Neue Verschleierungsmethode für Spam- und Phisingmails

Das Sicherheitsunternehmen Proofpoint berichtet von einer neuen Methode, mit der Spam- und Phisingmails verschleiert werden. Diese Methode wurde erstmals im Mai 2018 beobachtet. Es gab zwar bisher noch keine Berichte, dass diese Methode in Europa eingesetzt wird, dies dürfte aber nur eine Frage der Zeit sein.

Gearbeitet wird hierbei mit Text, der scheinbar keinen Sinn ergibt und aus Buchstabensalat besteht. Als simples Beispiel:

Kplz pza lpu Ilpzwplsalea, dpl ly pu lpuly Wopzpunthps clydlukla dlyklu röuual.

Damit dann im E-Mail Client kein Buchstabensalat angezeigt wird, nutzen die Angreifer eine CSS Regel, über die dann in der E-Mail eingebettete WOFF Schriftarten genutzt werden. Das hat für den Angreifer den großen Vorteil, dass kein JavaScript genutzt werden muss. Aufgrund der häufigen Verwendung von JavaScript in E-Mails mit Schadsoftware erregt dies mittlerweile schnell die Aufmerksamkeit von Sicherheitssoftware. Zudem ist in Unternehmen recht oft JavaScript im E-Mail Client deaktiviert.

Wenn man diese Schriftart extrahiert und betrachtet erhält man statt dem Alphabet wieder nur eine scheinbar zufällige Anordnung von Buchstaben. Kombiniert man allerdings diese beiden Elemente, dann erscheint im E-Mail Client ein für Menschen lesbarer Text.
Diese Methode ist vergleichbar mit der Caesar-Verschlüsselung, welche für die obige Demonstration verwendet wurde.

Dadurch soll eine maschinelle Erkennung von unerwünschten E-Mails erschwert werden, weil bestimmte Schlagwörter aufgrund der Verschleierung nicht erkannt werden können.

Sich gegen diese Verschleierungsmethode zu wehren, ist leider nicht ganz so einfach. Man kann über Richtlinien im E-Mail Client die Anzeige von Plain-Text erzwingen. Dadurch würde dann jeder den Buchstabensalat sehen. Dies würde allerdings auch in vielen legitimen E-Mails das Design zerstören oder die E-Mail komplett unlesbar machen. Nur die wenigsten Absender berücksichtigen beim Schreiben einer E-Mail die Anzeige im Plain-Text Modus.
Entsprechende Sicherheitssoftware, welche für das Erkennen von Spam- und Phisingmails entwickelt wurde, sollte natürlich immer mit den neuesten Erkennungsroutinen versorgt werden. Dies geschieht in der Regel automatisiert.

Software kann nicht immer helfen oder schützen. Von daher müssen auch die Mitarbeiter im Umgang mit Phising-Mails sensibilisiert werden. Egal ob diese verschleiert wurden oder nicht.

Die mit einem * markierten Felder sind Pflichtfelder.