هشدار محققان درباره

حملات فیشینگ با تکنیک ZeroFont و دور زدن سیستم‌های امنیتی

پژوهشگران امنیتی به تازگی شیوه جدیدی در حملات فیشینگ شناسایی کرده‌اند که با فریب سیستم‌ حفاظتی برنامه آفیس ۳۶۵، این امکان را برای مهاجمان فراهم می‌سازد تا قربانیان خود را به‌وب‌سایت‌های آلوده و جعلی هدایت کنند.
فیشینگ با تکنیک ZeroFont

براساس تحقیقات شرکت امنیتی آوانان «Avanan»، سرویس مایکروسافت آفیس ۳۶۵ «Office 365» از یک مکانیزم پردازش زبان، برای بررسی و شناسایی محتوای مخرب در ایمیل‌ها استفاده می‌کند که این امکان را برای سیستم حفاظتی این سرویس فراهم می‌سازد تا ایمیل‌های مشکوک و مخرب را متوقف کند.

برای مثال درمورد کارکرد این سیستم حفاظتی می‌توان به ایمیل‌هایی اشاره کرد که شامل کلمه اپل «Apple» یا مایکروسافت «Microsoft» هستند و از طرف دامنه‌های قانونی ارسال نشده‌اند، همچنین ایمیل‌های بازیابی رمز عبور و ایمیل‌های مرتبط با حساب‌های مالی؛ در چنین مواردی سیستم حفاظتی با توجه به عدم تطبیق متن و فرستنده، این ایمیل‌ها را به عنوان ایمیل مخرب علامت‌گذاری می‌کند.

 

زیروفونت چیست؟

آوانان در گزارش خود گفته است که به تازگی با تعدادی از حملات فیشینگ مواجه شده که از فنون ساده برای فریب استفاده می‌کنند و مکانیزم‌های پردازش زبان مورد استفاده در سیستم‌های امنیتی، مانند سیستم حفاظتی مایکروسافت آفیس ۳۶۵، در برابر آن ناکارآمد است.

حمله زیروفونت

 

به گفته شرکت آوانان، طبق تحققات انجام شده روی کمپین‌های مختلف فیشینگ، پژوهشگران این شرکت کشف کرده‌اند که در برخی از ایمیل‌های فیشینگ برای دور زدن سیستم‌های امنیتی، محتوا به‌گونه‌ای تنظیم شده است که اندازه فونت برای برخی از کلمات و حروف برابر با صفر نمایش داده شود و در حال حاضر سیستم‌های امنیتی هوشمند امکان شناسایی این حملات را ندارند. بر همین اساس این شرکت این نوع از حملات فیشینگ را زیروفونت «ZeroFont» نام‌گذاری کرده است.

 

نمونه یک فیشینگ با تکنیک زیروفونت ZeroFont

 

به زبان ساده‌تر مکانیزم پردازش زبان در سیستم حفاظتی سرویس آفیس ۳۶۵، کل متن موجود در ایمیل‌ها را بررسی می‌کند. برای مثال در متن یک ایمیل فیشینگ عبارتی زیر به کار رفته است:

متن اصلی در حمله فیشینگ زیروفونت - ZeroFont

مشخصا چنین متنی براساس قواعد و فیلترهای از پیش تعریف شده از نظر سیستم‌های امنیتی و حفاظتی بدون خطر و عادی است.

اما در حقیقت مهاجمان با دستکاری اندازه فونت برای برخی از حروف و کلمات و تنظیم آن به‌صورت Font-Size:0px، متنی متفاوت با متن مورد بررسی سیستم‌های حفاظتی به کاربر نمایش می‌دهند. در چنین شرایطی، متن ایمیل فیشینگ دریافتی توسط کاربر به شکل زیر نمایش داده می‌شود:

متن نمایشی در حمله فیشینگ زیروفونت - ZeroFont

چنین اتفاقی باعث می‌شود که کاربر با پیش‌فرض «سیستم حفاظتی آفیس ۳۶۵ ایمیل‌های مشکوک و جعلی را علامت‌گذاری می‌کند و چون ایمیل علامت‌گذاری نشده است، پس مطمئن و امن است» بیشتر از همیشه در خطر حملات فیشینگ زیروفونت قرار گیرد.

 

 

توضیحات بیشتر در:

- ZeroFont Phishing: Manipulating Font Size to Get Past Office 365 Security