Email Phishers usa una forma simple de evitar la protección de MS Office 365

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores han estado advirtiendo sobre una técnica simple que los ciberdelincuentes y estafadores de correo electrónico usan en el ecosistema para eludir la mayoría de los mecanismos de detección de phishing implementados por los servicios de correo electrónico ampliamente utilizados y los escáneres de seguridad web.

Conocida como ZeroFont, la técnica consiste en insertar palabras ocultas con un tamaño de letra cero dentro del contenido real de un correo phishing, manteniendo su aspecto visual igual, pero al mismo tiempo, haciéndolo no malicioso a los ojos de los escáneres de seguridad de correo electrónico.

Microsoft Office 365 tampoco detecta correos electrónicos como maliciosos creados con la técnica de ZeroFont.

Al igual que Microsoft Office 365, muchos correos electrónicos y servicios de seguridad web usan procesamiento de lenguaje natural y otras técnicas de aprendizaje automático basadas en inteligencia artificial para identificar correos electrónicos maliciosos o de phishing más rápidamente.

La tecnología ayuda a las empresas de seguridad a analizar, entender y derivar el significado del texto no estructurado incrustado en un correo electrónico o página web identificando indicadores basados ​​en texto, como estafas de correo electrónico que imitan a una empresa popular, frases utilizadas para solicitar pagos o restablecimientos de contraseñas, y más.

Sin embargo, al agregar caracteres aleatorios de tamaño de fuente cero entre los textos indicadores presentes en un correo electrónico de phishing, los ciberdelincuentes pueden transformar estos indicadores en un texto basura no estructurado, ocultándolos del motor de procesamiento de lenguaje natural.

Por lo tanto, el correo electrónico se ve normal para un ojo humano, pero Microsoft lee todo el texto basura, incluso si algunas palabras se muestran con un tamaño de fuente de “0”.

El mes pasado, se conoció que los ciberdelincuentes habían dividido la URL maliciosa de forma tal que la característica de seguridad de Safe Links en Office 365 no identifica y reemplaza el hipervínculo parcial, y eventualmente redirige a las víctimas al sitio de phishing.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS