Hackangriffe nehmen ständig an Raffinesse zu. In einer aktuellen Entwicklungsstufe sind Hacker darauf spezialisiert, sogenannte ZeroPoint-Schriften in E-Mails zu verwenden, um bösartige E-Mails in Microsoft Outlook so erscheinen zu lassen, als wären sie sicher von Sicherheitstools gescannt worden.
Obwohl die ZeroFont-Phishing-Technik in der Vergangenheit bereits verwendet wurde, dokumentiert der ISC Sans-Analyst Jan Kopriva nun erstmals diese spezifische Anwendungsmethode.
Was sind ZeroFont-Angriffe?
Das ZeroFont-Angriffsverfahren wurde erstmals 2018 von Avanan dokumentiert. Es handelt sich um eine Phishing-Technik, die Schwachstellen ausnutzt, wie KI- und Natural Language Processing (NLP) Systeme in E-Mail-Sicherheitsplattformen Texte analysieren. Das Verfahren besteht darin, in E-Mails unsichtbare Wörter oder Zeichen einzufügen, indem die Schriftgröße auf Null eingestellt wird. Das macht den Text für menschliche Ziele unsichtbar, bleibt jedoch für NLP-Algorithmen lesbar. Der Angriff zielt darauf ab, Sicherheitsfilter zu umgehen, indem unsichtbare harmlose Begriffe eingefügt werden, die den Inhalt der KI verzerren.
Avanan warnte bereits 2018, dass ZeroFont sogar Microsofts Office 365 Advanced Threat Protection (ATP) umgehen konnte, selbst wenn die E-Mails bekannte schädliche Schlüsselwörter enthielten.
Gefälschte Antivirus-Scans verstecken
In einer neu entdeckten Phishing-E-Mail setzt ein Bedrohungsakteur den ZeroFont-Angriff ein, um Nachrichtenvorschauen in weit verbreiteten E-Mail-Clients wie Microsoft Outlook zu manipulieren.
Insbesondere zeigt die betreffende E-Mail in Outlooks E-Mail-Liste eine andere Nachricht an als in der Vorschau. In der E-Mail-Liste steht “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM”, während am Anfang der E-Mail in der Vorschau “Job Offer | Employment Opportunity” steht.
Dieser Unterschied wird durch den Einsatz von ZeroFont erzielt, um die gefälschte Sicherheitsnachricht am Anfang der Phishing-E-Mail zu verbergen. Das Ziel besteht darin, dem Empfänger ein falsches Gefühl von Legitimität und Sicherheit zu vermitteln.
Es ist wahrscheinlich, dass nicht nur Outlook den ersten Teil einer E-Mail erfasst, um eine Nachricht ohne Überprüfung ihrer Schriftgröße in der Vorschau anzuzeigen. Daher ist auch für Nutzer anderer Software Vorsicht geboten.
Fazit
Angesichts dieser neuen Methode ist es für Anwender von Microsoft Outlook und anderen E-Mail-Clients von größter Bedeutung, wachsam zu bleiben und nicht blind auf scheinbare Sicherheitsbenachrichtigungen zu vertrauen. Das Bewusstsein für derartige Tricks und Täuschungsmanöver ist der erste Schritt zur eigenen Sicherheit.