简单攻击允许攻击者修改电子邮件内容；即使在它被发送之后！

配音制绳工电子邮件和云安全公司Mimecast的研究人员弗朗西斯科·里贝罗（Francisco Ribeiro）发现了这一伎俩。

成功利用Ropemaker攻击可使攻击者远程修改攻击者自己发送的电子邮件的内容，例如，将URL与恶意URL交换。

即使电子邮件已经发送给收件人并通过所有必要的垃圾邮件和安全过滤器，也可以做到这一点，而无需直接访问收件人的计算机或电子邮件应用程序，从而使数亿桌面电子邮件客户端用户遭受恶意攻击。

Ropemaker滥用层叠样式表（CSS）和超文本标记语言（HTML），这是信息在互联网上呈现方式的基本部分。

Mimecast的高级产品营销经理马修·加德纳（Matthew Gardiner）在一篇博客文章中写道：“Ropemaker的起源在于电子邮件和网络技术的交叉点，更具体地说是与HTML一起使用的层叠样式表（CSS）。”。

“虽然使用这些Web技术使电子邮件相对于纯文本的前任更具视觉吸引力和动态性，但这也为电子邮件引入了可利用的攻击向量。”

研究人员说，由于CSS是远程存储的，攻击者可以通过远程启动对所需电子邮件“样式”的更改来更改电子邮件的内容，然后远程检索并呈现给用户，而收件人甚至是精通技术的用户都不知道。

根据研究人员的说法，绳索制造者的攻击可能会被利用，这取决于威胁参与者的创造力。

例如，攻击者可以将最初将用户指向合法网站的URL替换为恶意URL，该URL会将用户发送到一个被破坏的网站，该网站旨在用恶意软件感染用户或窃取敏感信息，如用户的凭据和银行详细信息。

虽然一些系统设计用于检测URL开关，防止用户打开恶意链接，但其他用户可能会面临安全风险。

另一种攻击场景称为“矩阵利用通过Mimecast，它比“开关攻击”更复杂，因此更难检测和防御。

在矩阵攻击中，攻击者将在电子邮件中写入文本矩阵，然后使用远程CSS有选择地控制显示内容，从而允许攻击者显示他们想要的任何内容—；包括在邮件正文中添加恶意URL。

这种攻击更难防御，因为用户收到的初始电子邮件不显示任何URL，大多数软件系统不会将该消息标记为恶意。

报告写道：“由于URL是在交付后呈现的，像Mimecast这样的电子邮件网关解决方案无法在单击时找到、重写或检查目标站点，因为在交付时没有URL可检测。”。“这样做需要解释CSS文件，这超出了当前电子邮件安全系统的范围。”

尽管该安全公司尚未在野外检测到Ropemaker攻击，但它认为这并不意味着该攻击“不会在Mimecast视野之外的某个地方使用”

根据这家安全公司的说法，Ropemaker可能被黑客用来绕过最常见的安全系统，甚至欺骗精通技术的用户与恶意URL进行交互。

Mimecast称，为了保护自己免受此类攻击，建议用户依赖Gmail、iCloud和Outlook等基于网络的电子邮件客户端，这些客户端不受Ropemaker风格的CSS攻击的影响。

然而，像Apple Mail的桌面版和移动版、Microsoft Outlook和Mozilla Thunderbird这样的电子邮件客户端都容易受到Ropemaker攻击。