Ausgetrickst: Phishing-Kampagnen mit hidden fonts und zero text

27. September, 2020

Phishing-Attacken über E-Mails gehören zum digitalen Alltag: Angreifer versuchen die Empfänger unter Vortäuschung falscher Absender, Dienste oder auch Domain-Namen auszutricksen. Versprechungen, Warnungen oder Ankündigungen verleiten dazu, auf gefährliche Links zu klicken. Mit dem Klick wird eine verhängnisvolle Kettenreaktion ausgelöst, durch die Schadsoftware auf das System gelangen und seine schädliche Aufgabe beginnen kann.

Alte Tricks, neue Masche: unsichtbare Texte

In aktuellen Phishing-Kampagnen werden (wieder) vermehrt „hidden text“ und „zero font“ Attacken eingesetzt.[1] Relevante Suchbegriffe werden mit speziellen Fonts oder Zeichensätzen ergänzt, die nur für die Maschine, aber nicht für den Menschen erkennbar sind – beispielsweise „Password eingeben“ vs. „P-a-s-s-w-o-r-t- e-i-n-g-e-b-e-n-“.

Aktuell beliebt ist dabei Unicode: Der internationale Standard bietet einige reguläre Zeichen, die im E-Mail nicht angezeigt werden, aber zwischen den Buchstaben der Reizwörter versteckt die Erkennungsleistung von Anti-Spam-Software verwässern können. Schriftgröße „0“ oder Schriftfarbe wie Hintergrundfarbe sind andere altbekannte Tricks. Versiertere Spammer nutzen auch spezielle Eigenheiten der HTML-/CSS-, um „unsichtbare“ Texte zu übermitteln, zum Beispiel den CSS-Befehl „display:none“. Oder der nichtssagende Text „563 eciffo“ wird dank HTML im E-Mail als „Office 365” ausgegeben. Erkennt der Algorithmus den Markennamen nicht, wird auch nicht überprüft, ob die Nachricht von einem Microsoft-Server stammt.

All diese Methoden zielen darauf ab, legitime Inhalte vorzugaukeln und die betrügerischen Absichten zu verbergen. Ein falscher Klick und die Attacke startet unbemerkt.

Abgestimmte Mehrfachstrategien gegen Phishing-E-Mails

Gut gemachte und gezielte Phishing-Versuche sind mittlerweile kaum noch von legitimen Nachrichten zu unterscheiden – schon gar nicht mit dem bloßen Auge. Auch einfache Spam-Filter stoßen mitunter an ihre Grenzen. Regelmäßige anschauliche Informationen zu aktuellen Bedrohungen helfen Ihren MitarbeiterInnen, die Augen offen und ihre Neugierde im Zaum zu halten. Im Zweifelsfall sollte vor dem Klick immer auf einem anderen Kanal – beispielsweise via Telefon – nachgefragt werden, ob die Nachricht echt und das Attachement oder der Link sicher sind.

Aus technischer Sicht lohnt es sich, in professionelle Software zu investieren, die erweiterte Erkennungsmethoden einsetzt und neben den Inhaltselementen auch die Links in den E-Mails überprüft. IKARUS mail.security erkennt und analysiert auch versteckte Links und Weiterleitungen. Für maximale Sicherheit findet zusätzlich ein Sicherheitscheck der Ziel-URLs statt, bei dem die Websites auf Phishing-Merkmale gescannt werden – mit der Option „Advanced URL Defense“ nicht nur beim Empfang der E-Mail, sondern erneut beim Anklicken der URL. So werden auch verzögerte Angriffe erkannt und abgewehrt.

Tipp: Überprüfen Sie jetzt die Einstellungen Ihrer IKARUS mail.security!

Sie finden das kostenlose „Advanced URL Defense“-Feature in Ihrem Admin-Interface unter dem Menüpunkt Eingehend. Öffnen Sie rechts im Inbound-Header die Einstellungen und aktivieren Sie die Funktion bei Bedarf im Reiter HTML-Filter mit Klick auf Advanced URL Defense.

Linktipps:

So schützen Sie Ihre E-Mail-Gateways vor gezielten Angriffen

Gezielter Angriff statt Massenabfertigung: Sind Sie ein potenzielles Spear-Phishing-Opfer?

Was versteht man unter Homoglyph Attacks und Typo-Squatting?

[1] https://www.darkreading.com/attacks-breaches/attackers-use-unicode-and-html-to-bypass-email-security-tools/d/d-id/1338739?_mc

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download