Aanvallers zetten oude ontwijkingstechniek in tegen spamfilters
Cybercriminelen maken op grote schaal gebruik van de techniek ‘text salting’ om traditionele spamfilters te omzeilen. Hierbij verstoppen aanvallers verstoppen grote hoeveelheden willekeurige, onschuldige tekst voor de ontvanger, bijvoorbeeld door de lettergrootte op nul te zetten of tekst buiten het zichtbare scherm te plaatsen. Hierdoor proberen ze e-mailscanners te misleiden. De methode is bij zeker meer dan een miljoen phishing-aanvallen ingezet.
Dit blijkt uit onderzoek van Barracuda. Bij ‘text salting’ worden verdachte trefwoorden verborgen in grote hoeveelheden tekst, die voor de ontvanger onzichtbaar is, maar wel door e-mailscanners wordt gelezen. Door deze techniek wordt de impact van woorden die normaal gesproken detectie triggeren, zoals ‘dringend’, ‘beloning’ of ‘verlopen’, verminderd.
Diverse methoden
Onderzoekers van Barracuda zagen verschillende methoden, zoals het verkleinen van het zichtbare weergavevenster met 100%, het ver naar rechts inspringen van tekst of het gebruik van een fontgrootte van nul. Ook werden HTML-streams versnipperd met niet-standaard termen om filters die zoeken naar exacte zinsdelen te omzeilen.
De verborgen inhoud bestond vaak uit willekeurige verhalen, algemene gesprekken of aantekeningen met veel positieve woorden, zoals ‘puppy’, ‘training’ of ‘boek’. Het zichtbare bericht bevatte juist een urgente lokboodschap, zoals beloningen die binnenkort vervallen of aanbiedingen voor cadeaubonnen.
Niet nieuw
Hoewel de techniek al lang bestaat, wordt deze nu vaker toegepast nu organisaties overstappen op AI-security en Large Language Models (LLMs). Deze systemen analyseren de context, het sentiment en het doel van een e-mail op basis van de volledige inhoud. Omdat AI de verborgen tekst net zo zwaar meeweegt als de zichtbare phishing-boodschap, is de kans groot dat de e-mail onterecht als veilig wordt gemarkeerd.
Bovendien maakt generatieve AI het voor aanvallers eenvoudig om continu unieke en natuurlijk klinkende teksten te genereren, wat het blokkeren op basis van vaste patronen vrijwel onmogelijk maakt.
Gelaade e-mailsecurity
Barracuda adviseert organisaties om gelaagde e-mailsecurity toe te passen. Naast trefwoorden en AI-analyse is het belangrijk om te letten op afzenderreputatie, authenticatieresultaten zoals DMARC, SPF en DKIM, structurele afwijkingen in de e-mailopmaak en gedragsanalyse. Ook continue security awareness-trainingen voor medewerkers dragen bij aan het herkennen en melden van verdachte e-mails.