkeit von E-Mail-Filtern zerstört, die für ihre Analyse auf natürliche Sprache angewiesen sind, so Jeremy Fuchs, ein Cybersecurity-Forscher bei Avanan.

    “Dadurch wird die semantische Analyse unterbrochen, was viele Lösungen dazu veranlasst, die E-Mail als Marketing-E-Mail und nicht als Phishing-E-Mail zu behandeln”, schreibt Fuchs. “Filter für natürliche Sprache sehen zufälligen Text; menschliche Leser sehen, was die Angreifer sehen wollen.

    Die aktuelle Kampagne ähnelt einer von Avanan-Forschern im Jahr 2018 entdeckten Kampagne namens ZeroFont, die ähnliche Taktiken verwendete, um Microsofts NLP in seinen Office 365-Sicherheitsschutzmaßnahmen zu umgehen. Diese Kampagne fügte versteckten Text mit der Schriftgröße Null in Nachrichten ein, um E-Mail-Scanner zu stören, die auf natürliche Sprache angewiesen sind, um bösartige E-Mails auszusortieren.

    Wie diese Kampagne zielt auch One Font auf Office 365-Organisationen ab und kann zu BEC führen und letztlich das Unternehmensnetzwerk gefährden, wenn die Nachrichten nicht gekennzeichnet werden und die Benutzer dazu verleitet werden, ihre Anmeldedaten preiszugeben, so die Forscher.

    Raffinierte Verschleierung

    Seit der ZeroFont-Kampagne haben die Cyberkriminellen ihre Taktiken immer weiter verfeinert, um das in den gängigen E-Mail-Filtern verwendete NLP zu umgehen, so die Forscher. Andere Techniken, die Avanan-Forscher beobachtet haben, umfassen Umleitungstaktiken wie Meta-Refresh, die NLP stören und Microsoft SafeLinks umgehen können, so die Forscher.

    Sobald die One Font-Kampagne in den Posteingang gelangt und den Anschein erweckt, es handele sich um eine legitime Nachricht, nutzt sie typische Phishing-Sozial-Engineering-Taktiken, um die Aufmerksamkeit der Benutzer zu gewinnen. Die Angreifer präsentieren eine Nachricht, die wie ein Hinweis auf das Ablaufen eines Kennworts aussieht, und nutzen dringende Nachrichten, um ein potenzielles Opfer dazu zu bewegen, auf einen bösartigen Link zu klicken.

    Dieser Link führt sie zu einer Phishing-Seite, auf der sie scheinbar ihre Anmeldedaten eingeben, um ihre Kennwörter zu ändern. Stattdessen stehlen die Bedrohungsakteure ihre Anmeldedaten, um sie für andere cyberkriminelle Aktivitäten zu verwenden, so die Forscher.

    In ihrem Beitrag zeigten die Forscher, wie bestimmte Phishing-E-Mails eine Kombination von Taktiken verwendeten – insbesondere im CSS versteckte Links und Links, die in den <font> -Tag eingeschoben und dann auf Null verkleinert wurden – die zusammen die Filter für natürliche Sprache verwirren.

    Da solche Verschleierungstechniken für den Endbenutzer unsichtbar sind, kann es schwierig sein, solche Nachrichten als bösartig zu kennzeichnen, so Fuchs. Um zu verhindern, dass diese Nachrichten an den Filtern vorbeikommen, empfehlen die Forscher, dass Unternehmen eine mehrstufige Sicherheitslösung verwenden, die fortschrittliche künstliche Intelligenz und maschinelles Lernen sowie statische Schichten wie Domänen- und Absenderreputation kombiniert, schrieb er.

    Die Verwendung einer Sicherheitsarchitektur, die sich auf mehr als einen Faktor zum Blockieren von E-Mails stützt, und die Anforderung an Unternehmensbenutzer, sich bei der IT-Abteilung zu vergewissern, bevor sie eine E-Mail mit der Aufforderung zur Änderung eines Kennworts öffnen, können ebenfalls dazu beitragen, Angriffe abzuschwächen, schreibt Fuchs.

    Bild mit freundlicher Genehmigung von Debora Cartagena, USCDCP.

    Cybersecurity für Multi-Cloud-Umgebungen ist bekanntermaßen eine Herausforderung. OSquery und CloudQuery sind eine solide Antwort. Besuchen Sie Uptycs und Threatpost am Dienstag, den 16. November um 14:00 Uhr ET für “An Intro to OSquery and CloudQuery”, ein interaktives LIVE-Gespräch mit Eric Kaiser, Senior Security Engineer bei Uptycs, darüber, wie dieses Open-Source-Tool dabei helfen kann, die Sicherheit auf dem gesamten Campus Ihres Unternehmens zu gewährleisten.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung und stellen Sie Ihre Fragen im Voraus über die Registrierungsseite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com