Phishing durch manipulierte Links in RTF Files
RTF-basierte Phishing-Angreifer haben eine neue, raffinierte Technik entdeckt, die das @-Symbol und das Unicode-Zeichen \u200b (ein sogenannter Zero-Width-Space) verwendet, um schädliche Links zu verschleiern. Angreifer nutzen das Zero-Width-Space-Zeichen, um URLs zu verändern und visuell unsichtbar zu machen, sodass die gefälschten Links für Nutzer und viele automatisierte Sicherheitstools schwer erkennbar sind.
Beispielsweise könnte eine E-Mail oder ein Dokument einen harmlos wirkenden Link wie login@trustedbank.com anzeigen, der jedoch durch Einfügen von \u200b-Zeichen manipuliert wurde. Der tatsächliche Link führt zu einer bösartigen Seite, ohne dass der Nutzer dies erkennt.
Durch das Einfügen des Zero-Width-Space-Zeichens zwischen den Zeichen der URL, wie in login@trustedbank.com, bleibt der Text optisch unverändert. Der Browser oder das E-Mail-Programm könnte den manipulierten Link jedoch anders interpretieren, was dem Angreifer ermöglicht, den Nutzer unbemerkt auf eine Phishing-Seite umzuleiten.
Diese Methode ist besonders gefährlich, da sie das Vertrauen in scheinbar legitime Links ausnutzt und es für gängige Sicherheitsmechanismen schwierig ist, die Manipulation zu erkennen. Die Analyse von Ironscales hebt die Notwendigkeit hervor, fortgeschrittene Erkennungsmethoden zu verwenden, um solche Angriffe zu identifizieren.
Weitere Details zu diesem Angriff und den Gegenmaßnahmen finden sich im Ironscales Blog.