(https://i.postimg.cc/2jhMbTR8/Email.png) (https://postimages.org/)
Para Ud., se lee "WELLS FARGO". Para el filtro de spam de correo electrónico, es "WEqcvuilLLS FAroyawdRGO". Este galimatías debería ser una señal de alerta obvia para ambos. Sin embargo, algunos sistemas de seguridad pueden ser eludidos mediante trucos HTML/CSS.
Desde principios de la segunda mitad de 2024, Cisco Talos ha observado un aumento en la cantidad de amenazas de correo electrónico que contienen sal de texto similar, también conocido como envenenamiento.
El correo electrónico fraudulento parece normal para los usuarios que lo ven en HTML. Sin embargo, el texto está alterado para los analizadores de correo electrónico.
Al insertar caracteres ocultos en el código fuente de un correo electrónico, los estafadores logran múltiples objetivos. Evitan la extracción de la marca por parte de los analizadores de correo electrónico, confunden los procedimientos de detección de idioma e impiden que las herramientas de seguridad decodifiquen y analicen correctamente los archivos adjuntos.
"La sal de texto oculto es una técnica simple pero efectiva para eludir los analizadores de correo electrónico, confundir los filtros de spam y evadir los motores de detección que se basan en palabras clave", se lee en el informe.
Los filtros no detectan palabras clave ni idioma
Los piratas informáticos utilizan el método de "salting" con al menos tres propósitos diferentes. Los filtros de spam suelen basarse en la detección de palabras clave, y el método de "salting" puede ayudar a eludir esta comprobación.
Para hacerse pasar por una marca conocida, como Wells Fargo, los estafadores modifican el nombre en HTML con etiquetas de estilo. Especifican que solo las letras del nombre de la marca real son visibles para el usuario, mientras que los caracteres insertados entre esas letras se configuran como "ocultos".
En otro caso, los estafadores se hacían pasar por la marca Norton LifeLock. Los correos electrónicos fraudulentos contenían caracteres de ancho cero insertados entre las letras.
(https://i.postimg.cc/XqJyhJq5/email-spam-filters.png) (https://postimg.cc/tZKTn9hR)
El segundo objetivo es confundir la detección de idioma. Durante una campaña, los spammers enviaron correos electrónicos haciéndose pasar por la marca Harbor Freight. Para los destinatarios, se leía en inglés. Sin embargo, los correos electrónicos spam contenían varias palabras y frases en francés que estaban visualmente ocultas. De esta manera, los piratas informáticos engañaron al módulo de detección de idioma de Microsoft y pasaron por alto el control de seguridad.
El tercer tipo de spam se basa en el contrabando de archivos adjuntos que pasan por alto los filtros de seguridad. Los actores de amenazas agregan archivos adjuntos HTML con múltiples comentarios irrelevantes entre los caracteres codificados en base64, lo que impide que los analizadores puedan unir las cadenas y decodificarlas fácilmente.
Cisco Talos sugiere que para combatir estas estafas se necesitan técnicas de filtrado avanzadas que se basen en la IA y en funciones visuales. Por ejemplo, se podrían crear sistemas de filtrado que identifiquen el uso cuestionable de propiedades CSS como la visibilidad (por ejemplo, "visibilidad: oculta") y la visualización (por ejemplo, "visualización: ninguna"), que se utilizan con frecuencia para ocultar texto.
"La protección contra estas amenazas sofisticadas y perversas requiere una solución integral de seguridad del correo electrónico que aproveche las detecciones impulsadas por la IA", afirmaron los investigadores.
Ver correos electrónicos en HTML también puede conllevar otros riesgos. Cybernews informó recientemente sobre una vulnerabilidad crítica de cero clic que afecta a los usuarios de Microsoft Outlook. Para explotarla, los atacantes podrían enviar correos electrónicos especialmente diseñados a las víctimas, y la carga maliciosa se ejecutaría cuando la aplicación Microsoft Outlook muestre una vista previa sin abrir realmente un correo electrónico.
Como solución alternativa, la propia Microsoft recomendó que "los usuarios lean los mensajes de correo electrónico en formato de texto simple" que no muestre imágenes, fuentes especializadas, animaciones u otro contenido enriquecido.
Fuente:
CyberNews
https://cybernews.com/security/hackers-evading-email-spam-filters-using-hidden-text/