image

Phishingmail omzeilt Microsoft-filter met verborgen woorden

woensdag 20 juni 2018, 16:11 door Redactie, 7 reacties

Aanvallers hebben een manier ontdekt om het phishingfilter van Microsoft te omzeilen. De e-mails worden voorzien van verborgen woorden die een fontgrootte van nul hebben. Daardoor zijn ze niet zichtbaar voor de ontvanger van de e-mail, maar kunnen ze wel het Microsoft-filter misleiden.

Microsoft past "natuurlijke taalverwerking" toe om te kijken of de inhoud van een e-mail frauduleus is. Wanneer er bijvoorbeeld "Copyright 2018 Apple Corporation. All rights reserved" onderaan het bericht staat en de e-mail is niet van Apple afkomstig, wordt de e-mail als frauduleus bestempeld. Via natuurlijke taalverwerking wordt de context en bedoeling van de e-mail geïnterpreteerd en vervolgens gecorreleerd met de afzender.

Door de fontgrootte te manipuleren is het mogelijk om het filter andere woorden te laten "lezen" dan de ontvanger van het bericht. Microsofts filter leest namelijk de platte tekst van een bericht, terwijl de gebruiker de html-versie te zien krijgt. Volgens securitybedrijf Avanan wordt de tactiek inmiddels door phishingmails gebruikt. In onderstaande afbeelding is de tekst te zien die de gebruiker krijgt voorgeschoteld en de html-versie die door het filter wordt verwerkt.

Image

Reacties (7)
20-06-2018, 16:26 door Anoniem
leuk gevonden.
font zero kenmerk opnemen in je filter.
opgelost.
20-06-2018, 16:36 door Anoniem
WYSILTYG - What You See Is Less Than You Get
20-06-2018, 17:03 door karma4
Door Anoniem: leuk gevonden.
font zero kenmerk opnemen in je filter.
opgelost.
Het lijkt dat filteren op vreemd font gebruik filters al heel effectief maken. De trainongdataset bevatte kennelijk ovoldoende hits kenmerken of men heeft het niet als guided result gebruikt.
20-06-2018, 18:27 door Anoniem
SpamAssassin had dit truukje (en het gebruik van tekst met dezelfde kleur als de achtergrond) 5 jaar geleden al door.
Wellicht nog langer. Dit gebruik is dan juist een criterium op spampunten toe te kennen.
Zoals wel vaker leert Microsoft alles van de concurrent... alleen jaren later.
20-06-2018, 18:36 door Anoniem
fontsize 0 blokkeren.
20-06-2018, 22:30 door Anoniem
Door Anoniem: fontsize 0 blokkeren.
En display:none, overflow:hidden;text-indent:-50em, position:absolute;top:-50em, etc. etc. etc.?

Mensen moeten gewoon HTML e-mails uitschakelen en alleen text versies accepteren.
21-06-2018, 08:30 door karma4
Door Anoniem: ....
Zoals wel vaker leert Microsoft alles van de concurrent... alleen jaren later.
Revolution Analytics big data. Training datasets moet je de ml goed voeden. Het gaat niet meer om het eenmalig trucje maar om het patroon.
Zoals wel vaker is degene die het eerste met iets komt ook beperkt in vernieuwing. IBM heeft microsoft daarmee groot gemaakt. Zoiets gebeurt vaker. Daarna de consolidatie en het opkopen zodat vrijwel monopolies ontstaan. Gafa
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.