حمله فیشینگ جدید: کاراکترهای نامرئی پنهان شده در عنوان ایمیل، فیلترهای امنیتی را دور می‌زنند

مجرمان سایبری یک تکنیک فیشینگ پیچیده جدید را توسعه داده‌اند که از کاراکترهای نامرئی در خطوط موضوع (Subject Line) ایمیل استفاده می‌کند تا فیلترهای امنیتی خودکار را دور بزند. این روش که ترکیبی از رمزگذاری MIME و کاراکترهای soft hyphen یونیکد است، پیام‌های مخرب را برای چشم انسان قانونی نشان می‌دهد، در حالی که الگوریتم‌های تشخیص کلمات کلیدی فیلترهای امنیتی را فریب می‌دهد.

جزئیات فنی حمله و سازوکار فرار

این حمله نشان‌دهنده تکامل تاکتیک‌های مهندسی اجتماعی است و مستقیماً مکانیزم‌های فیلتر ایمیل را که بر شناسایی کلمات کلیدی و الگوهای مشخص تکیه دارند، هدف قرار می‌دهد.

• هدف اصلی: سرقت اعتبارنامه‌ها از طریق صفحات جعلی ورود به سیستم وب‌میل.

• تکنیک پنهان‌کاری: مهاجمان از قالب‌بندی رمزگذاری شده MIME (طبق استاندارد RFC 2047) استفاده می‌کنند و محتوای خط موضوع را با رمزگذاری Base64 در کاراکترهای UTF-8 پنهان می‌کنند.

• کاراکتر نامرئی: در متن رمزگذاری شده، کاراکترهای soft hyphen یونیکد (U+00AD) را در بین حروف کلمات کلیدی حساس (مانند "password" یا "expire") وارد می‌کنند.

• نتیجه فریب:

  • برای انسان: در اکثر کلاینت‌های ایمیل (مانند Outlook)، این کاراکترهای soft hyphen به صورت نامرئی رندر می‌شوند و کاربر عبارت را به شکل عادی و خوانا (مانند "Your Password is about to Expire") مشاهده می‌کند.

  • برای فیلتر امنیتی: در سطح کد، کلمات کلیدی به قطعات کوچک تقسیم می‌شوند (مثلاً "p-a-s-s-w-o-r-d"). این تقسیم‌بندی باعث می‌شود موتورهای اسکن محتوا که به دنبال مطابقت دقیق الگوها هستند، شکست بخورند و ایمیل به صندوق ورودی کاربر هدایت شود.

گستره حمله و پیامدها

این تکنیک فراتر از خط موضوع نیز گسترش یافته و برای شکست دادن موتورهای اسکن محتوای پیام در بدنه ایمیل نیز استفاده می‌شود. پیام‌های فیشینگ قربانیان را به دامنه‌های قانونی به خطر افتاده‌ای هدایت می‌کنند که میزبان پورتال‌های جمع‌آوری اعتبارنامه (Credential Harvesting Portals) با ظاهری عمومی شبیه به صفحات ورود به وب‌میل هستند.

پیامد: این روش ساده اما بسیار مؤثر، نرخ موفقیت حملات فیشینگ را به شدت افزایش می‌دهد، چرا که لایه اول دفاعی سازمان‌ها (فیلترهای امنیتی خودکار) را غیرفعال می‌کند.

اقدامات دفاعی و پیشگیرانه

برای مقابله با این نوع حملات فیشینگ پیچیده، سازمان‌ها باید استراتژی‌های امنیتی خود را فراتر از تشخیص کلمات کلیدی صرف گسترش دهند:

1. تقویت فیلترها: سیستم‌های فیلتر ایمیل و Gatewayها باید به روزرسانی شوند تا کاراکترهای کنترلی و نامرئی مانند soft hyphen یونیکد را در هدرها و بدنه ایمیل‌ها شناسایی و خنثی یا علامت‌گذاری کنند.

2. استفاده از MFA: استفاده از احراز هویت چند عاملی (MFA) را برای تمامی حساب‌های کاربری، به ویژه حساب‌های وب‌میل و سازمانی، اجباری کنید تا حتی در صورت سرقت اعتبارنامه‌ها، مهاجم نتواند وارد سیستم شود.

3. آموزش آگاهی‌رسانی: کاربران را به صورت مداوم در مورد تکنیک‌های پیشرفته مهندسی اجتماعی و فیشینگ، مانند توجه به تناقضات عجیب در نمایش عنوان ایمیل یا آدرس‌های URL فریبنده، آموزش دهید.

4. نظارت بر لینک‌ها: از ابزارهای امنیتی که محتوای ایمیل و لینک‌ها را در زمان تحویل (Delivery Time) و در زمان کلیک (Click Time) اسکن و تحلیل می‌کنند، استفاده کنید.