Nella seconda metà del 2024 Cisco Talos ha rilevato un aumento delle minacce via e-mail attraverso il text salting, un testo cioè nascosto all’interno delle e-mail.
Si tratta di una tecnica semplice ma efficace in grado di aggirare i controlli sulla posta elettronica, confondere i filtri antispam ed eludere i motori di rilevamento basati su parole chiave. Questo metodo sfrutta le funzionalità del linguaggio HTML e dei fogli di stile CSS per inserire commenti e contenuti invisibili alla vittima durante la visualizzazione dell’e-mail.
Come funziona
Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha osservato l’impiego di questa tecnica per diversi scopi, tra cui l’elusione del controllo del nome di un brand da parte dei sistemi di sicurezza.
Il sorgente HTML utilizza il tag <style> per definire lo stile di un’email tramite CSS (Cascading Style Sheets), e gli hacker spesso impostano determinate proprietà per rendere invisibile una parte del messaggio o nascondere caratteri specifici. Il text salting viene anche sfruttato per confondere le procedure di rilevamento della lingua, eludendo così i filtri antispam basati su queste tecniche.
L’obiettivo finale di questa tecnica è quello di consentire al messaggio di phishing di arrivare comunque al destinatario.
Come difendersi
Rilevare il contenuto nascosto delle e-mail rappresenta una sfida significativa nell’identificazione delle minacce che sfruttano questo metodo. Una strategia di mitigazione consiste nello sviluppo di tecniche di rilevamento avanzate in grado di riconoscere il text salting e l’occultamento di un contenuto. Questi sistemi sono progettati per esaminare l’HTML, individuando l’uso eccessivo di CSS o l’annidamento insolito di elementi che potrebbero nascondere del contenuto. Sebbene i sistemi di filtraggio siano utili nel rilevare testo nascosto, i criminali informatici sono costantemente in grado di sviluppare nuove tecniche. Per questo motivo, è fondamentale scegliere una soluzione di sicurezza per la posta elettronica completa, che faccia leva su rilevamenti basati sull’intelligenza artificiale.
Cisco Secure Email Threat Defense utilizza modelli avanzati di apprendimento automatico, tra cui l’elaborazione del linguaggio naturale. Questa soluzione esamina diverse parti di un’e-mail per individuare le minacce ed è in grado di analizzare anche messaggi composti esclusivamente da immagini, progettati per eludere i rilevamenti basati su testo.
Cisco Secure Email Threat Defense identifica le tecniche utilizzate negli attacchi diretti all’organizzazione, fornisce un contesto relativo ai rischi aziendali specifici, offre dati di telemetria sulle minacce facilmente ricercabili e classifica le minacce per determinare quali parti dell’organizzazione risultano più vulnerabili agli attacchi.
