Text Poisoning nimmt Fahrt auf

Davor warnt das Cybersecurity-Team von Cisco Talos, das in der zweiten Hälfte des Jahres 2024 eine deutliche Zunahme von Poisoning-Bedrohungen entdeckt hat. Hidden Text Salting oder Poisoning dient zur Umgehung von Sicherheitstechniken und Erkennungssystemen, die auf Schlüsselwörter angewiesen sind. Die einfache, aber effektive Technik fügt Zeichen in den HTML-Quelltext einer E-Mail ein, die für den Empfänger visuell nicht erkennbar sind. Diese versteckten Zeichen können jedoch E-Mail-Parser, Spam-Filter und Spracherkennungsprozesse umgehen oder stören. Das Ziel ist ein Eindringen in IT-Netzwerke.

Austricksen Cloud-basierter Filterservices

Häufig dient Poisoning dazu, die Erkennung von Markennamen durch E-Mail-Parser zu umgehen. So haben Hacker zum Beispiel irrelevante Zeichen zwischen die Buchstaben der Marke Wells Fargo gesetzt und über CSS mit der Breitenangabe null für die visuelle Anzeige verborgen. In einem anderen Fall wurden ZWSP (Zero-Width Space)- und ZWNJ (Zero-Width Non-Joiner)-Zeichen zwischen die Buchstaben von Norton LifeLock eingefügt. Bei einer anderen Phishing-Mail waren einige französische Wörter und Sätze unsichtbar im englischen Text versteckt, um die Spracherkennung eines Cloud-basierten Filterservices auszutricksen.

Thorsten Rosendahl, Technical Leader von Cisco Talos: „Text Poisoning braucht vergleichsweise wenig Spezialwissen, um unerwünschte Inhalte in bösartigen Mails anzuzeigen. Gleichzeitig ist die Anzahl der Möglichkeiten, wie es verwendet werden kann, sehr hoch. Das ist eine gefährliche Mischung, auf die viele klassische Schutzmechanismen noch nicht vorbereitet sind.“

Struktur des HTML-Quelltexts analysieren

Aktuelle Filtertechniken können Hidden Text Salting und andere Methoden zur Verschleierung von Inhalten erkennen. Sie müssen jedoch ständig angepasst und weiterentwickelt werden, damit sie die bösartige Verwendung von CSS-Eigenschaften wie Sichtbarkeit (z. B. „hidden“) und Anzeige (z. B. „none“) entdecken. Diese Systeme untersuchen auch die Struktur des HTML-Quelltextes von E-Mails, um die übermäßige Verwendung von Inline-Styles oder eine ungewöhnliche Verschachtelung von Elementen aufzudecken. Zusätzlich zum Quelltext sollten Schutzsysteme die visuellen Eigenschaften von E-Mails analysieren. Denn häufig lassen sich durch den Vergleich von Codierung und Anzeige mögliche Angriffsversuche einfacher erkennen. Cisco nutzt in der Secure Email Threat Defense Lösung dafür spezielle Deep- und Machine Learning-Modelle inklusive NLP (Natural Language Processing).

Roger Homrich

Recent Posts

Studie: Mehr als neun von zehn E-Mails waren 2024 Spam

Der Anteil der betrügerischen Nachrichten liegt bei 32 Prozent. Auch Business E-Mail Compromise bleibt eine…

9 Stunden ago

Intel meldet Verlust und Umsatzrückgang im vierten Quartal

Beide Kennzahlen übertreffen jedoch die Erwartungen von Analysten. Die Client Computing Group und die Data…

10 Stunden ago

Google kündigt neue Sicherheitsfunktion für Android an

Der Identity Check erweitert Googles Diebstahlschutz für Smartphones und Tablets. Die Funktion schützt Sicherheitseinstellungen und…

13 Stunden ago

Apple erzielt Rekordumsatz im ersten Fiskalquartal

Auch der Gewinn steigt um 7 Prozent auf mehr als 36 Milliarden Dollar. Wachstumsmotoren sind…

14 Stunden ago

Meta meldet Gewinnsprung im vierten Quartal

Der Umsatz wächst deutlich schneller als die Kosten. Im laufenden Jahr rechnet Meta mit steigenden…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloudsparte ist erneut ein Wachstumsmotor. Die Börse reagiert indes nervös auf Microsofts Umsatzprognose für…

2 Tagen ago