Kaspersky-Experten warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien [1]. Von Januar bis April 2022 blockierte Kaspersky fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten ist bei Betrügern einer der neuesten und beliebtesten Tricks.
Normalerweise werden solche Links von Anti-Spam-Engines oder Antiviren-Software leicht erkannt, aber die Verwendung von HTML-Anhängen hat es den Cyberkriminellen ermöglicht, deren Entdeckung zu vermeiden.
Herangehensweisen des HTML-Phishings
Viele Nutzer sind sich nicht bewusst, dass Dateien in Phishing-E-Mails unsicher sein können, so dass sie schädliche HTML-Anhänge häufig ahnungslos öffnen. Cyberkriminelle gestalten diese HTML-Anhänge so, dass sie wie die Seiten einer offiziellen Unternehmens-Website aussehen. Sie zielen auf die Nutzer dieser offiziellen Seiten ab und kopieren deren Stil, Bilder, Skripte und andere Multimedia-Komponenten, um ihre Opfer zur Eingabe sensibler Daten in das Phishing-Formular zu verleiten.
Es gibt zwei Haupttypen von HTML-Anhängen, die von Cyberkriminellen verwendet werden: HTML-Dateien mit einem Phishing-Link oder ganze schädliche Webseiten. Im ersten Fall verschicken die Angreifer eine HTML-Datei mit Text, der angeblich wichtige Daten enthält, etwa die Benachrichtigung einer Bank über einen großen Überweisungsversuch. Der Nutzer wird dazu aufgefordert, auf einen Link zur Website der Bank zu klicken, um die Transaktion zu stoppen, wird aber stattdessen zu einer Phishing-Seite geleitet. In einigen Fällen muss das Opfer nicht einmal auf den Link klicken. Wenn der Nutzer versucht, den HTML-Anhang zu öffnen, wird er automatisch auf eine schädliche Website umgeleitet. Auf dieser Seite werden die Opfer aufgefordert, ein Dateneingabeformular auszufüllen, um geschäftsbezogene Dateien zu überprüfen, ihr Bankkonto zu schützen oder sogar eine staatliche Zahlung zu erhalten. Erst später erfährt das Opfer, dass ihm seine persönlichen Daten und Bankverbindungen gestohlen wurden.
Ganze Phishing-Seiten als Mail-Anhang
Die zweite Art von HTML-Anhängen sind ganze Phishing-Seiten. Diese Dateien ermöglichen es Cyberkriminellen, Hosting-Gebühren zu sparen und Websites zu vermeiden, da Phishing-Formular und Skript zur Datenerfassung vollständig im Anhang enthalten sind. Als Phishing-Site kann die HTML-Datei auch personalisiert werden, je nach Ziel und Angriffsvektor, mit dem das Vertrauen des Opfers gewonnen werden soll. So könnte ein Betrüger beispielsweise eine Phishing-E-Mail an die Mitarbeiter eines Unternehmens versenden, die den Anschein erweckt, dass es sich um eine Aufforderung zur Überprüfung eines Vertrags handelt, in Wirklichkeit aber eine schädliche HTML-Datei ist. Solche Anhänge weisen alle visuellen Attribute des Unternehmens auf: Logo, CI und sogar den Namen des Chefs als Absender. In der Datei wird das Opfer aufgefordert, seine Login-Daten für sein Firmenkonto einzugeben, um auf das Dokument zuzugreifen. Diese Daten fallen dann direkt in die Hände der Cyberkriminellen, die diese Informationen nutzen können, um in das Unternehmensnetzwerk einzudringen.
Cyberkriminelle nutzen neue Taktiken zum Phishing-Erfolg
Da moderne Sicherheitslösungen bereits E-Mails blockieren können, die HTML-Anhänge mit schädlichen Skripten oder Phishing-Links im Klartext enthalten, wenden Cyberkriminelle jetzt andere Taktiken an, um eine Blockierung zu vermeiden. So verzerren die Betrüger oft den Phishing-Link oder die gesamte HTML-Datei mit verworrenem oder unbrauchbarem Code. Obwohl dieser Code-Müll und unzusammenhängende Texte nicht auf dem Bildschirm des Benutzers erscheinen, erschwert er es den Anti-Spam-Maschinen, die E-Mail zu erkennen und daraufhin zu sperren.
