黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

在上个月,微软的Outlook safelink钓鱼安全研究人员曾透露,某些黑客组织已经发现了一种能够绕过Microsoft Office 365安全机制跳转到钓鱼网址的新技术。

在上个月,微软的Outlook safelink钓鱼安全研究人员曾透露,某些黑客组织已经发现了一种能够绕过Microsoft Office 365安全机制跳转到钓鱼网址的新技术。这项技术被称为“BaseStriker”,任何人在任何配置下使用Office 365都容易受到攻击,无论是基于Web的OutLook客户端、移动应用程序还是桌面应用程序。
而在上周,以色列云安全公司Avanan给我们带来了另一个与之类似的重磅消息。其安全研究人员发现,一些网络犯罪分子正在使用另一种新技术,可以绕过大多数由广泛使用的电子邮件服务和网络安全扫描仪实现的人工智能钓鱼检测机制。
这项新的技术被命名为“ZeroFont”,它涉及到在钓鱼电子邮件的实际内容中插入字体大小为零的隐藏字词,这些字词大小对收件人来说是不可见的。同时,这些电子邮件也骗过了微软的自然语言处理。
什么是自然语言处理?
为了阻止网络钓鱼电子邮件,微软使用自然语言处理来扫描电子邮件的内容以寻找假冒或欺诈的迹象。例如,如果电子邮件包含文本 “ 2018 Apple Corporation. All rights reserved”,但电子邮件不是来自apple.com,它会被标记为具有欺诈性。
微软使用自然语言处理来尝试解释文本的上下文或意图,并将其与发件人关联起来。诸如建议银行信息、用户帐户、密码重置、财务请求等等电子邮件都会被仔细检查,以确保真实性。
随着微软的过滤器在阅读电子邮件方面做得越来越好,攻击者正在寻找新的方法在欺骗最终用户之前骗过语言分析器。在ZeroFont中,他们找到了一种方法,可以向微软过滤器显示不同于最终用户看到的文本。
ZeroFont电子邮件
使用ZeroFont技术制作的恶意电子邮件样本有很多,下面我们看到的这个是其中比较典型的。发件人冒充来自微软Office 365,宣称收件人的电子邮箱账户达到最高限额,如果想要继续使用该账户,需要点击一个链接进行升级。
黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

你可以看到,在电子邮件正文底部显示有“ 2018 Microsoft Corporation. All rights reserved”,并未被微软列为钓鱼电子邮件。
ZeroFont策略
这封电子邮件没有被微软标记,因为黑客在整个电子邮件中插入了随机文本来拆解可能触发微软自然语言处理的文本字符串。在某些情况下,使用随机单词。这些插入的字符嵌入在HTML代码<span style="FONT-SIZE: 0px">中,其字体大小为零,使其对电子邮件的收件人不可见。以下是电子邮件内容的原始HTML屏幕截图,显示了插入的ZeroFont字符。
黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

当收件人阅读电子邮件时,所有带有“FONT-SIZE: 0px”的文本都会消失,从而只留下攻击者希望收件人看到的文本。上面提到的HTML对用户来说是这样的:
黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

另一方面,由于微软的过滤器读取纯文本,而不管字体大小,他们看到的似乎是一串随机的字符:
黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

微软自然语言处理无法将其识别为欺诈性电子邮件,因为它看不到“Microsoft”这个词。从本质性来说,ZeroFont的成功就在于,电子邮件过滤器和最终用户看到的内容是完全不同的。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼
本站链接:https://www.codesec.net/view/577369.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(1894)