Wyobraź sobie, że otrzymujesz wiadomość e-mail z załącznikiem o nazwie faktura_skan.pdf. Wygląda bezpiecznie, prawda? Klikasz dwukrotnie, spodziewając się zobaczyć dokument rozliczeniowy, ale zamiast tego Twój komputer zostaje zainfekowany złośliwym oprogramowaniem. Jak to możliwe, skoro rozszerzenie pliku jasno wskazywało na format PDF? Odpowiedzią jest niezwykle sprytna i niebezpieczna sztuczka stosowana przez cyberprzestępców – RTLO (Right-to-Left Override).

Ta technika, choć ma już swoje lata, wciąż powraca w nowych kampaniach phishingowych i potrafi zmylić nawet bardziej doświadczonych użytkowników sieci. W tym artykule wyjaśnimy, na czym dokładnie polega ten mechanizm, jak oszuści wykorzystują go do maskowania wirusów oraz – co najważniejsze – jak skutecznie się przed nim bronić.

Czym jest RTLO i jak działa ta sztuczka?

RTLO to skrót od angielskiego terminu Right-to-Left Override. W świecie informatyki i standardu kodowania znaków Unicode jest to specjalny, niewidoczny dla oka znak kontrolny oznaczony kodem U+202E.

Jego pierwotne i całkowicie legalne przeznaczenie wiąże się z obsługą języków pisanych od prawej do lewej strony, takich jak arabski, hebrajski czy perski. Kiedy w jednym tekście łączymy słowa pisane od lewej do prawej (np. po polsku lub angielsku) ze słowami pisanymi od prawej do lewej, systemy operacyjne i przeglądarki potrzebują wskazówki, jak poprawnie wyświetlić te znaki. Znak RTLO informuje system: „Uwaga, od tego miejsca wyświetlaj wszystkie kolejne znaki w odwrotnej kolejności (od prawej do lewej)”.

Cyberprzestępcy szybko jednak zorientowali się, że tę pożyteczną funkcję można wykorzystać do celów przestępczych. Poprzez umieszczenie znaku U+202E w nazwie pliku, są w stanie całkowicie odwrócić wyświetlanie jego rozszerzenia.

Anatomia oszustwa: przykład z życia

Aby lepiej zrozumieć ten mechanizm, przyjrzyjmy się prostemu przykładowi. Załóżmy, że haker chce przesłać ofierze złośliwy plik wykonywalny o rozszerzeniu .exe, ale chce, aby wyglądał on jak bezpieczny dokument .pdf.

1. Tworzy złośliwy plik o nazwie: faktura_cod.[U+202E]fdp.exe.
2. Znak [U+202E] (który fizycznie znajduje się w nazwie, ale jest niewidoczny) nakazuje systemowi operacyjnemu odwrócenie kolejności znaków występujących po nim.
3. Znaki po kodzie to fdp.exe. Odwrócone dają: exe.pdf.
4. W efekcie system Windows, macOS czy klient poczty elektronicznej wyświetli użytkownikowi nazwę: faktura_cod.exe.pdf.

Dla przeciętnego użytkownika plik wygląda jak dokument PDF (z nieco dziwną nazwą zawierającą .exe w środku, co często jest ignorowane lub brane za błąd systemu). Jednak dla samego systemu operacyjnego rzeczywistym rozszerzeniem pliku pozostaje .exe. Gdy ofiara kliknie plik, system nie otworzy go w czytniku PDF, lecz uruchomi jako program – instalując w tle trojana, ransomware lub oprogramowanie szpiegujące.

Gdzie jeszcze oszuści wykorzystują RTLO?

Choć maskowanie rozszerzeń plików to najpopularniejsze zastosowanie tej metody, wyobraźnia cyberprzestępców sięga dalej. RTLO bywa również używane do:

Fałszowania adresów URL (linków)

Wprowadzenie znaku RTLO do wiadomości w komunikatorach (takich jak WhatsApp, Signal czy iMessage) pozwala na ukrycie prawdziwego adresu docelowego linku. Przykładowo, link wyświetlający się w aplikacji jako bezpieczny odnośnik imgur.com/#files/ten.jpeg po kliknięciu może przenieść użytkownika na złośliwą stronę gepj.net/segami#/moc.rugmi. Luka ta co jakiś czas pojawia się w różnych aplikacjach, zanim programiści nie zablokują interpretowania znaków RTLO w adresach URL.

Ukrywania złośliwego kodu

Czasami technika ta służy do zaciemniania (obfuskacji) kodu źródłowego skryptów, co utrudnia prostym skanerom bezpieczeństwa wykrycie złośliwych komend ukrytych w plikach tekstowych.

Dlaczego ta metoda jest tak skuteczna?

