Nouvelle méthode de dissimulation pour les spams et les e-mails de phishing

L'entreprise de sécurité Proofpoint fait état d'une nouvelle méthode de camouflage des spams et des e-mails de phishing. Cette méthode a été observée pour la première fois en mai 2018. Il n'y a pas encore eu de rapports indiquant que cette méthode est utilisée en Europe, mais cela ne devrait être qu'une question de temps.

Le texte utilisé n'a apparemment aucun sens et se compose d'un mélange de lettres. Un exemple simple :

Kplz pza lpu Ilpzwplsalea, dpl ly pu lpuly Wopzpunthps clydlukla dlyklu röuual.

Afin d'éviter l'affichage d'une salade de lettres dans le client de messagerie, les pirates utilisent une règle CSS qui permet d'utiliser les polices WOFF intégrées dans l'e-mail. Pour l'attaquant, cela présente le grand avantage de ne pas devoir utiliser JavaScript. En raison de l'utilisation fréquente de JavaScript dans les e-mails contenant des logiciels malveillants, cette pratique attire désormais rapidement l'attention des logiciels de sécurité. De plus, dans les entreprises, JavaScript est assez souvent désactivé dans le client de messagerie.

Si l'on extrait et observe cette police, on obtient à nouveau, au lieu de l'alphabet, une disposition apparemment aléatoire de lettres. Toutefois, si l'on combine ces deux éléments, un texte lisible par l'homme apparaît dans le client de messagerie.
Cette méthode est comparable au cryptage César utilisé pour la démonstration ci-dessus.

Cette méthode vise à rendre plus difficile la détection automatique d'e-mails indésirables, car certains mots-clés ne peuvent pas être reconnus en raison de l'occultation.

Il n'est malheureusement pas si simple de se défendre contre cette méthode de dissimulation. Il est possible de forcer l'affichage du texte brut par le biais de directives dans le client de messagerie. Ainsi, tout le monde verrait la salade de lettres. Mais cela détruirait également le design de nombreux e-mails légitimes ou rendrait l'e-mail complètement illisible. Rares sont les expéditeurs qui tiennent compte de l'affichage en mode plain-text lors de la rédaction d'un e-mail.
Le logiciel de sécurité correspondant, qui a été développé pour reconnaître les spams et les e-mails de phishing, devrait bien sûr toujours être équipé des dernières routines de reconnaissance. Cela se fait généralement de manière automatisée.

Les logiciels ne peuvent pas toujours aider ou protéger. C'est pourquoi les collaborateurs doivent également être sensibilisés à l'utilisation des e-mails de phishing. Peu importe que ceux-ci aient été déguisés ou non.