Секретная приправа на завтрак — взлом на обед. Кто, как и зачем "солит" письма
NewsMakerСпам стал неотличим от обычной переписки.
Специлисты Cisco Talos представили результаты полуторагодового анализа злоупотреблений каскадными таблицами стилей (CSS) в электронных письмах. Выяснилось, что злоумышленники всё чаще применяют технику скрытого «посола текста» — добавления невидимого содержимого, которое используется для обхода антиспам-фильтров и систем машинного обучения. Вредоносные письма при этом внешне ничем не отличаются от легитимных рассылок, но содержат целые блоки скрытых символов, слов и фраз, запутывающих детекторы и языковые модели.
Talos поясняет, что CSS-свойства, предназначенные для оформления сообщений, активно применяются киберпреступниками для внедрения скрытых фрагментов текста в разные области письма. В ходе наблюдений с марта 2024 по июль 2025 года специалисты зафиксировали, что злоумышленники добавляют «соль» в четыре части письма — преамбулу, заголовок, тело и вложения. Внешне такие сообщения имитируют известные бренды, включая PayPal, Wells Fargo, Norton LifeLock и CapitalOne. Во многих случаях подделка выглядит убедительно: фон, логотипы и структура полностью совпадают с оригиналами, однако в коде письма обнаруживаются сотни невидимых символов и словосочетаний.
Одной из распространённых целей скрытого посола становится запутывание языковых модулей антиспам -фильтров . Так, в письмах на английском языке нередко встречаются незаметные французские или немецкие слова, внедрённые с помощью свойств «display:none», «opacity:0» или «visibility:hidden». Это мешает системе корректно определить язык сообщения и снижает вероятность его блокировки. В других случаях злоумышленники изменяют размер шрифта до 1 пикселя или подбирают цвет текста, совпадающий с фоном, делая содержимое полностью невидимым. Иногда «соль» размещается во вложениях, где случайные символы или комментарии вставляются между фрагментами кода, затрудняя статический анализ.
Cisco Talos классифицировала три основных типа контента, используемого в качестве «соли»: случайные символы (в том числе Zero-Width Space и Zero-Width Non-Joiner), бессвязные абзацы на разных языках и комментарии в HTML или JavaScript. Все эти элементы не отображаются на экране, но влияют на то, как фильтры и алгоритмы воспринимают письмо. Особенно опасно то, что даже минимальное количество скрытого текста может изменить итоговую оценку модели: например, сделать фишинговое письмо «нейтральным» или «позитивным» по эмоциональной окраске, из-за чего защита не сработает.
По наблюдениям Talos, злоупотребление CSS-свойствами значительно чаще встречается в спаме и фишинговых рассылках , чем в легитимной переписке. Это подтверждается статистикой: большинство писем, содержащих свойства вроде «font-size:0» или «max-width:0», оказались вредоносными. В то же время небольшая доля подобных техник встречается и в законных рассылках — например, при создании адаптивного дизайна или скрытии элементов интерфейса на мобильных устройствах.
Опасность метода заключается в том, что он одинаково эффективен против простых фильтров и современных систем, использующих искусственный интеллект. Злоумышленники активно экспериментируют с тем, как такие скрытые элементы могут менять поведение языковых моделей, влияя на анализ намерений и тональности письма. Простейшее добавление невидимого фрагмента способно «переписать» смысл послания в глазах ИИ-детектора и пропустить угрозу в почтовый ящик жертвы.
Для противодействия Talos рекомендует два направления защиты. Первое — детектирование скрытого текста с помощью расширенных фильтров, анализирующих все части письма и его визуальные характеристики. Второе — фильтрация и очистка HTML-кода до этапа анализа, включая удаление или экранирование невидимых фрагментов. Также предлагается использовать в шлюзах и прокси-серверах специальные модули, игнорирующие контент, скрытый с помощью CSS. По мнению исследователей, только комплексная защита, сочетающая машинное обучение и визуальный анализ, позволит минимизировать риски и предотвратить обход современных антиспам-систем.
Cisco подчёркивает, что скрытый посол текста уже стал одним из наиболее распространённых инструментов фишинговых кампаний. Его простота, универсальность и невидимость делают технику особенно опасной, поскольку она подрывает надёжность даже продвинутых решений, основанных на искусственном интеллекте.
Специлисты Cisco Talos представили результаты полуторагодового анализа злоупотреблений каскадными таблицами стилей (CSS) в электронных письмах. Выяснилось, что злоумышленники всё чаще применяют технику скрытого «посола текста» — добавления невидимого содержимого, которое используется для обхода антиспам-фильтров и систем машинного обучения. Вредоносные письма при этом внешне ничем не отличаются от легитимных рассылок, но содержат целые блоки скрытых символов, слов и фраз, запутывающих детекторы и языковые модели.
Talos поясняет, что CSS-свойства, предназначенные для оформления сообщений, активно применяются киберпреступниками для внедрения скрытых фрагментов текста в разные области письма. В ходе наблюдений с марта 2024 по июль 2025 года специалисты зафиксировали, что злоумышленники добавляют «соль» в четыре части письма — преамбулу, заголовок, тело и вложения. Внешне такие сообщения имитируют известные бренды, включая PayPal, Wells Fargo, Norton LifeLock и CapitalOne. Во многих случаях подделка выглядит убедительно: фон, логотипы и структура полностью совпадают с оригиналами, однако в коде письма обнаруживаются сотни невидимых символов и словосочетаний.
Одной из распространённых целей скрытого посола становится запутывание языковых модулей антиспам -фильтров . Так, в письмах на английском языке нередко встречаются незаметные французские или немецкие слова, внедрённые с помощью свойств «display:none», «opacity:0» или «visibility:hidden». Это мешает системе корректно определить язык сообщения и снижает вероятность его блокировки. В других случаях злоумышленники изменяют размер шрифта до 1 пикселя или подбирают цвет текста, совпадающий с фоном, делая содержимое полностью невидимым. Иногда «соль» размещается во вложениях, где случайные символы или комментарии вставляются между фрагментами кода, затрудняя статический анализ.
Cisco Talos классифицировала три основных типа контента, используемого в качестве «соли»: случайные символы (в том числе Zero-Width Space и Zero-Width Non-Joiner), бессвязные абзацы на разных языках и комментарии в HTML или JavaScript. Все эти элементы не отображаются на экране, но влияют на то, как фильтры и алгоритмы воспринимают письмо. Особенно опасно то, что даже минимальное количество скрытого текста может изменить итоговую оценку модели: например, сделать фишинговое письмо «нейтральным» или «позитивным» по эмоциональной окраске, из-за чего защита не сработает.
По наблюдениям Talos, злоупотребление CSS-свойствами значительно чаще встречается в спаме и фишинговых рассылках , чем в легитимной переписке. Это подтверждается статистикой: большинство писем, содержащих свойства вроде «font-size:0» или «max-width:0», оказались вредоносными. В то же время небольшая доля подобных техник встречается и в законных рассылках — например, при создании адаптивного дизайна или скрытии элементов интерфейса на мобильных устройствах.
Опасность метода заключается в том, что он одинаково эффективен против простых фильтров и современных систем, использующих искусственный интеллект. Злоумышленники активно экспериментируют с тем, как такие скрытые элементы могут менять поведение языковых моделей, влияя на анализ намерений и тональности письма. Простейшее добавление невидимого фрагмента способно «переписать» смысл послания в глазах ИИ-детектора и пропустить угрозу в почтовый ящик жертвы.
Для противодействия Talos рекомендует два направления защиты. Первое — детектирование скрытого текста с помощью расширенных фильтров, анализирующих все части письма и его визуальные характеристики. Второе — фильтрация и очистка HTML-кода до этапа анализа, включая удаление или экранирование невидимых фрагментов. Также предлагается использовать в шлюзах и прокси-серверах специальные модули, игнорирующие контент, скрытый с помощью CSS. По мнению исследователей, только комплексная защита, сочетающая машинное обучение и визуальный анализ, позволит минимизировать риски и предотвратить обход современных антиспам-систем.
Cisco подчёркивает, что скрытый посол текста уже стал одним из наиболее распространённых инструментов фишинговых кампаний. Его простота, универсальность и невидимость делают технику особенно опасной, поскольку она подрывает надёжность даже продвинутых решений, основанных на искусственном интеллекте.