Podvodné e-maily jsou stále sofistikovanější. Nejen na gmailu probíhají tzv. homografické útoky, kdy útočník využívá podobnosti písem. Čím dál častěji však narážím i na využití sady Unicode znaků, jež vypadají stejně jako běžná písmena, ale pro spamové filtry představují úplně jiné znaky.
Nový typ podvodných homografických e-mailů
Ukáži konkrétní příklad: V Gmailu mi chodí e-maily od dopravní služby PPL s tím, že má zásilka bude v případě nevyzvednutí vrácena. Je zde využit také ten nejtypičtější prvek sociálního inženýrství pro podvodné zprávy: časový nátlak (zprávy typu poslední varování, poslední šance, dnes končí, atd…).
Problém je, že dané znaky vypadají pro lidské oko téměř totožně. Uvedu příklad: klasické velké P má unicode zápis U+0050, kdežto jejich použité 𝖯 má zápis U+1D5AF, přesto vypadá téměř totožně. Tyto zprávy jsou problematické téměř vždy (neposíláte-li si přes mail matematické rovnice), nutí nás tedy k mnohem větší ostražitosti.
Podvodná zpráva tvářící se jako PPL
Zápis je tedy rozdílný, ale znaky ne zcela stejné a ne každý si toho všimne:
Je asi zjevné, proč kyberzločinci tyto znaky využívají – snaží se tak obejít bezpečnostní protispamové filtry, jež neustále skenují texty e-mailů a hledají trigger words (spouštěcí slova). Spamový filtr však místo slova PPL uvidí pouze něco jako „\U0001d5af \U0001d5af\U0001d5ab“. Jistě namítnete, že by měl být v dnešní době schopen toto rozpoznat – ne vždy tomu tak je. Samozřejmě toto není jediný prvek ochrany, moderní filtry využívají strojové učení, reputaci domény, historii komunikace a další faktory, moderní jsou však i podvodníci, a tak se stává, že se přes filtry dostane i něco takového.
Takto zapsaný mail navíc působí věrohodně v oku oběti – tyto zprávy cílí na neznalé amatéry a uživatele s horším zrakem.
Proč Google „nebezpečné“ znaky povoluje?
Důvodů je několik a pro technologické firmy představují velký oříšek: Předně jde o zpětnou kompatibilitu se standardy. Unicode je celosvětově využíván a zákaz by mohl vést k sesypání obsahu leckterých e-mailů, kdy s touto znakovou sadou uživatelé zacházejí „správně“. Týká se to atypických jazyků, vědeckých zápisů, matematických rovnic, ale třeba také „emodži“ emotikon atp. Navzdory riziku tak Google považuje za vhodné UNICODE začleňovat.
Je to jistě dobře, avšak v době AI by snad neměl být problém nastavit filtr na simulování daných znaků v souvislosti s hrozbou homografických útoků, zatím se tak však neděje a proto musíme zůstat obezřetní ;-).
PS: Abych byl spravedlivý, zrovna v posledních dnech jsem zaznamenal, že velké množství takových zpráv opravdu ve spamovém koši skončilo, nejsem si však jist, zda je důvodem zachycení rozeznání homografické hrozby nebo již pofidérní e-mail odesilatel.
Podvodná zpráva tvářící se jako PPL
Napsat komentář