¿Cuál es la táctica de no utilizar tipografía en estafas de phishing por correo electrónico?

El correo electrónico se ha convertido en un medio de comunicación esencial tanto para individuos como para organizaciones. Sin embargo, este medio se ha convertido en el objetivo principal de los estafadores que utilizan tácticas avanzadas de phishing.

A medida que los proveedores de correo electrónico agregan mejores medidas de ciberseguridad para evitar que correos electrónicos maliciosos lleguen a su bandeja de entrada, los actores maliciosos están trabajando igual de duro para evitar tales contramedidas. Este es el caso de la táctica sin fuente, que utiliza una manipulación inteligente del tipo de letra del correo electrónico para pasar los correos electrónicos a través de filtros de spam y llegar a su bandeja de entrada.

Exploremos qué es la táctica sin letras, qué logra y cómo puede mantenerse a salvo. Verificar Cómo protegerse de las estafas al darse de baja de los correos electrónicos no deseados.

¿Cuál es la táctica de no utilizar tipografía en estafas de phishing por correo electrónico? - proteccion

¿Cuál es la táctica de no utilizar tipografía en correos electrónicos de phishing?

La táctica sin fuente es un truco utilizado por algunos actores maliciosos para aumentar las posibilidades de que su proveedor de correo electrónico no marque sus correos electrónicos como spam. Los actores logran esto escribiendo texto en el correo electrónico y estableciendo el tamaño de fuente en 0.

Cuando el tamaño de fuente se establece en 0, desaparece de la vista. Esto significa que las personas que lean un correo electrónico sin tipo de letra no notarán las palabras.

Sin embargo, el texto todavía “existe” dentro del código HTML que conforma el correo electrónico. Debido a que su proveedor de correo electrónico utiliza código HTML para mostrarle el correo electrónico, el servicio de correo electrónico que utiliza puede "leer" el texto sin fuente perfectamente aunque sea invisible para usted.

¿Cuál es el beneficio de utilizar texto sin formato en los correos electrónicos?

Puede parecer extraño que actores maliciosos agreguen textos a los correos electrónicos que ni siquiera puedes leer. Sin embargo, el texto debe ser "leído" por la aplicación de correo electrónico y no por usted.

Hay dos formas en que las personas pueden usar texto sin conexión para engañarlo para que haga clic en enlaces en sus correos electrónicos: evadir la detección de spam y crear resultados de análisis antivirus falsos positivos.

1. Cómo la táctica sin fuentes te ayuda a evitar la detección de spam

¿Alguna vez te has preguntado cómo sabe tu proveedor de correo electrónico qué correos electrónicos son legítimos y cuáles son spam? Hay mucho pensamiento y tecnología involucrados en este proceso, pero una de las formas más fáciles es identificar el texto dentro del correo electrónico y bloquearlo si contiene contenido ilegal o engañoso.

Las tácticas sin secuencias de comandos pueden evitar estos análisis agregando "texto basura" al correo electrónico, obstruyendo el proceso de análisis. Un caso particularmente famoso en 2018 utilizó este método para burlar la seguridad de Office 365, como se informó la Habana.

En este caso, el agente malicioso quería hacerse pasar por Microsoft pero sabía que si comenzaba a firmar correos electrónicos como si fuera Microsoft, los sistemas de detección de fraude se activarían e identificarían sus mensajes. Para evitar esto, llena las palabras sensibles del correo electrónico con mucho texto aleatorio sin fuente.

Por ejemplo, cuando el estafador afirmó ser de "Microsoft Corporation", intercaló las palabras "Microsoft" y "Corporation" con mucho texto no deseado en tamaño de fuente 0.

Como resultado, cuando el proveedor de correo electrónico escaneó el HTML del correo electrónico, no pudo ver las palabras "Microsoft Corporation" en absoluto. En cambio, vio un montón de cartas que no contenían nada importante. Cuando el proveedor de correo electrónico presenta el texto de línea cero al lector, el texto no deseado desaparece y la víctima ve las palabras "Microsoft Corporation".

2. Cómo la táctica de no utilizar fuentes genera resultados falsos en el análisis antivirus

El otro método utiliza texto sin líneas para agregar palabras a la vista previa del cuerpo del correo electrónico. Si abre la aplicación de su proveedor de correo electrónico o un sitio web específico, probablemente verá que los correos electrónicos en su bandeja de entrada muestran tres datos: remitente, asunto y luego una vista previa del comienzo del correo electrónico, para que sepa cuál es el contenido. el mensaje es, es decir, qué está pasando en el correo electrónico al respecto.

Debido a que esta vista previa se genera mediante código HTML, los piratas informáticos pueden agregar texto sin líneas al comienzo del correo electrónico, que aparecerá en la vista previa. Sin embargo, cuando la víctima hace clic en el correo electrónico, el texto no aparece por ninguna parte.

Una forma desagradable en la que los estafadores utilizaron esta táctica se informó en un Centro de tormentas de Internet SANS. En este ejemplo, el estafador escribió un resultado falso de un análisis antivirus y lo agregó en la parte superior del correo electrónico en texto sin formato.

Cuando el correo electrónico llegó a la bandeja de entrada de la víctima, la vista previa del correo electrónico mostró el resultado del escaneo falso y le dio a la víctima una falsa sensación de seguridad de que los enlaces en el correo electrónico habían sido escaneados y no contenían virus. Cuando la víctima abre el correo electrónico, el texto sin fuente desaparece de la vista, dejando solo el anuncio del estafador en su lugar.

Cómo evitar ataques sin script

Afortunadamente, aunque los ataques de línea cero pueden parecer aterradores sobre el papel, son sólo formas de engañar a los filtros y lectores de spam. Como tal, la principal forma de evitar un ataque de línea cero es practicar buenos hábitos de ciberseguridad al leer el correo electrónico.

Ten siempre presente las principales señales de un proceso Suplantación de identidad. Conozca algunos ejemplos de correos electrónicos fraudulentos y de phishing, y recuerde que el hecho de que un correo electrónico esté en su bandeja de entrada y afirme haber sido analizado en busca de virus no significa que sea seguro hacer clic en los enlaces incluidos en él. Si tiene estas cosas en mente, podrá detectar un correo electrónico fraudulento en su bandeja de entrada y evitar sus formas engañosas. Verificar Cómo detectar fraudes por correo y estafas por Internet en esta temporada navideña.

preguntas comunes

P1. ¿Cuál es la táctica sin letras en los ataques de phishing por correo electrónico?

La táctica de no escribir cartas es una estrategia utilizada por los estafadores para evitar la detección de actividad fraudulenta en el correo electrónico. Se basan en ocultar el contenido utilizando un tamaño de 0.

P2. ¿Cuáles son las principales amenazas asociadas con la táctica de no escribir cartas?

Las amenazas incluyen dirigirse a destinatarios con enlaces maliciosos y archivos maliciosos utilizando secuencias de comandos indetectables, lo que aumenta las posibilidades de un ataque exitoso.

P3. ¿Cómo puedo protegerme de ataques de phishing por correo electrónico de este tipo?

Debe tener cuidado de no hacer clic en enlaces ni descargar archivos adjuntos de correos electrónicos sospechosos. Verifique siempre la fuente y el contenido antes de interactuar con el correo electrónico.

P4. ¿Existen herramientas o software que ayuden a detectar ataques que no sean de script?

Sí, existen herramientas y software de seguridad que ayudan a detectar y combatir los ataques de phishing por correo electrónico. Los ejemplos incluyen sistemas tradicionales de reconocimiento de amenazas y sistemas antimalware.

P5. ¿Puedo capacitar a los empleados de mi organización para que reconozcan este tipo de ataque?

Sí, la capacitación continua de los empleados de la organización sobre cómo reconocer correos electrónicos sospechosos y evitar interactuar con ellos es una parte esencial de una estrategia de seguridad.

Esté a salvo de las tácticas de línea cero

Aunque las tácticas de puntuación cero son engañosas, la mejor manera de evitar caer en ellas es la misma que reconocer un correo electrónico de phishing. Mantén los ojos abiertos y no creas todo lo que ves. Puedes ver ahora Formas en que los estafadores pueden usar su dirección de correo electrónico.

Imagen de DzTech

DzTech

Soy ingeniero estatal con amplia experiencia en los campos de programación, creación de sitios web, SEO y redacción técnica. Me apasiona la tecnología y me dedico a brindar información de calidad al público. Puedo convertirme en un recurso más valioso para los usuarios que buscan información precisa y confiable sobre reseñas de productos y aplicaciones especializadas en diversos campos. Mi compromiso inquebrantable con la calidad y la precisión garantiza que la información proporcionada sea confiable y útil para la audiencia. La búsqueda constante de conocimiento me impulsa a estar al día con los últimos avances tecnológicos, asegurando que las ideas compartidas se transmitan de forma clara y accesible.
Ir al botón superior