Getarnte Anfragen nach Anmeldedaten
„Cyberkriminelle nutzen geschickt getarnte Anfragen nach Anmeldedaten, um ahnungslose Opfer zur Eingabe ihrer Nutzernamen und Kennwörter zu verleiten“, erklärt Roman Dedenok, Sicherheitsforscher bei Kaspersky. „Jedes Jahr blockieren wir Millionen von Phishing-Seiten und wir erwarten, dass diese Zahl noch steigen wird. Cyberkriminelle haben eine komplexe und fortschrittliche Infrastruktur geschaffen, die es selbst unerfahrenen Betrügern ermöglicht, Tausende von Phishing-Seiten mit vorgefertigten Vorlagen [2] zu erstellen und damit ein breites Spektrum von Nutzern zu erreichen. Da nun jeder Amateur in der Lage ist, seine eigene Phishing-Seite zu erstellen, ist besondere Vorsicht geboten, wenn es darum geht, Links aus einer E-Mail oder einem Messaging-Dienst zu öffnen.“
Kaspersky-Tipps zum Schutz vor Phishing-Angriffen
- Bevor auf Links geklickt wird, sollte jeder davon genau überprüft werden. Bewegt man den Mauszeiger über den Link, erhält man eine Vorschau der URL und die Möglichkeit, auf Rechtschreibfehler oder andere Unregelmäßigkeiten zu achten.
- Nutzername und Passwort sollten nur über eine sichere Verbindung eingegeben werden. Zusätzlich ist auf das HTTPS-Präfix vor der URL der Website zu achten. Dieses zeigt an, ob die Verbindung zur Website sicher ist.
- Selbst wenn eine Nachricht oder ein Brief von einem der besten Freunde zu stammen scheint, könnte dessen Konto gehackt worden sein. Deshalb sollten Anwender in allen Situationen Vorsicht walten lassen und alle Links und Anhänge, auch wenn sie von einer vertrauenswürdigen Quelle zu stammen scheinen, überprüfen.
- Es sollte besonders auf Nachrichten, die von offiziellen Organisationen wie etwa Banken, Steuerbehörden, Online-Shops, Reisebüros, Fluggesellschaften zu stammen scheinen, geachtet werden. Sogar interne Nachrichten aus dem eigenen Unternehmen sind mit Vorsicht zu behandeln. Es ist für Kriminelle nicht schwer, eine gefälschte E-Mail zu fabrizieren, die legitim aussieht.
- Es sollte vermieden werden, unerwartete Dateien zu öffnen, die von Online-Gaming-Freunden oder anderen Online-Freunden geschickt werden. Sie können Ransomware oder sogar Spyware enthalten, ebenso wie Anhänge von offiziell aussehenden E-Mails.
- Mitarbeitern sollte ein grundlegendes Cybersicherheitsraining, wie etwa Kaspersky Security Awareness [3] angeboten werden. Übungen mit simulierten Phishing-Angriffen stellen sicher, dass die Belegschaft weiß, wie sie Phishing-E-Mails von echten E-Mails unterscheiden kann.
- Eine Schutzlösung für Endgeräte und Mailserver mit Anti-Phishing-Funktionen, wie Kaspersky Endpoint Security for Business [4] einsetzen, um das Risiko einer Infektion durch Phishing-E-Mails zu verringern.
- Falls der Cloud-Dienst Microsoft 365 genutzt wird, muss auch dieser geschützt werden. Kaspersky Security for Microsoft Office 365 [5] verfügt über eine spezielle Anti-Spam- und Anti-Phishing-Funktion sowie einen Schutz für SharePoint-, Teams- und OneDrive-Apps, um die Geschäftskommunikation sicher zu halten.
[1] https://securelist.com/html-attachments-in-phishing-e-mails/106481/
[2] https://securelist.com/phishing-kit-market-whats-inside-off-the-shelf-phishing-packages/106149/
[3] https://www.kaspersky.de/enterprise-security/security-awareness
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/microsoft-office-365