Письма кобольдов: фишинговые атаки по электронной почте на основе HTML
31 марта 2024 года компания Luta Security опубликовала статью, проливающую свет на новую сложную систему безопасности. фишинг вектор, Письма кобольдов. В отличие от традиционных попыток фишинга, которые основаны на вводящих в заблуждение сообщениях, чтобы побудить жертв разгласить конфиденциальную информацию. информация, этот вариант использует гибкость HTML для встраивания скрытого контента в электронные письма. Эти скрытые сообщения, названные экспертами по безопасности «угольными письмами», используют объектную модель документа (DOM) для выборочного раскрытия себя в зависимости от их относительного положения в структуре электронной почты.
Хотя идея сокрытия секретов в электронных письмах на первый взгляд может показаться безобидной или даже гениальной, реальность гораздо более зловещая. Злоумышленники могут использовать эту тактику, чтобы обойти обнаружение и распространить вредоносные полезные данные. Встраивая вредоносный контент в тело электронного письма, особенно контент, который активируется при пересылке, злоумышленники потенциально могут обойти меры безопасности, тем самым увеличивая риск распространения вредоносного ПО или реализации мошеннических схем.
Примечательно, что эта уязвимость затрагивает популярные почтовые клиенты, такие как Mozilla Thunderbird, Outlook on the Web и Gmail. Несмотря на широкомасштабные последствия, только Thunderbird предпринял активные шаги для решения этой проблемы, обсудив предстоящий патч. Напротив, Microsoft и Google еще не представили конкретных планов по устранению этой уязвимости, что делает пользователей уязвимыми для эксплуатации.
Хотя электронная почта остается краеугольным камнем современной коммуникации, эта уязвимость подчеркивает необходимость надежных мер безопасности электронной почты. Повышенная бдительность и превентивные меры необходимы для снижения рисков развития угроз электронной почты. Кроме того, ключом к укреплению обороны является развитие культуры совместной ответственности и активного участия посредством сотрудничества и коллективных действий.
