Cisco Talos: Neuer Angriffstrend Text Poisoning nimmt Fahrt auf
Wallisellen – Das Cybersecurity-Team von Cisco Talos hat in der zweiten Hälfte des Jahres 2024 eine deutliche Zunahme von E-Mail-Bedrohungen entdeckt, die Hidden Text Salting – oder «Poisoning» – nutzen. Die einfache, aber effektive Technik fügt Zeichen in den HTML-Quelltext einer E-Mail ein, die für den Empfänger visuell nicht erkennbar sind. Diese versteckten Zeichen können jedoch E-Mail-Parser, Spam-Filter und Spracherkennungsprozesse umgehen oder stören.
Hidden Text Salting oder Poisoning dient zur Umgehung von Sicherheitstechniken und Erkennungssystemen, die auf Schlüsselwörter angewiesen sind. Das Ziel ist immer ein Eindringen in IT-Netzwerke. Dabei werden HTML- und CSS-Funktionen verwendet, um Kommentare und irrelevante Inhalte einzufügen, die für das Opfer nicht sichtbar sind. Aufgrund der vielen Möglichkeiten dieser einfachen Angriffstechnik wird sie für verschiedene Zwecke eingesetzt, wie Cisco Talos ermittelt hat.
Häufig dient Poisoning dazu, die Erkennung von Markennamen durch E-Mail-Parser zu umgehen. So haben Hacker zum Beispiel irrelevante Zeichen zwischen die Buchstaben der Marke Wells Fargo gesetzt und über CSS mit der Breitenangabe null für die visuelle Anzeige verborgen. In einem anderen Fall wurden ZWSP (Zero-Width SPace)- und ZWNJ (Zero-Width Non-Joiner)-Zeichen zwischen die Buchstaben von Norton LifeLock eingefügt. Bei einer anderen Phishing-Mail waren einige französische Wörter und Sätze unsichtbar im englischen Text versteckt, um die Spracherkennung eines Cloud-basierten Filterservices auszutricksen.
«Cyberangreifer verbesseren ständig ihre Methoden, um die bestehenden Sicherheitsvorkehrungen zu umgehen. Aktuell wird dabei das «Text Poisoning» immer beliebter», erklärt Thorsten Rosendahl, Technical Leader von Cisco Talos. «Text Poisoning braucht vergleichsweise wenig Spezialwissen, um unerwünschte Inhalte in bösartigen Mails anzuzeigen. Gleichzeitig ist die Anzahl der Möglichkeiten, wie es verwendet werden kann sehr hoch. Das ist eine gefährliche Mischung, auf die viele klassische Schutzmechanismen noch nicht vorbereitet sind. Die gute Nachricht ist aber, dass beispielsweise in Ciscos Secure Email Threat Defense Lösung spezielle Deep- und Machine Learning-Modelle inklusive NLP (Neuro-Linguistisches Programmieren) zum Einsatz kommen, die diese Techniken erkennen.»
Es gibt zwei Strategien zur Aufdeckung und Abwehr dieser Angriffe.
- Erweiterte Filtertechniken: Aktuelle Filtertechniken können Hidden Text Salting und andere Methoden zur Verschleierung von Inhalten erkennen. Sie müssen jedoch ständig angepasst und weiterentwickelt werden, damit sie die bösartige Verwendung von CSS-Eigenschaften wie Sichtbarkeit (z. B. «hidden») und Anzeige (z. B. «none») entdecken. Diese Systeme untersuchen auch die Struktur des HTML-Quelltextes von E-Mails, um die übermässige Verwendung von Inline-Styles oder eine ungewöhnliche Verschachtelung von Elementen aufzudecken.
- Prüfen visueller Merkmale: Zusätzlich zum Quelltext sollten Schutzsysteme die visuellen Eigenschaften von E-Mails analysieren. Denn häufig lassen sich durch den Vergleich von Codierung und Anzeige mögliche Angriffsversuche einfacher erkennen.
Der Schutz vor diesen und weiteren modernen Angriffstechniken erfordert eine umfassende E-Mail-Sicherheitslösung, die KI-gestützte Erkennungsfunktionen nutzt. (Cisco/mc/hfu)
