Pro detekci podvodných emailů používá většina poskytovatelů emailu strojové čtení. Pokud objeví podezřelý text, např. žádot o reset hesla, zaslání platby nebo pokus o napodobení nějaké známe firmy, email označí jako podvodný. Autoři těchto emailů používají techniku zvanou Dubbed ZeroFont, která se snaží detekci oklamat. A daří se jim to.
Jak to funguje? Autor emailu vloží do textu znaky s nulovou velikostí. Ty jsou neviditelné pro uživatele, ale automatická detekce nepracuje s vizuální podobou textu, používá zdrojový kód emailu. Uživatel pak vidí např. text “©2018 Microsoft Corporation”, ale ve zdrojovém kódu jsou další slova (viz obrázek níže: Co vidí uživatel vs. co vidí Microsoft). Takže příjemce emailu vidí správně “podepsaný” text, což by (pokud email přišel z jiné adresy než Microsoftu) měl automat vyhodnotit jako spam, ale protože zdrojový kód obsahuje jiný text, který není nijak “závadný”, považuje email za legitimní.
Vývojáři ochranných systémů pro detekci podvodných emailů neustále vylepšují detekční mechanismy, ale útočníci jsou většinou o (nejméně) jeden krok napřed. Některé systémy se naučily detekovat i takovýto způsob maskování, nicméně většinou pracují s existujícími slovníky – porovnávají text s běžnými slovy. V případě, že autor podvodného emailu vloží takový neviditelný text, který neobsahuje existující slova, opět může tuto ochranu obejít.
Vždy proto věnujte pozornost adrese (nikoliv jménu), ze které emaily s požadavkem nějaké akce přicházejí.
Zdroj: Avanan
