在上个月,微软的Outlook safelink钓鱼安全研究人员曾透露,某些黑客组织已经发现了一种能够绕过Microsoft Office 365安全机制跳转到钓鱼网址的新技术。这项技术被称为“BaseStriker”,任何人在任何配置下使用Office 365都容易受到攻击,无论是基于Web的OutLook客户端、移动应用程序还是桌面应用程序。
而在上周,以色列云安全公司Avanan给我们带来了另一个与之类似的重磅消息。其安全研究人员发现,一些网络犯罪分子正在使用另一种新技术,可以绕过大多数由广泛使用的电子邮件服务和网络安全扫描仪实现的人工智能钓鱼检测机制。
这项新的技术被命名为“ZeroFont”,它涉及到在钓鱼电子邮件的实际内容中插入字体大小为零的隐藏字词,这些字词大小对收件人来说是不可见的。同时,这些电子邮件也骗过了微软的自然语言处理。
什么是自然语言处理?
为了阻止网络钓鱼电子邮件,微软使用自然语言处理来扫描电子邮件的内容以寻找假冒或欺诈的迹象。例如,如果电子邮件包含 文本 “© 2018 Apple Corporation. All rights reserved”,但电子邮件不是来自apple.com,它会被标记为具有欺诈性。
微软使用自然语言处理来尝试解释文本的上下文或意图,并将其与发件人关联起来。诸如建议银行信息、用户帐户、密码重置、财务请求等等电子邮件都会被仔细检查,以确保真实性。
随着微软的过滤器在阅读电子邮件方面做得越来越好,攻击者正在寻找新的方法在欺骗最终用户之前骗过语言分析器。在ZeroFont中,他们找到了一种方法,可以向微软过滤器显示不同于最终用户看到的文本。
ZeroFont电子邮件
使用ZeroFont技术制作的恶意电子邮件样本有很多,下面我们看到的这个是其中比较典型的。发件人冒充来自微软Office 365,宣称收件人的电子邮箱账户达到最高限额,如果想要继续使用该账户,需要点击一个链接进行升级。
你可以看到,在电子邮件正文底部显示有“© 2018 Microsoft Corporation. All rights reserved”,并未被微软列为钓鱼电子邮件。
ZeroFont策略
这封电子邮件没有被微软标记,因为黑客在整个电子邮件中插入了随机文本来拆解可能触发微软自然语言处理的文本字符串。在某些情况下,使用随机单词。这些插入的字符嵌入在HTML代码中,其字体大小为零,使其对电子邮件的收件人不可见。以下是电子邮件内容的原始HTML屏幕截图,显示了插入的ZeroFont字符。
当收件人阅读电子邮件时,所有带有“FONT-SIZE: 0px”的文本都会消失,从而只留下攻击者希望收件人看到的文本。上面提到的HTML对用户来说是这样的:
另一方面,由于微软的过滤器读取纯文本,而不管字体大小,他们看到的似乎是一串随机的字符:
微软自然语言处理无法将其识别为欺诈性电子邮件,因为它看不到“Microsoft”这个词。从本质性来说,ZeroFont的成功就在于,电子邮件过滤器和最终用户看到的内容是完全不同的。
网友评论