ZEROFONT PHISHING

Quando una idea semplice... può comportare effetti pericolosi!

Quando una idea semplice... può comportare effetti pericolosi!

“Io ho un Mac e quindi non posso prendere virus”

Quante volte avete sentito una simile affermazione?

Poi anche per loro sono arrivati i virus.

E poi sono arrivati quelli per gli smartphone… e prima ancora, ovviamente, per i PC Windows.

Immagine correlata

Tutto ciò a dimostrazione di quanto sia attivo il settore degli hacker e, certe volte, più attivo di quello che si possa pensare. Se il 2017 infatti ha fatto segnare dei veri e propri record per quanto riguarda il numero di attacchi hacker e di virus sviluppati, già ad aprile 2018 Libraesva ha allertato il mondo IT su una forma di virus della famiglia URSNIF che rispondono, per conto degli utenti, ai thread conservati nella posta elettronica usandoli come veicoli per infettare i propri contatti sotto forme sempre nuove e apparentemente lecite, di difficile identificazione.

E proprio di posta elettronica vogliamo parlare.

Facciamo un passo indietro: quale è uno degli strumenti più utilizzati? Se vi dicessimo Office 365?

Office 365 è una suite di Microsoft per la creazione, l'editing professionale e la condivisione di documenti, nato come evoluzione cloud della suite Microsoft Office. Office 365 consente di utilizzare online tutti i software del pacchetto Office, fra cui sono presenti Outlook, un software di tipo organizzativo per email, calendario e rubrica, Word, Excel, oltre a tutti gli altri software "classici" della suite.

Quindi cosa c’entra con la questione antivirus?

C'entra eccome ed ecco perché!

Analizziamo bene un aspetto interessante: Microsoft continua a crescere, in particolare nel fatturato. Lo dicono i dati sul primo trimestre 2018 pubblicati da Redmond. Una crescita inquadrata in maniera esaustiva da un fatturato che tocca i 26,8 miliardi di dollari con un +16% su base annua. Uno dei segmenti trainanti della crescita è stato la “Productivity and Business Processes“ (fatturato 9 mld) guidato dai pacchetti di Office365 che hanno garantito delle ottime performance (+42% di entrate e +28% di utenti), anche a fronte di minori ricavi da vendita prodotti.

Un segnale di come il mercato si stia muovendo sempre più velocemente verso i servizi cloud. Ne è dimostrazione la dichiarazione di Joe Belfiore, corporate vice president di Microsoft, il quale nel corso dell’evento Microsoft Build 2018 di Seattle di maggio 2018 ha affermato la presenza di 135 milioni di utenti business utilizzatori di Office 365 su base mensile e quasi 700 milioni di dispositivi Windows 10 connessi.

E dove c’è ci sono gli utilizzatori, lì si concentrano gli sforzi di "sfondamento" degli hacker.

In particolare, recentemente i "cattivi" si sono dedicati alla ricerca dei punti di debolezza del sistema antispam di Office 365.

E ne hanno scoperto almeno uno. La tecnica si chiama "ZeroFont Phishing".

Una delle tecniche che l'antispam di Microsoft usa per intercettare le email di phishing è quella di cercare ed analizzare delle scritte all'interno della email che possano risultare incoerenti con il mittente dell'email stessa. Avete presente le finte email di Apple o le finte email di Microsoft che includono scritte del tipo "clicca qui per confermare la tua identità Microsoft"?

Bene se nella email c’è scritto "Microsoft" e la email ha un mittente diverso da Microsoft ecco che l'email viene intercettata e classificata come spam.

Fin qui abbiamo visto come funziona, ma vediamo come e in quale circostanza non funziona.

L'idea che hanno avuto un gruppo di hackers è stata quella di creare un’email di phishing per "rubare" informazioni o credenziali… ma facendo vedere due cose diverse all'utente e all'antispam di Microsoft.

L'email in HTML per il cliente ha un link con questo aspetto:


… mentre per l'antispam questo:


Ecco l’inghippo:

  1. l'antispam non vede nulla di male in questa stringa riportata qui sopra
  2. l'utente non vede nulla di male nel link sopra riportato e potrebbe esser portato a cliccare su un sito di phishing.
  3. il gioco è fatto.

Ma se è “comprensibile” che l’utente meno attento possa essere tratto in inganno, come è invece possibile che l’antispam non riesca a segnalare questo alert?

  • Il testo (completo) della email è scritto in HTML ed è quello che vede l'antispam, mentre impostando la dimensione del font a zero per alcuni caratteri, questi restano visibili all'antispam (che vede solo HTML) ma non agli occhi dell'utente, che vedrà solo i caratteri dotati di un font-size maggiore di zero.

Qui sotto c'è il testo in HTML dove si può ben vedere come sia possibile che l'utente veda una cosa e l'antispam ne veda un'altra.

Una idea di per sé semplice ma con possibili effetti pericolosi!

Solitamente ogni servizio in the cloud di posta elettronica include un sistema antivirus/antispam, ma ovviamente non tutti gli antispam sono uguali.

Come difendersi?

Noi di Netica consigliamo sempre di proteggere la posta elettronica, che sia in cloud o installata direttamente nel client, tramite un sistema/servizio diverso da quello che ospita la posta elettronica.


Follow us

Facebook Netica

LinkedIn Netica

Condividi questa pagina: