Mimo rozwoju komunikatorów elektronicznych to jednak poczta elektroniczna nadal stanowi fundament komunikacji w wielu firmach i instytucjach. Jednocześnie jest ona często wykorzystywana przez cyberprzestępców do prowadzenia ataków. Wraz z rozwojem systemów filtrowania poczty oraz mechanizmów wykrywania zagrożeń opracowują oni coraz bardziej zaawansowane metody omijania zabezpieczeń.
Jedną z technik, na którą w ostatnim czasie zwracają uwagę specjaliści ds. cyberbezpieczeństwa, jest wykorzystywanie ukrytych elementów w treści wiadomości e-mail. Metoda ta (określana jako hidden text salting) polega na umieszczaniu w kodzie HTML wiadomości dodatkowych fragmentów tekstu niewidocznych dla odbiorcy, które mają na celu zmylenie systemów antyspamowych i utrudnienie wykrycia złośliwej wiadomości również przez samego adresata.
NA CZYM POLEGA ATAK
Technika hidden text salting polega na umieszczaniu w kodzie wiadomości e-mail dodatkowych znaków lub fragmentów tekstu, które pozostają niewidoczne dla użytkownika, ale są obecne w strukturze wiadomości analizowanej m.in. przez systemy bezpieczeństwa. Elementy te mogą mieć różną formę – od pojedynczych znaków, przez krótkie fragmenty tekstu, komendy html, aż po całe zdania lub akapity, które nie są widoczne dla odbiorcy wiadomości.
W praktyce oznacza to, że adresat widzi zwykłą wiadomość, np. informację rzekomo pochodzącą z banku lub firmy kurierskiej. Jednak w kodzie źródłowym wiadomości znajdują się dodatkowe elementy mające na celu manipulowanie działaniem filtrów antyspamowych i systemów wykrywania zagrożeń. Celem tego zabiegu jest wprowadzenie w błąd algorytmów analizujących treść wiadomości oraz obniżenie prawdopodobieństwa zakwalifikowania jej jako zagrożenia.
Cyberprzestępcy wykorzystują fakt, że wiele systemów bezpieczeństwa opiera się na analizie statystycznej treści wiadomości, identyfikacji słów kluczowych lub rozpoznawaniu wzorców charakterystycznych dla phishingu. Dodanie dużej ilości ukrytego tekstu może znacząco zmienić strukturę analizowanego dokumentu, przez co algorytm nie rozpoznaje podejrzanych fragmentów, takich jak linki prowadzące do fałszywych stron logowania czy charakterystyczne zwroty wykorzystywane w kampaniach wyłudzających dane.
Eksperci ds. cyberbezpieczeństwa zauważyli wyraźny wzrost liczby kampanii phishingowych wykorzystujących tę technikę. Ataki tego typu często stanowią element bardziej złożonych kampanii, w których ukryty tekst wykorzystywany jest do zwiększenia skuteczności dostarczenia wiadomości do skrzynki odbiorczej ofiary. Po otwarciu wiadomości użytkownik może zostać nakłoniony do kliknięcia w link prowadzący do fałszywej strony logowania, pobrania złośliwego załącznika lub podania poufnych danych.
UKRYTE TREŚCI A NARZĘDZIA AI
Szczególne ryzyko może pojawić się również w sytuacji, gdy użytkownicy korzystają z narzędzi opartych na sztucznej inteligencji, takich jak asystenci poczty elektronicznej czy rozwiązania typu Microsoft Copilot. Narzędzia te (po odpowiedniej konfiguracji przez użytkownika) analizują treść wiadomości email w celu przygotowania streszczeń, sugerowania odpowiedzi lub automatyzacji innych działań użytkownika.
Jeżeli wiadomość zawiera ukryty tekst (np. zapisany białą czcionką), agent AI może odczytać go wraz z widoczną treścią wiadomości. W rezultacie system AI może zostać skłoniony do wykonania określonych działań, takich jak np. otwarcie określonego linku czy wykonanie innych ukrytych poleceń.
Tego rodzaju scenariusze są określane jako prompt injection, czyli próby manipulowania działaniem systemów sztucznej inteligencji. W kontekście poczty elektronicznej oznacza to, że ukryte polecenia mogą zostać umieszczone w kodzie HTML wiadomości i pozostać niewidoczne dla użytkownika, a jednocześnie zostać zinterpretowane przez narzędzie AI analizujące wiadomość.
W praktyce może to prowadzić do sytuacji, w której użytkownik widzi jedynie pozornie neutralną wiadomość, natomiast system AI interpretuje jej pełną treść – w tym elementy ukryte – i podejmuje złośliwe działania zgodnie z zawartymi tam instrukcjami.
JAK UCHRONIĆ SIĘ PRZED ZAGROŻENIEM
Aby uchronić się przed takim atakiem, warto przede wszystkim zachować ostrożność wobec nieoczekiwanych wiadomości e-mail (zwłaszcza tych zawierających linki, załączniki lub prośby o wykonanie określonego działania). Nawet jeśli wiadomość wygląda wiarygodnie, nie należy od razu klikać w przesłane linki, a sprawdzić czy adres linku jest zgodny z jego wyświetlaną treścią. Bezpieczniej jest samodzielnie wejść na stronę danej usługi, wpisując jej adres w przeglądarce.
Należy przy tym podkreślić, że zmiana ustawień wyświetlania wiadomości (np. odwrócenie kolorów lub korzystanie z trybu ciemnego) nie stanowi skutecznej metody wykrywania takich treści. Może się wydawać, że jeśli u jednego użytkownika wiadomość wyświetla się białą czcionką na czarnym tle, to po zmianie kolorów u odbiorcy ukryty tekst stanie się widoczny. W praktyce jednak taka konfiguracja programu pocztowego zazwyczaj nie wystarczy do ujawnienia ukrytych elementów wiadomości.
W przypadku korzystania z narzędzi opartych na sztucznej inteligencji warto również pamiętać, że mogą one analizować całą treść wiadomości – także elementy niewidoczne dla użytkownika. Dlatego nie należy wykonywać sugerowanych przez nie działań bez wcześniejszego sprawdzenia otrzymanego emaila. A agenci AI nie powinni być skonfigurowani w taki sposób, aby automatycznie wykonywać polecenia zawarte w treści wiadomości.