MinhSec
Writer
Trong thời gian gần đây, các chuyên gia bảo mật cảnh báo về một chiêu trò mới đang được tin tặc sử dụng để qua mặt hệ thống lọc thư rác và phát hiện email độc hại: chèn văn bản và ký tự ẩn bằng CSS (Cascading Style Sheets).
Ý tưởng đằng sau thủ thuật này khá tinh vi kẻ tấn công thêm vào email hàng loạt đoạn văn vô nghĩa, ký tự ngẫu nhiên hoặc bình luận ẩn mà người đọc không thể nhìn thấy. Tuy nhiên, chính những “nhiễu” này lại khiến các công cụ bảo mật nhầm lẫn và cho phép email độc hại vượt qua lớp phòng vệ.
Theo nhóm nghiên cứu Cisco Talos, kỹ thuật “salting” hay còn gọi là “nêm muối văn bản ẩn” đang ngày càng phổ biến trong các chiến dịch lừa đảo qua email. Đây là phương pháp lợi dụng CSS và HTML để thêm vào những nội dung mà người dùng không thấy, nhưng lại làm nhiễu dữ liệu đầu vào của bộ lọc.
Ví dụ, trong một email giả mạo thương hiệu bảo hiểm Blue Cross Blue Shield, kẻ tấn công đã chèn dòng chữ “BỐN công thức súp ngon dành riêng cho bạn!” vào phần xem trước của thư (preview text). Đoạn này được CSS ẩn hoàn toàn bằng thuộc tính opacity: 0, khiến người đọc không thấy gì, nhưng vẫn ảnh hưởng tới cách hệ thống phân tích nội dung.
Cisco Talos cho biết các nhóm tấn công thường sử dụng thêm những thuộc tính như display: none, font-size: 0, hoặc màu chữ trùng với màu nền để che giấu nội dung. Một số thậm chí còn chèn đoạn mã vào các phần như tiêu đề, phần mở đầu hoặc tệp đính kèm HTML. Mục đích là để “đầu độc” bộ lọc phát hiện dựa trên từ khóa hoặc trí tuệ nhân tạo, khiến chúng không còn phân biệt được đâu là email hợp lệ và đâu là lừa đảo.
Để đối phó với kỹ thuật “nêm muối”, Cisco Talos khuyến nghị các tổ chức nên kiểm tra và khử trùng mã HTML trong email ngay khi nhận được. Việc này giúp loại bỏ những đoạn văn bản hoặc bình luận ẩn trước khi email được gửi tới công cụ phân tích hạ nguồn.
Một giải pháp khác là thiết lập bộ lọc chuyên biệt trong cổng email hoặc proxy, có thể tự động bỏ qua các phần nội dung bị ẩn. Điều này giúp đảm bảo hệ thống phát hiện chỉ xử lý những gì thực sự hiển thị với người dùng.
Cisco Talos cảnh báo rằng chỉ một vài ký tự ẩn cũng đủ khiến email độc hại qua mặt hệ thống. Do đó, các doanh nghiệp cần liên tục cập nhật giải pháp bảo mật và nâng cao khả năng nhận diện kiểu tấn công “ẩn mình” bằng CSS vốn đang ngày càng tinh vi hơn.
Ý tưởng đằng sau thủ thuật này khá tinh vi kẻ tấn công thêm vào email hàng loạt đoạn văn vô nghĩa, ký tự ngẫu nhiên hoặc bình luận ẩn mà người đọc không thể nhìn thấy. Tuy nhiên, chính những “nhiễu” này lại khiến các công cụ bảo mật nhầm lẫn và cho phép email độc hại vượt qua lớp phòng vệ.
“Nêm muối” kỹ thuật đánh lừa hệ thống phát hiện
Theo nhóm nghiên cứu Cisco Talos, kỹ thuật “salting” hay còn gọi là “nêm muối văn bản ẩn” đang ngày càng phổ biến trong các chiến dịch lừa đảo qua email. Đây là phương pháp lợi dụng CSS và HTML để thêm vào những nội dung mà người dùng không thấy, nhưng lại làm nhiễu dữ liệu đầu vào của bộ lọc.
Ví dụ, trong một email giả mạo thương hiệu bảo hiểm Blue Cross Blue Shield, kẻ tấn công đã chèn dòng chữ “BỐN công thức súp ngon dành riêng cho bạn!” vào phần xem trước của thư (preview text). Đoạn này được CSS ẩn hoàn toàn bằng thuộc tính opacity: 0, khiến người đọc không thấy gì, nhưng vẫn ảnh hưởng tới cách hệ thống phân tích nội dung.
Cisco Talos cho biết các nhóm tấn công thường sử dụng thêm những thuộc tính như display: none, font-size: 0, hoặc màu chữ trùng với màu nền để che giấu nội dung. Một số thậm chí còn chèn đoạn mã vào các phần như tiêu đề, phần mở đầu hoặc tệp đính kèm HTML. Mục đích là để “đầu độc” bộ lọc phát hiện dựa trên từ khóa hoặc trí tuệ nhân tạo, khiến chúng không còn phân biệt được đâu là email hợp lệ và đâu là lừa đảo.
Cách bảo vệ trước kỹ thuật chèn văn bản ẩn
Để đối phó với kỹ thuật “nêm muối”, Cisco Talos khuyến nghị các tổ chức nên kiểm tra và khử trùng mã HTML trong email ngay khi nhận được. Việc này giúp loại bỏ những đoạn văn bản hoặc bình luận ẩn trước khi email được gửi tới công cụ phân tích hạ nguồn.
Một giải pháp khác là thiết lập bộ lọc chuyên biệt trong cổng email hoặc proxy, có thể tự động bỏ qua các phần nội dung bị ẩn. Điều này giúp đảm bảo hệ thống phát hiện chỉ xử lý những gì thực sự hiển thị với người dùng.
Cisco Talos cảnh báo rằng chỉ một vài ký tự ẩn cũng đủ khiến email độc hại qua mặt hệ thống. Do đó, các doanh nghiệp cần liên tục cập nhật giải pháp bảo mật và nâng cao khả năng nhận diện kiểu tấn công “ẩn mình” bằng CSS vốn đang ngày càng tinh vi hơn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
