🔴 Forwardujesz komuś e-maila. Niby wszystko OK, ale w skrzynce odbiorcy magicznie pojawia się tekst wstrzyknięty przez atakującego. Technika phishingowa: Kobold letters

Tym razem zacznijmy od przykładu praktycznego.

• Po lewej stronie widać przykładowy mail otrzymany z zewnętrznego adresu
• email ten jest następnie forwardowany do ksiegowosc@sekurak.pl
• Po prawej stronie widać skrzynkę odbiorcvzą ksiegowosc@sekurak.pl – widać tutaj dodatkową informację (czerwona ramka)

Jak to jest możliwe? Wszystko za sprawą nowej techniki Kobold letters, która bazuje na e-mailu przygotowanym w formacie HTML i sprytnym użyciu styli.

W trakcie forwardowania e-maili klienci poczty (Thunderbird / Outlook) dodają pewne tagi, co powoduje „zaburzenie” struktury emaila, stąd finalnie nie działa już oryginalny styl, który ukrywał dodatkową wiadomość.

W oryginalnym badaniu wskazane są przykłady dla Thunderbirda / Outlooka / Gmaila (w tym ostatnim są najmniejsze możliwości naruszeń). Twórcy tych narzędzi przyjęli zgłoszenie z odpowiedzią – ~zajmiemy się tym w przyszłości.

Co możemy zrobić żeby uchronić się przed problemem? Wystarczy wyświetlać wiadomości jako tekst (nie HTML). W Thunderbirdzie wygląda to tak:

Zaintrygowany tematem? Chciałbyś zobaczyć wszystko na żywo? Zapraszamy na:
sekurakowe szkolenie cyberawareness dla firm (będzie ten przykład, będzie masa innych przykładów – agenda tutaj :-)

~ms