Główna siła ataku RTLO tkwi w tym, że omija on jedną z podstawowych zasad cyberbezpieczeństwa przekazywanych użytkownikom: „zawsze włączaj pokazywanie rozszerzeń plików w systemie”.

Nawet jeśli masz włączoną tę opcję w Eksploratorze plików systemu Windows, plik zmodyfikowany za pomocą RTLO nadal będzie wyświetlał się jako .pdf czy .jpg. Wizualna warstwa systemu operacyjnego zostaje po prostu oszukana, a człowiek ufa temu, co widzi. Dodatkowo, przestępcy często podmieniają ikonę pliku .exe na ikonę programu Adobe Reader lub systemowej przeglądarki obrazów, co dopełnia iluzji bezpieczeństwa.

Jak się bronić przed atakami typu RTLO?

Choć sztuczka ta brzmi groźnie, istnieje kilka bardzo skutecznych sposobów, aby nie dać się na nią nabrać. Wymaga to jedynie odrobiny czujności i wdrożenia odpowiednich nawyków.

1. Zwracaj uwagę na kolumnę „Typ” w systemie operacyjnym

Eksplorator plików w systemie Windows oraz Finder w macOS posiadają kolumnę określającą typ pliku (np. „Aplikacja”, „Dokument PDF”, „Obraz JPG”). Nawet jeśli nazwa pliku została zmanipulowana przez RTLO i wyświetla się jako faktura_exe.pdf, w kolumnie Typ (lub Type) system bezlitośnie obnaży prawdę, wyświetlając słowo Aplikacja (lub Application / Executable). Zawsze sprawdzaj tę kolumnę przy uruchamianiu plików pobranych z internetu lub otrzymanych w mailu.

2. Sprawdzaj właściwości pliku

Jeśli masz jakiekolwiek wątpliwości co do pochodzenia pliku, kliknij na niego prawym przyciskiem myszy i wybierz Właściwości (Windows) lub Informacje (macOS). W zakładce szczegółów system pokaże rzeczywistą ścieżkę i prawdziwe rozszerzenie pliku, ignorując wizualne sztuczki Unicode.

3. Korzystaj z nowoczesnych programów antywirusowych i filtrów e-mail

Większość nowoczesnych systemów antywirusowych (AV) oraz systemów wykrywania i reagowania na zagrożenia na punktach końcowych (EDR) potrafi automatycznie wykrywać obecność znaku U+202E w nazwach plików. Podobnie działają zaawansowane filtry antyspamowe w poczcie e-mail (np. w Microsoft 365 czy Gmailu), które blokują lub oznaczają jako niebezpieczne wiadomości zawierające załączniki z ukrytymi znakami sterującymi. Dbaj o to, aby Twoje oprogramowanie ochronne było zawsze zaktualizowane.

4. Uruchamiaj podejrzane pliki w piaskownicy (Sandbox)

Jeśli musisz otworzyć plik, co do którego nie masz stuprocentowej pewności, skorzystaj z narzędzia typu „piaskownica” (np. Windows Sandbox) lub prześlij plik do analizy w serwisie takim jak VirusTotal. Serwisy te natychmiast wskażą, czy plik jest rzeczywiście dokumentem, czy też ukrytym programem wykonywalnym.

5. Bądź nieufny wobec nietypowych nazw i podwójnych rozszerzeń

Pliki stosujące technikę RTLO często mają nienaturalnie brzmiące nazwy, dziwne spacje lub nietypowo rozmieszczone kropki (np. faktura exe.pdf zamiast standardowego faktura.pdf). Jeśli nazwa pliku wygląda podejrzanie, potraktuj to jako czerwone światło.

Ciekawostka: jak sprawdzić, czy plik korzysta z RTLO w wierszu poleceń?

Jeśli lubisz techniczne rozwiązania, możesz łatwo zdemaskować RTLO za pomocą wiersza poleceń (CMD) lub PowerShell w systemie Windows. Wystarczy przejść do folderu z plikiem i wpisać komendę dir.

Podczas gdy graficzny interfejs Windows ulegnie manipulacji i wyświetli odwróconą nazwę, tradycyjny wiersz poleceń w wielu przypadkach wyświetli nazwę w jej rzeczywistym porządku bajtów lub pokaże znak zapytania/puste miejsce tam, gdzie ukryto kod U+202E. To prosty i szybki test dla dociekliwych.

Podsumowując, technika RTLO to doskonały przykład na to, że w cyberbezpieczeństwie najsłabszym ogniwem często bywa ludzkie oko i przyzwyczajenia. Świadomość istnienia takich sztuczek oraz nawyk weryfikowania typu uruchamianych plików to najlepsza tarcza ochronna przed tego typu zagrożeniami.