Phishingmail omzeilt Microsoft-filter met verborgen woorden

[Captain Kirk]

Aanvallers hebben een manier ontdekt om het phishingfilter van Microsoft te omzeilen. De e-mails worden voorzien van verborgen woorden die een fontgrootte van nul hebben. Daardoor zijn ze niet zichtbaar voor de ontvanger van de e-mail, maar kunnen ze wel het Microsoft-filter misleiden.

Microsoft past "natuurlijke taalverwerking" toe om te kijken of de inhoud van een e-mail frauduleus is. Wanneer er bijvoorbeeld "Copyright 2018 Apple Corporation. All rights reserved" onderaan het bericht staat en de e-mail is niet van Apple afkomstig, wordt de e-mail als frauduleus bestempeld. Via natuurlijke taalverwerking wordt de context en bedoeling van de e-mail geïnterpreteerd en vervolgens gecorreleerd met de afzender.

Door de fontgrootte te manipuleren is het mogelijk om het filter andere woorden te laten "lezen" dan de ontvanger van het bericht. Microsofts filter leest namelijk de platte tekst van een bericht, terwijl de gebruiker de html-versie te zien krijgt. Volgens securitybedrijf Avanan wordt de tactiek inmiddels door phishingmails gebruikt. In onderstaande afbeelding is de tekst te zien die de gebruiker krijgt voorgeschoteld en de html-versie die door het filter wordt verwerkt.

 

 

bron: security.nl