Spamszűrők kikerülése a CSS használatával

A Cisco Talos kutatói új módszert azonosítottak, amelyben kiberbűnözők a Cascading Style Sheets (CSS) technológiát használják arra, hogy megkerüljék a spamszűrőket és nyomon kövessék a felhasználók tevékenységét. A támadók kihasználják a CSS egyes funkcióit, amelyek lehetővé teszik számukra, hogy rejtett tartalmakat helyezzenek el e-mailekben, amelyek a felhasználók számára láthatatlanok maradnak, de megzavarhatják a biztonsági rendszerek észlelési mechanizmusait.

A jelentés szerint a fenyegetés szereplői olyan CSS-tulajdonságokat használnak, mint a text-indent és az opacity, hogy felesleges tartalmakat rejtsenek el az e-mailek szövegében, ezzel megkerülve a spamszűrőket és biztonsági átjárókat. E technika célja gyakran az, hogy a címzettet egy adathalász weboldalra irányítsák. Emellett a támadók a CSS @media at-rule segítségével információkat gyűjthetnek az áldozat eszközéről és e-mail klienséről, amely potenciális ujjlenyomat-képzési (fingerprinting) támadásokhoz vezethet.

A kutatók kiemelik, hogy ez a módszer lehetőséget ad a támadóknak a felhasználók rendszerjellemzőinek, például képernyőméretének, felbontásának és színmélységének meghatározására. Ezen túlmenően akár a felhasználók viselkedését is nyomon követhetik, például azt, hogy megnyitották vagy kinyomtatták-e az e-mailt. Mivel az e-mail kliensek gyakran korlátozzák a dinamikus tartalmak (például JavaScript) használatát, a támadók a CSS egyéb lehetőségeit kihasználva érik el céljaikat.

A fenyegetés csökkentése érdekében a szakértők javasolják az legkorszerűbb szűrési mechanizmusok bevezetését, amelyek képesek felismerni a rejtett szövegsózást (hidden text salting) és a tartalom elrejtésére szolgáló technikákat. Emellett e-mail adatvédelmi proxyk alkalmazása is szükséges lehet a felhasználók nyomon követésének megelőzésére.

(forrás)