Business

Come ingannare l’antispam di Office 365

03 Luglio 2018

Ti ricordi che all'inizio i virus erano solo per PC?

Certo, perché all'inizio erano solo i PC Windows che avevano una certa diffusione.

Poi hanno iniziato a diffondersi anche sistemi Mac e Linux e poi gli smartphone… ed ecco che sono arrivati anche i virus per queste piattaforme.

Questo per dire che gli "hacker" e gli attacchi si concentrano laddove c'è la maggior probabilità di successo (dal punto di vista di chi attacca).

Cosa c'entra questo con Office 365? C'entra eccome.

Qual è una delle più diffuse e utilizzate piattaforme di posta elettronica?
Office 365, appunto.

E poiché Office 365 è un servizio universalmente diffuso, ecco che qui si concentrano gli sforzi di "sfondamento" degli hacker.

In particolare, recentemente i "cattivi" si sono dedicati alla ricerca dei punti di debolezza del sistema antispam di Office 365.

E ne hanno scoperto almeno uno.
 


 

Una delle tecniche che l'antispam di Microsoft usa per intercettare le email di phishing è questa: cerca delle scritte all'interno della email che siano incoerenti con il mittente dell'email stessa.

Hai presente le finte email di Apple o le finte email di Microsoft che includono scritte del tipo "clicca qui per confermare la tua identità Microsoft"?
Bene se nella email c"è scritto "Microsoft" e la email ha un mittente diverso da Microsoft ecco che l'email viene intercettata e classificata come spam.

Fin qui abbiamo visto come funziona, ma vediamo come e in quale circostanza non funziona.
L'idea (geniale) che hanno avuto un gruppo di attaccanti è stata quella di creare un'email di phishing per "rubare" informazioni o credenziali, facendo vedere due cose diverse all'utente e all'antispam di Microsoft.

L'email in HTML per il cliente aveva un link che aveva questo aspetto:

 

Agli occhi dell'antispam invece aveva questo aspetto:

 

Ecco che l'antispam non vede nulla di male in questa stringa riportata qui sopra, ma l'utente vede tutt'altra cosa e, se in una email c'è scritto di cliccare su un link dove c'è la scritta Microsoft, un utente non molto “sgamato” potrebbe cadere nel tranello e cliccare tranquillamente, finendo sul sito di phishing.

 Com’è possibile che l’antispam veda (o non veda) una cosa e l’utente invece la veda e venga tratto in inganno?

La tecnica si chiama ZeroFont Phishing. In pratica, il testo (completo) della email è scritto in HTML ed è quello che vede l'antispam, mentre impostando la dimensione del font a zero per alcuni caratteri, questi restano visibili all'antispam (che vede solo HTML) ma non agli occhi dell'utente, che vedrà solo i caratteri dotati di un font-size maggiore di zero.
 
Qui sotto c'è il testo in HTML dove puoi vedere bene come sia possibile che l'utente veda una cosa e l'antispam ne veda un'altra.


Non trovi assolutamente geniale (per quanto malvagia) questa tecnica?

Io sì, ed è per questo che ho scritto queste righe.
Ma non solo. Ho scritto questo articolo anche per farti riflettere.

Se tu compri un servizio in the cloud di posta elettronica molto probabilmente ci sarà incluso anche un sistema antivirus/antispam. Dubito, infatti, che ci sia un fornitore di email in cloud che dichiari di non avere l'antivirus/antispam.

Ma non tutti gli antispam sono uguali e qualcuno di questi antispam è più uguale di altri (per parafrasare una celebre massima).

Per proteggere la posta elettronica dei tuoi clienti, ovunque essa sia, potrebbe essere meglio usare un sistema/servizio diverso da quello che ospita la posta elettronica.

Se ti interessa approfondire l'argomento puoi:

(Le immagini di questo articolo sono tratte da https://www.avanan.com/resources/zerofont-phishing-attack)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.