Dolda textsträngar i till synes legitima e-post-medelanden lurar spamfilter och spårningsverktyg. Det menar Cisco Talos blir allt vanligare.
Cisco Talos, som är Ciscos organisation för forskning och analys kring cyberhot, noterade en väsentlig ökning av ”text poisoning” under andra halvåret 2024 och har därför publicerat en analys av tillvägagångssättet. ”Det är en enkel men effektiv metod för att släppa igenom e-postmeddelanden som annars skulle ha stoppats”, skriver Cisco Talos.
Dold text kan till exempel gömmas genom att använda HTML-kod och CSS-mallar för att lägga in textsträngar som inte syns för användaren, men som uppfattas av e-postparsern.
Ett exempel som rapporten tar upp är att enstaka ord som säkerhetsfunktionerna är inställda att reagera på kan modifieras med extra tecken, som bara syns för filtret och inte för användaren.
En annan metod som Cisco Talos uppmärksammar i rapporten är att lura säkerhetsfunktioner som är inställda på att reagera på och kontollera meddelanden på ett visst språk. Genom att gömma ord på ett annat språk i dold text kan e-postmeddelandet kringgå kontrollen.
Bland de incidenter som kartlagts i genomgången finns exempel på skräppost som utger sig för att vara från Wells Fargo och Norton LifeLock.
– Metoden kräver relativt lite specialistkunskap för att utnyttja och antalet sätt det kan användas på är mycket stort. Eftersom många traditionella skyddsmekanismer ännu inte är förberedda för metoden är det viktigt att öka medvetenheten om den, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige, i ett pressmeddelande.