.
Pesquisadores dizem que os cibercriminosos podem se divertir contornando uma das medidas antiphishing da Microsoft no Outlook com alguns ajustes simples de CSS.
William Moody, consultor de segurança de TI da Certitude, escreveu hoje em seu blog sobre como a Dica de Segurança de Primeiro Contato – um banner exibido no Outlook quando um usuário recebe uma mensagem de um endereço que normalmente não o contata – pode ser ocultada (principalmente) usando tags de estilo CSS.
Como a Dica de Segurança de Primeiro Contato é adicionada ao código HTML de um e-mail antes do conteúdo da mensagem, tudo o que um phisher precisaria fazer é criar um e-mail somente em HTML, alterando o fundo e a fonte do banner para branco, e pronto, o banner ainda existe, mas não está mais visível.
Moody disse: “Embora a aplicação de algumas regras CSS mais comuns, como display: none, height: 0pxe opacity: 0 para a tabela em si não parece funcionar, seja devido ao CSS embutido nos elementos ou devido à falta de suporte do mecanismo de renderização que o Outlook usa, é possível alterar as cores de fundo e fonte para branco para que o alerta fique efetivamente invisível quando renderizado para o usuário final que está visualizando o e-mail.”
A única desvantagem é que a visualização do e-mail exibida no painel esquerdo do Outlook ainda exibirá a mensagem Dica de segurança para o primeiro contato em texto pequeno e cinza abaixo da visualização do corpo do e-mail.
Dito isso, a pré-visualização é pequena e provavelmente ficará truncada na maioria das configurações de exibição, o que pode passar despercebida para aqueles que não estão cientes da mensagem e estão trabalhando rápido demais para prestar atenção.
Como uma camada adicional de legitimidade percebida a um possível e-mail de phishing, o mesmo método pode ser aplicado para adicionar uma nota aparentemente legítima para mostrar que a mensagem foi criptografada ou assinada.
Novamente, há algumas ressalvas a isso. Não é uma paródia do tipo igual por igual – a formatação parecerá diferente para usuários mais atentos ou experientes do Outlook e é preciso um pequeno ajuste para atingir um resultado final meio convincente.
Por exemplo, digamos que queremos adicionar uma nota a um e-mail que diz: “Assinado por c.jones@elreg.com” – você teria que substituir o ponto no endereço de e-mail pelo caractere Unicode U+2024 para evitar que um link mailto fosse gerado, o que seria diferente do que é normalmente exibido.
No entanto, como Moody observou: “Basta que uma pessoa caia no ataque de phishing para que um adversário ganhe uma posição na organização.”
Os pesquisadores, Moody e Wolfgang Ettlinger, informaram a Microsoft sobre isso em fevereiro, mas suas descobertas não serão abordadas no curto prazo.
“Determinamos que sua descoberta é válida, mas não atende aos nossos requisitos para atendimento imediato, considerando que isso se aplica principalmente a ataques de phishing”, disse a Microsoft à dupla.
“No entanto, ainda marcamos sua descoberta para análise futura como uma oportunidade de melhorar nossos produtos.” ®
.
