Davor warnt das Cybersecurity-Team von Cisco Talos, das in der zweiten Hälfte des Jahres 2024 eine deutliche Zunahme von Poisoning-Bedrohungen entdeckt hat. Hidden Text Salting oder Poisoning dient zur Umgehung von Sicherheitstechniken und Erkennungssystemen, die auf Schlüsselwörter angewiesen sind. Die einfache, aber effektive Technik fügt Zeichen in den HTML-Quelltext einer E-Mail ein, die für den Empfänger visuell nicht erkennbar sind. Diese versteckten Zeichen können jedoch E-Mail-Parser, Spam-Filter und Spracherkennungsprozesse umgehen oder stören. Das Ziel ist ein Eindringen in IT-Netzwerke.
Austricksen Cloud-basierter Filterservices
Häufig dient Poisoning dazu, die Erkennung von Markennamen durch E-Mail-Parser zu umgehen. So haben Hacker zum Beispiel irrelevante Zeichen zwischen die Buchstaben der Marke Wells Fargo gesetzt und über CSS mit der Breitenangabe null für die visuelle Anzeige verborgen. In einem anderen Fall wurden ZWSP (Zero-Width Space)- und ZWNJ (Zero-Width Non-Joiner)-Zeichen zwischen die Buchstaben von Norton LifeLock eingefügt. Bei einer anderen Phishing-Mail waren einige französische Wörter und Sätze unsichtbar im englischen Text versteckt, um die Spracherkennung eines Cloud-basierten Filterservices auszutricksen.
Thorsten Rosendahl, Technical Leader von Cisco Talos: „Text Poisoning braucht vergleichsweise wenig Spezialwissen, um unerwünschte Inhalte in bösartigen Mails anzuzeigen. Gleichzeitig ist die Anzahl der Möglichkeiten, wie es verwendet werden kann, sehr hoch. Das ist eine gefährliche Mischung, auf die viele klassische Schutzmechanismen noch nicht vorbereitet sind.“
Struktur des HTML-Quelltexts analysieren
Aktuelle Filtertechniken können Hidden Text Salting und andere Methoden zur Verschleierung von Inhalten erkennen. Sie müssen jedoch ständig angepasst und weiterentwickelt werden, damit sie die bösartige Verwendung von CSS-Eigenschaften wie Sichtbarkeit (z. B. „hidden“) und Anzeige (z. B. „none“) entdecken. Diese Systeme untersuchen auch die Struktur des HTML-Quelltextes von E-Mails, um die übermäßige Verwendung von Inline-Styles oder eine ungewöhnliche Verschachtelung von Elementen aufzudecken. Zusätzlich zum Quelltext sollten Schutzsysteme die visuellen Eigenschaften von E-Mails analysieren. Denn häufig lassen sich durch den Vergleich von Codierung und Anzeige mögliche Angriffsversuche einfacher erkennen. Cisco nutzt in der Secure Email Threat Defense Lösung dafür spezielle Deep- und Machine Learning-Modelle inklusive NLP (Neuro-Linguistisches Programmieren).
Kommentare