钓鱼邮件中绕过内容检测的一种方式

当受害者把收到的钓鱼邮件转发给我时，我发现在正文中会有一些乱起八糟的文字，比如下面这样：

分析了一下源代码，发现对方的正文是下面这样：

于是我模拟对方的写法给自己发了测试邮件，发现确实只会显示补贴。

攻击者利用这种方式绕过邮件网关对敏感关键字的检测，将邮件成功发给收件人，而收件人看到的确实正常的通顺的内容。

于是测试了一下其他邮件客户端是不是也是这样的处理逻辑：

Foxmail：

QQ邮箱WEB端：

绝大部分邮件客户端都会隐藏中间的文字，正常显示通顺的内容，Mac自带的邮件客户端也有问题，当时没有做记录，其他的记不清了

看一下GPT的解释：

当时根据这个思路尝试了一些其他的方式：

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title></title>
</head>
<body>
    补<span style="font:0.0000000000000px Vrs">&lt;河桥送人处&gt;</span>贴 <br/>
    补<span style="font:0px Vrs">&lt;河桥送人处&gt;</span>贴 <br/>
    补<span style="font:0px Vrs">&lt;河桥送人处&gt;</span><span style="font:0px Vrs">&lt;河桥送人处&gt;</span>贴 <br/>
    补<span style="display: none">&lt;河桥送人处&gt;</span>贴 <br/>
</body>
</html>

QQ邮箱里面可以直接使用HTML编写正文

发现也都是可以的

如果邮件网关没有考虑这些情况，那么针对关键字的检测，便会被攻击者轻易绕过。

相关文章

https://www.ikarussecurity.com/en/security-news-en/tricked-phishing-campaigns-with-hidden-fonts-and-zero-text/

原文始发于微信公众号（楼兰学习网络安全）：钓鱼邮件中绕过内容检测的一种方式