I fogli di stile a cascata, meglio noti come CSS (Cascading Style Sheets), sono strumenti fondamentali nel web design. Tuttavia, la loro flessibilità ha portato a un uso improprio da parte di attori malintenzionati, che sfruttano una tecnica chiamata “hidden text salting” per eludere filtri antispam, parser di posta elettronica, motori di rilevamento e monitorare le azioni degli utenti.
I ricercatori di Cisco Talos hanno osservato tale abuso sollevando serie preoccupazioni in materia di sicurezza e privacy.
Indice degli argomenti
Abuso dei CSS per eludere i filtri antispam
I filtri antispam sono progettati per bloccare e-mail indesiderate o fraudolente, analizzandone il contenuto alla ricerca di parole o frasi sospette. Tuttavia, i criminali informatici hanno trovato il modo di sfruttare i CSS per eludere questi controlli.
Applicare la NIS2: strategie e soluzioni per una protezione completa. Scarica ora!
Piuttosto che nascondere contenuti dannosi, vengono integrate frasi irrilevanti o insospettabili nel codice delle e-mail, che però rimangono invisibili grazie a proprietà CSS come “text-indent”, che sposta il testo fuori dall’area visibile dello schermo, o “opacity”, che lo rende trasparente.
In questo modo, i filtri antispam considerano l’e-mail sicura perché rilevano contenuti apparentemente legittimi, mentre l’utente non nota nulla di sospetto.
Fonte: Cisco Talos.
Un’attenta analisi della sorgente HTML dell’e-mail rivela diversi tentativi di nascondere il contenuto, sia nel corpo che nell’intestazione dell’e-mail.
“In questo esempio, l‘attaccante ha impostato la proprietà opacity di CSS su zero, rendendo l‘elemento completamente trasparente e invisibile. Nota che questo testo di preheader è tenuto nascosto basandosi su più proprietà CSS, tra cui color, height, max-height e max-width. Inoltre, la proprietà mso-hide è impostata su all per rendere il preheader invisibile anche nei client di posta elettronica di Outlook. Inoltre, nota che il testo invisibile del preheader è completamente irrilevante e appare innocuo (ad esempio, “FOUR yummy soup recipes just for you!”) per renderlo meno sospetto ai filtri antispam”, ha spiegato il ricercatore Omid Mirzaei di Talos.
Fonte: Cisco Talos.
Monitoraggio delle attività degli utenti
Un altro uso improprio dei CSS consiste nel tracciamento delle attività degli utenti. Talos ha avvisato che gli autori delle minacce possono anche tracciare il comportamento degli utenti e condurre attacchi di fingerprinting utilizzando ad esempio la regola “@media” dei CSS.
In tal modo gli attaccanti possono rilevare azioni come l’apertura o la stampa di un’email.
Questi dati, sebbene all’apparenza banali, sono estremamente utili per pianificare attacchi mirati o perfezionare strategie di phishing: sapere che un’email è stata letta in un certo momento potrebbe suggerire il momento migliore per inviare ulteriori messaggi fraudolenti, aumentando così le probabilità di successo.
Ecco un esempio di e-mail spam usata per il tracciamento.
Fonte: Cisco Talos.
L’analisi del codice HTML rivela diversi elementi per il tentativo di tracciamento:
- Un’immagine di tracciamento utilizzata per registrare quando il destinatario apre l’e-mail.
- URL separati per tracciare la preferenza di schema dei colori usata.
- Un URL di tracciamento per registrare quando viene stampato il messaggio.
- Diversi URL di tracciamento per registrare quando l’e-mail viene aperta in uno specifico client di posta elettronica.
- Un pixel di tracciamento viene aggiunto alla fine dell’e-mail per raccogliere l’indirizzo IP del destinatario, il client di posta elettronica utilizzato e altre informazioni specifiche del dispositivo.
Fonte: Cisco Talos.
Le implicazioni per la sicurezza e la privacy
Questi abusi dei CSS presentano rischi significativi. L’elusione dei filtri consente a e-mail potenzialmente pericolose di raggiungere gli utenti, mentre il monitoraggio senza autorizzazione mina la loro privacy.
La combinazione di questi due fattori può facilitare ulteriori attacchi e compromettere seriamente la sicurezza.
Sebbene i CSS siano nati per migliorare l‘esperienza visiva del web, il loro abuso da parte di malintenzionati li ha trasformati in una potenziale minaccia.
La consapevolezza di queste tecniche è il primo passo per proteggere sia la sicurezza personale che la privacy. Investire in sistemi di sicurezza più robusti e mantenere una sana diffidenza nei confronti delle e-mail sospette sono azioni essenziali per ridurre il rischio di cadere vittime di tali stratagemmi.
Talos consiglia di affidarsi a meccanismi di filtraggio avanzati, analisi delle caratteristiche visive e a proxy per la privacy.
I meccanismi di filtraggio avanzati possono aiutare a rilevare il salting del testo nascosto e l’occultamento del contenuto nelle e-mail, mentre l’analisi delle caratteristiche visive può migliorare il rilevamento delle minacce basate sulle immagini.
Infine, i proxy per la privacy delle e-mail possono riscrivere le e-mail per migliorare la sicurezza convertendo le regole CSS di primo livello in attributi di stile e impedire il tracciamento e l’esfiltrazione dei dati, garantendo l’integrità delle e-mail.
