Преступники используют CSS для обхода фильтров и отслеживания использования электронной почты

Эксперты Cisco Talos предупреждают, что хакеры злоупотребляют CSS в электронных письмах. Языком стилей используется для скрытия контента, отслеживания поведения людей и многого другого. Исследователи рекомендуют командам IT внедрить передовые методы фильтрации.

Киберпреступники используют CSS в электронных письмах для отслеживания своих жертв, получения дополнительной информации о них и перенаправления их на фишинговые страницы, предупреждают эксперты. Исследователи кибербезопасности из Cisco Talos объяснили, как CSS (Cascading Style Sheets) используется в электронных письмах для управления дизайном, компоновкой и форматированием содержимого. Компании используют его не только для того, чтобы электронные письма выглядели лучше, но и для поддержания единообразия макета на разных почтовых клиентах.

В CSS нет ничего по своей сути вредоносного, но, как и в случае с многими другими законными инструментами, он используется в атаках. «Функции, доступные в CSS, позволяют злоумышленникам и спамерам отслеживать действия и предпочтения пользователей, даже если несколько функций, связанных с динамическим контентом (например, JavaScript), ограничены в почтовых клиентах по сравнению с веб-браузерами», – говорится в отчете исследователя Cisco Talos.

Передовые методы фильтрации

С помощью CSS киберпреступники могут скрывать контент на виду, тем самым обходя решения по обеспечению электронной безопасности. Они также могут использовать его для перенаправления людей на фишинговые страницы. Этот инструмент может использоваться для мониторинга поведения пользователей, что в свою очередь может привести к атакам типа spear-phishing или fingerprinting.

«Это злоупотребление может варьироваться от определения предпочтений получателей по шрифтам и цветовым схемам, а также языку клиента, до отслеживания их действий (например, просмотра или печати электронных писем)», – сказали они. «CSS предоставляет широкий спектр правил и свойств, которые могут помочь спамерам и злоумышленникам оставить отпечатки пальцев пользователей, их веб-почты или почтового клиента, а также их системы. Например, правило media at-rule может обнаруживать определенные атрибуты среды пользователя, включая размер экрана, разрешение и глубину цвета».

Cisco Talos заявила, что новая кампания опирается на кампанию «соленой» скрытого текста, которую они обнаружили в конце января 2025 года. Для борьбы с этой угрозой исследователи предложили командам IT внедрить передовые методы фильтрации, которые сканируют структуру HTML-электронных писем, а не только их содержимое. Таким образом, решение по обеспечению электронной безопасности могло бы искать чрезмерное использование встроенных стилей или свойств CSS, таких как «visibility: hidden». Также рекомендуется развертывание защитных средств на основе ИИ.