Ti ricordi che all'inizio i virus erano solo per PC?

Certo, perché all'inizio erano solo i PC Windows che avevano una certa diffusione.

Poi hanno iniziato a diffondersi anche sistemi Mac e Linux e poi gli smartphone… ed ecco che sono arrivati anche i virus per queste piattaforme.

Questo per dire che gli "hacker" e gli attacchi si concentrano laddove c'è la maggior probabilità di successo (dal punto di vista di chi attacca).

Cosa c'entra questo con Office 365? C'entra eccome.

Qual è una delle più diffuse e utilizzate piattaforme di posta elettronica?
Office 365, appunto.

E poiché Office 365 è un servizio universalmente diffuso, ecco che qui si concentrano gli sforzi di "sfondamento" degli hacker.

In particolare, recentemente i "cattivi" si sono dedicati alla ricerca dei punti di debolezza del sistema antispam di Office 365.

E ne hanno scoperto almeno uno.
 

 
Una delle tecniche che l'antispam di Microsoft usa per intercettare le email di phishing è questa: cerca delle scritte all'interno della email che siano incoerenti con il mittente dell'email stessa.

Hai presente le finte email di Apple o le finte email di Microsoft che includono scritte del tipo "clicca qui per confermare la tua identità Microsoft"?
Bene se nella email c"è scritto "Microsoft" e la email ha un mittente diverso da Microsoft ecco che l'email viene intercettata e classificata come spam.

Fin qui abbiamo visto come funziona, ma vediamo come e in quale circostanza non funziona.
L'idea (geniale) che hanno avuto un gruppo di attaccanti è stata quella di creare un'email di phishing per "rubare" informazioni o credenziali, facendo vedere due cose diverse all'utente e all'antispam di Microsoft.

L'email in HTML per il cliente aveva un link che aveva questo aspetto:

 


Agli occhi dell'antispam invece aveva questo aspetto:

 

Ecco che l'antispam non vede nulla di male in questa stringa riportata qui sopra, ma l'utente vede tutt'altra cosa e, se in una email c'è scritto di cliccare su un link dove c'è la scritta Microsoft, un utente non molto “sgamato” potrebbe cadere nel tranello e cliccare tranquillamente, finendo sul sito di phishing.

 Com’è possibile che l’antispam veda (o non veda) una cosa e l’utente invece la veda e venga tratto in inganno?

La tecnica si chiama ZeroFont Phishing. In pratica, il testo (completo) della email è scritto in HTML ed è quello che vede l'antispam, mentre impostando la dimensione del font a zero per alcuni caratteri, questi restano visibili all'antispam (che vede solo HTML) ma non agli occhi dell'utente, che vedrà solo i caratteri dotati di un font-size maggiore di zero.
 
Qui sotto c'è il testo in HTML dove puoi vedere bene come sia possibile che l'utente veda una cosa e l'antispam ne veda un'altra.


Non trovi assolutamente geniale (per quanto malvagia) questa tecnica?

Io sì, ed è per questo che ho scritto queste righe.
Ma non solo. Ho scritto questo articolo anche per farti riflettere.

Se tu compri un servizio in the cloud di posta elettronica molto probabilmente ci sarà incluso anche un sistema antivirus/antispam. Dubito, infatti, che ci sia un fornitore di email in cloud che dichiari di non avere l'antivirus/antispam.

Ma non tutti gli antispam sono uguali e qualcuno di questi antispam è più uguale di altri (per parafrasare una celebre massima).

Per proteggere la posta elettronica dei tuoi clienti, ovunque essa sia, potrebbe essere meglio usare un sistema/servizio diverso da quello che ospita la posta elettronica.

Se ti interessa approfondire l'argomento puoi: (Le immagini di questo articolo sono tratte da https://www.avanan.com/resources/zerofont-phishing-attack)

Condividi sui Social Network