思科 Talos 研究團隊發現,攻擊者越來越頻繁地濫用 CSS 技術,在電子郵件中插入隱藏文字與字元,藉此繞過過濾器並規避企業資安防禦機制。這種被稱為「
隱藏文字加鹽」(Hidden Text Salting) 或「投毒」(Poisoning) 的攻擊手法,在垃圾郵件與惡意郵件中的使用率正持續攀升。
攻擊者的核心策略是在郵件內容中添加雜訊,包括隨機字元、無意義段落和隱藏註解。這些內容對使用者完全不可見,卻能有效混淆郵件過濾工具。
持續追蹤的資安威脅
思科 Talos 自 2025 年 1 月開始追蹤此威脅。報告指出,
駭客利用 HTML 與 CSS 的特性,在郵件中加入註解和無關內容。這些內容在郵件客戶端顯示時對使用者完全不可見,卻能影響解析器和偵測引擎的效能。
由於這項技術的使用率持續增長,思科已在 2025 年 3 月和本週兩度更新報告。該公司發言人表示,他們觀察到此技術不僅用於繞過偵測,還能影響基於大型語言模型 (LLM) 的防禦解決方案。
CSS 濫用的技術細節
CSS 原本是讓網頁開發者控制 HTML 或 XML 文件外觀的工具,能將內容與呈現方式分離,確保在任何裝置上都能一致顯示。然而,駭客開始濫用 CSS,在郵件的標頭、預覽標頭、本文及附件中悄悄插入無關內容。
思科 Talos 的報告分析了一封偽裝成美國醫療保險聯盟組織「藍十字藍盾協會 (Blue Cross Blue Shield) 」的網路釣魚郵件。攻擊者在預覽文字中加入「FOUR yummy soup recipes just for you!」這段文字,藉此干擾資安偵測工具,並
將 CSS 的可見度屬性「opacity」設為零,使文字完全透明導致真人讀者無法察覺。
常見的 CSS 屬性濫用手法
研究發現,攻擊者常濫用兩種 CSS 屬性在惡意郵件中加鹽:
文字屬性(Text Properties)和
顯示屬性(Display Properties)。
利用文字屬性,攻擊者可將字體縮小到幾乎看不見,或將文字顏色設為與背景相同。透過顯示屬性,攻擊者則常將屬性設為「none」或「hidden」,使加鹽內容完全隱藏。只有檢視 HTML 原始碼時,這些隱藏內容才會顯現。
思科 Talos 發言人指出,這項技術雖然簡單,卻能有效繞過偵測。攻擊者可利用多種 CSS 屬性隱藏郵件內容,甚至透過「Can I email」等網路應用程式將攻擊效果最大化。
隱藏內容的數量取決於防禦能力。攻擊者通常在關鍵字和片語中添加隱藏文字,例如「重設密碼」或編碼字串,藉此規避偵測。因此,即使只添加少數字元,也可能造成影響。
防護建議
思科 Talos 建議企業採用以下方法來降低此威脅:
- 部署精密的過濾機制,偵測郵件各部分的隱藏文字與內容隱藏手法
- 在接收階段執行 HTML 淨化(HTML Sanitization),在內容進入下游偵測引擎前,先剝離或跳脫不可見文字
- 在郵件閘道或代理伺服器部署過濾器(例如提示防護機制),忽略視覺上隱藏或設為不可見的內容
本文轉載自 DarkReading。