Hackangriffe nehmen stÀndig an Raffinesse zu. In einer aktuellen Entwicklungsstufe sind Hacker darauf spezialisiert, sogenannte ZeroPoint-Schriften in E-Mails zu verwenden, um bösartige E-Mails in Microsoft Outlook so erscheinen zu lassen, als wÀren sie sicher von Sicherheitstools gescannt worden.
Obwohl die ZeroFont-Phishing-Technik in der Vergangenheit bereits verwendet wurde, dokumentiert der ISC Sans-Analyst Jan Kopriva nun erstmals diese spezifische Anwendungsmethode.
Was sind ZeroFont-Angriffe?
Das ZeroFont-Angriffsverfahren wurde erstmals 2018 von Avanan dokumentiert. Es handelt sich um eine Phishing-Technik, die Schwachstellen ausnutzt, wie KI- und Natural Language Processing (NLP) Systeme in E-Mail-Sicherheitsplattformen Texte analysieren. Das Verfahren besteht darin, in E-Mails unsichtbare Wörter oder Zeichen einzufĂŒgen, indem die SchriftgröĂe auf Null eingestellt wird. Das macht den Text fĂŒr menschliche Ziele unsichtbar, bleibt jedoch fĂŒr NLP-Algorithmen lesbar. Der Angriff zielt darauf ab, Sicherheitsfilter zu umgehen, indem unsichtbare harmlose Begriffe eingefĂŒgt werden, die den Inhalt der KI verzerren.
Avanan warnte bereits 2018, dass ZeroFont sogar Microsofts Office 365 Advanced Threat Protection (ATP) umgehen konnte, selbst wenn die E-Mails bekannte schĂ€dliche SchlĂŒsselwörter enthielten.
GefÀlschte Antivirus-Scans verstecken
In einer neu entdeckten Phishing-E-Mail setzt ein Bedrohungsakteur den ZeroFont-Angriff ein, um Nachrichtenvorschauen in weit verbreiteten E-Mail-Clients wie Microsoft Outlook zu manipulieren.
Insbesondere zeigt die betreffende E-Mail in Outlooks E-Mail-Liste eine andere Nachricht an als in der Vorschau. In der E-Mail-Liste steht „Scanned and secured by IscÂźAdvanced Threat protection (APT): 9/22/2023T6:42 AM“, wĂ€hrend am Anfang der E-Mail in der Vorschau „Job Offer | Employment Opportunity“ steht.
Dieser Unterschied wird durch den Einsatz von ZeroFont erzielt, um die gefĂ€lschte Sicherheitsnachricht am Anfang der Phishing-E-Mail zu verbergen. Das Ziel besteht darin, dem EmpfĂ€nger ein falsches GefĂŒhl von LegitimitĂ€t und Sicherheit zu vermitteln.
Es ist wahrscheinlich, dass nicht nur Outlook den ersten Teil einer E-Mail erfasst, um eine Nachricht ohne ĂberprĂŒfung ihrer SchriftgröĂe in der Vorschau anzuzeigen. Daher ist auch fĂŒr Nutzer anderer Software Vorsicht geboten.
Fazit
Angesichts dieser neuen Methode ist es fĂŒr Anwender von Microsoft Outlook und anderen E-Mail-Clients von gröĂter Bedeutung, wachsam zu bleiben und nicht blind auf scheinbare Sicherheitsbenachrichtigungen zu vertrauen. Das Bewusstsein fĂŒr derartige Tricks und TĂ€uschungsmanöver ist der erste Schritt zur eigenen Sicherheit.
