Шпионский дизайн: хакеры используют CSS для слежки за вашими действиями
Абсолютное позиционирование становится идеальным укрытием для цифровых бандитов.
Специалисты Cisco Talos выявили способы злоупотребления каскадными таблицами стилей (CSS) для обхода спам-фильтров и отслеживания действий пользователей. Этот метод позволяет скрывать вредоносный контент, затрудняя его обнаружение, а также получать информацию о системе и предпочтениях жертвы. CSS используется для оформления HTML-контента, но его свойства могут применяться для сокрытия текста и сбора данных о пользователях.
Один из методов злоупотребления — использование свойства text-indent. Оно позволяет переместить текст за границы видимой области, делая его невидимым. Также уменьшается размер шрифта и цвет текста делается прозрачным, что затрудняет его обнаружение. Альтернативный метод основан на opacity: 0, когда текст остаётся в коде, но не отображается на экране. Злоумышленники скрывают дополнительную информацию в заголовке письма, например, делая предзаголовок невидимым с помощью CSS. Это позволяет добавить текст, который не насторожит спам-фильтры.
Ещё один способ обхода защиты — HTML Smuggling. Вредоносное вложение в письме может содержать случайные фразы, скрытые при помощи CSS. Текст размещается с абсолютным позиционированием, его ширина и высота устанавливаются в ноль, а также используется свойство clip-path, ограничивающее видимую область. Таким образом, скрытые элементы присутствуют в коде, но пользователь их не видит.
Помимо обхода защиты, злоумышленники применяют CSS для скрытого отслеживания пользователей. Разные почтовые клиенты поддерживают разные CSS-свойства, что позволяет определять предпочтения и характеристики устройств жертв. Например, пиксель-трекеры фиксируют факт открытия письма, а уникальные URL-адреса могут собирать данные о цветовой схеме интерфейса, используемой системе и почтовом клиенте.
Существует метод определения операционной системы по доступным шрифтам. Если в коде письма указан шрифт Segoe UI, это может означать, что получатель использует Windows. Аналогично, Helvetica Neue чаще встречается в macOS. Таким образом можно скрыть часть контента, отображая его только для пользователей с определённой системой. Ещё один способ — подгрузка разных изображений в зависимости от среды пользователя. Сервер фиксирует, какое изображение загружается, и на основе этого можно определить систему и характеристики устройства.
Для защиты от таких атак специалисты Cisco Talos рекомендуют использовать фильтры, способные анализировать скрытые элементы в письмах. Также можно применять почтовые прокси-сервисы, которые изменяют содержимое перед доставкой, исключая возможность отслеживания. Эффективной мерой является встроенная загрузка изображений вместо внешних ссылок, что предотвращает утечку данных. Комплексные решения на основе машинного обучения помогают выявлять вредоносные техники и анализировать риски для бизнеса.