Thủ thuật ZeroFont cho phép email lừa đảo qua mặt Office 365

Avatar
-

zerofont

Sử dụng một thủ thuật đơn giản, email lừa đảo có thể qua mặt bộ xử lý ngôn ngữ tự nhiên

Các nhà nghiên cứu công nghệ đang cảnh báo về một thủ thuật đơn giản mà tội phạm mạng và spammer đang dùng để qua mặt hầu hết các cơ chế phát hiện lừa đảo sử dụng trí thông minh nhân tạo đang được dùng bởi các dịch vụ email nổi tiếng và các bộ quét an ninh mạng.

Được gọi là ZeroFont, thủ thuật này sử dụng các chữ ẩn với cỡ chữ bằng 0 trong nội dung của một bức email lừa đảo, khiến cho bề ngoài vẫn như cũ nhưng giúp nó qua mặt được những bộ quét bảo mật cho email.

Theo công ty bảo mật đám mây Avanan, Microsoft Office 365 cũng không thể phát hiện những email được tạo bằng thủ thuật ZeroFont như vậy là email lừa đảo.

Giống như Microsoft Office 365, nhiều dịch vụ email và bảo mật sử dụng bộ xử lý ngôn ngữ tự nhiên và các thủ thuật machine learning dựa trên nền trí tuệ nhân tạo để phát hiện email lừa đảo và độc hại nhanh hơn. Các thủ thuật này giúp các công ty bảo mật phân tích, hiểu và đọc nội dung từ những đoạn văn bản không có cấu trúc trong các email hay trang web bằng cách nhận diện các chỉ báo ở dạng văn bản như cách email lừa đảo giả danh một công ty nổi tiếng, các cụm từ đề nghị trả tiền hoặc reset mật khẩu, v.v.

Tuy nhiên, bằng cách thêm các ký tự với cỡ chữ bằng 0 giữa các chỉ báo ở dạng văn bản thường gặp trong email lừa đảo, tội phạm mạng có thể biến những chỉ báo này thành văn bản rác không có cấu trúc và qua mặt được bộ xử lý ngôn ngữ tự nhiên. Từ đó, email trông vẫn bình thường với mắt thường, còn Microsoft vẫn đọc toàn bộ đoạn văn bản rác dù một số ký tự có cỡ chữ = 0.

“Microsoft không thể phát hiện đây là một email lừa đảo vì không thể đọc ra chữ “Microsoft” trong phiên bản đã định dạng”, theo bài viết của Avanan. “Cơ bản là thủ thuật ZeroFont cho phép hiển thị một văn bản cho các bộ quét email lừa đảo và một văn bản khác cho người dùng đầu cuối.”

Bên cạnh thủ thuật ZeroFont, Avanan cũng phát hiện tin tặc sử dụng các thủ thuật khác như Punycode, Unicode hay Hexadecimal Escape Characters trong quá trình viết email lừa đảo.

Các nhà nghiên cứu đến từ công ty này tháng trước vừa thông báo về việc tội phạm mạng đã và đang tách URL lừa đảo theo một phương thức mà tính năng bảo mật Safe Links trong Office 365 không thể phát hiện được. Phương thức đó cho phép thay thế một phần đường dẫn và đưa nạn nhân tới website lừa đảo.

THN