Napadači koji traže put do organizacija koje koriste Microsoft 365 mogu učiniti da upozorenje identifikuje neželjene (a time i potencijalne phishing) poruke e-pošte „nestanu“.
„Kada korisnik Outlooka primi e-poštu sa adrese sa kojom obično ne komunicira, Outlook prikazuje upozorenje koje glasi ‘Ne dobijate često e-poštu sa [email protected]. Naučite zašto je ovo važno’. To je ono što Microsoft naziva Savjetom za sigurnost prvog kontakta i to je jedna od različitih mjera protiv krađe identiteta dostupnih u Exchange Online Protection i Microsoft Defender-u organizacijama koje koriste [Microsoft] 365,” objasnili su istraživači Certitude William Moody i Wolfgang Ettlinger.
Ali upozorenje se može učiniti nevidljivim promjenom njegove pozadine i boja teksta u bijelu, kroz oznake stila CSS.
Trik
Cascading Style Sheets (CSS) je jezik koji se koristi da opiše kako će dokument napisan u markup jeziku (npr. HTML ili XML) biti predstavljen.
Budući da je gore pomenuto upozorenje priloženo tijelu HTML e-maila, njegova prezentacija se može mijenjati putem CSS stilskih oznaka.
Uobičajeni trikovi – kao što je označavanje vizuelnog elementa na takav način da neće biti prikazan, da je potpuno neproziran ili da njegova visina ne postoji (0px) – ovde ne rade, otkrili su .
Ali postavljanje pozadine i boje teksta na bijelu radi. I dok pregled e-pošte sa još uvijek prikazuje sigurnosni savjet, tijelo e-pošte neće:
Upozorenje se ne može vidjeti u tijelu e-pošte (Izvor: CertITude)
Slično tome, da bi poboljšali šanse da se e-pošta smatra legitimnom i benignom, phisheri mogu dodati još HTML koda lažnoj Outlookovoj deklaraciji „Potpisano od [email protected]“.
Međutim, moraju se pobrinuti da promijene jedan element adrese e-pošte kako ga Outlook ne bi otkrio kao takvog i kreirali vezu na mail , čime će promijeniti stil izjave i učiniti je nekongruentnom s ostatkom teksta u tijelo e-pošte. Jednostavan trik za to je da promijenite tačku u e-poruci sa Unicode karakterom koji izgleda isto.
Nije sigurno, ali…
Iako je malo vjerovatno da će ovi trikovi prevariti mnoge korisnike, “potrebna je samo jedna osoba da padne na phishing napad da bi se protivnik učvrstio u organizaciji”, istakli su istraživači. (A napadi e-poštom su naglo porasli .)
Nažalost za korisnike Microsoft 365 i Outlooka, ovi trikovi funkcioniraju i funkcionirat će sve dok Microsoft ne odluči nešto učiniti u vezi s njima.
Nakon što su dobili obavještenje, iz kompanije su rekli da problem ne zadovoljava njihove standarde za trenutni servis. “Međutim, i dalje smo označili vaš nalaz za buduću reviziju kao priliku za poboljšanje naših proizvoda”, rekao je Microsoft.
Izvor:Help Net Security