Filtres anti-spam contournés

Spam indétectable: la menace du texte invisible s'intensifie

Les pirates informatiques utilisent de plus en plus l’empoisonnement de texte pour contourner les filtres anti-spam. Cisco Talos observe une hausse marquée de cette technique qui insère des caractères invisibles dans le code HTML des e-mails frauduleux.

Pour contourner les filtres anti-spam, les fraudeurs utilisent des balises CSS dans le code HTML des e-mails de phishing. (Source: Florian Olivo sur Unsplash)
Pour contourner les filtres anti-spam, les fraudeurs utilisent des balises CSS dans le code HTML des e-mails de phishing. (Source: Florian Olivo sur Unsplash)

Les pirates utilisent de plus en plus les techniques de «salage» de texte caché, également appelées «text poisoning» ou empoisonnement de texte. Leurs objectifs? Mieux dissimuler les codes malveillants dans les courriels frauduleux  et tromper les systèmes de sécurité qui s'appuient sur des mots-clés. Depuis la seconde moitié de 2024, les chercheurs de Cisco Talos ont en effet constaté une augmentation de ces attaques. 

L’empoisonnement de texte consiste à insérer des caractères invisibles dans le code HTML d'un courrier électronique afin d'échapper aux filtres anti-spam et aux moteurs de détection de la fraude via le code HTML. Les filtres anti-spam reposant souvent sur l'identification des mots-clés, le «salage» permet d'échapper à ce contrôle. Par exemple, pour usurper l'identité d'une marque connue, les fraudeurs modifient son nom dans le code HTML à l'aide de balises CSS. Ils font en sorte que seules les lettres du vrai nom apparaissent à l'écran, tandis que des caractères invisibles sont insérés entre elles et marqués comme «cachés». D'autres variantes de cette méthode consistent à insérer des caractères spéciaux tels que ZWSP (zero width space) ou ZWNJ (zero width non-joining) entre les lettres. Les chercheurs de Cisco Talos ont aussi observé des méthodes consistant à inclure du texte français dans un message anglais afin de tromper les systèmes de filtrage. 

Face à l'évolution de ces menaces, Cisco Talos souligne l'importance des solutions de sécurité basées sur l'intelligence artificielle et l'analyse visuelle avancée. «La protection contre ces menaces sophistiquées et sournoises nécessite une solution complète de sécurité du courrier électronique qui exploite des détections basées sur l'intelligence artificielle», expliquent les auteurs du rapport. Les spécialistes recommandent ainsi d'adopter des outils qui analysent non seulement le contenu des courriels, mais aussi leur structure HTML. L'identification d'une utilisation excessive de balises de style ou d'un enchevêtrement inhabituel d'éléments peut signaler une tentative de contournement des filtres. En outre, l'analyse visuelle des e-mails permet de comparer l'apparence affichée avec la structure sous-jacente afin de détecter d'éventuelles anomalies.

Webcode
LPF5g45j