HTML-Phishing: Sicherheitsanbieter warnt vor Angriffen

Kaspersky beobachtet einen Anstieg von Phishing-Angriffen über HTML-Dateien. Dem gehen wir im heutigen Beitrag auf den Grund: Sie erfahren Details über die aktuelle Angriffswelle und lernen häufige Herangehensweisen beim HTML-Phishing kennen. Zum Schluss geben wir Ihnen Tipps, wie Sie mit verdächtigen E-Mails umgehen und sich so effektiv vor möglichen Angriffen durch HTML-Phishing oder andere Phishing-Arten wie das Smishing oder Quishing schützen können.

Kaspersky beobachtet verstärkt Phishing über HTML-Dateien

In einer Pressemeldung warnt der Sicherheitsanbieter Kaspersky vor Phishing-Angriffen über HTML-Dateien. Zwischen Januar und April 2022 gelang es Kaspersky, nahezu zwei Millionen dieser Phishing-E-Mails zu blockieren. Offenbar läuten Cyberkriminelle dabei einen neuen Trend ein, denn das Phishing über HTML-Dateien wird – wie die Zahlen zeigen – immer beliebter. Eigentlich erkennen Antiviren-Lösungen Links recht leicht. Jedoch ermöglichen es HTML-Anhänge den Cyberkriminellen, die Entdeckung durch Antiviren-Programme zu verhindern.

Die Cyberkriminellen gestalten die HTML-Anhänge so, dass sie wie Seiten offizieller Unternehmenswebsites aussehen können. Um die Phishing-Opfer zur Preisgabe ihrer sensiblen Daten zu verleiten, werden Bilder, Stil, Skripte oder andere Multimedia-Komponenten von offiziellen Seiten kopiert. Der Erfolg, den Cyberkriminelle mit diesem Vorgehen haben, ist leider der Unwissenheit der Opfer geschuldet: Noch immer ist vielen Nutzenden einfach nicht bewusst, dass Dateien in Phishing-E-Mails nicht sicher sind. So werden schädliche HTML-Anhänge ahnungslos geöffnet – und die Kriminellen haben dadurch recht leichtes Spiel.

Herangehensweisen beim HTML-Phishing

Wie Kaspersky in seiner Studie zum HTML-Phishing herausfand, sind zwei häufige Herangehensweisen beim HTML-Phishing zu unterscheiden: Zum einen HTML-Dateien mit Phishing-Link, zum anderen komplette schädliche Websites. Im ersten Fall versenden die Kriminellen eine HTML-Datei mit einem Text, in dem angeblich wichtige Informationen enthalten sind. Das kann beispielsweise die Benachrichtigung einer Bank sein, die zu einem Überweisungsversuch Details mitteilt. Nutzende werden dann aufgefordert, einen Link zur angeblichen Website der Bank anzuklicken, um die Überweisung abzubrechen. Tatsächlich aber werden die Opfer dann auf die Phishing-Seite gelenkt.

Manchmal muss das Opfer nicht mal aktiv werden – es gibt Phishing-E-Mails mit HTML-Anhängen, die beim Versuch, den Anhang zu öffnen, automatisch auf die schädliche Website leiten. Hier könnte das Opfer beispielsweise aufgefordert werden, ein Formular auszufüllen. Die Daten, die eingegeben werden, landen direkt in den Händen der Kriminellen.

Die zweite Herangehensweise sind komplette schädliche Websites. Für Cyberkriminelle ist diese Methode praktisch: Sie sparen Hosting-Gebühren und müssen keine Websites erstellen, denn das notwendige Phishing-Formular und das entsprechende Skript zur Datenerfassung sind bereits vollständig im Anhang der E-Mail enthalten. Selbstredend lässt sich die HTML-Datei personalisieren, sodass das Vertrauen des Opfers gewonnen werden kann.

Ein Beispiel soll diese Herangehensweise des HTML-Phishings verdeutlichen: Kriminelle versenden eine Phishing-E-Mail an einen Mitarbeitenden eines Unternehmens. Die E-Mail erweckt den Anschein, als handele sich um eine Aufforderung zum Überprüfen eines Vertrags. Jedoch handelt es sich um eine schädliche HTML-Datei. Oft weisen derlei Anhänge Attribute des Unternehmens auf: Logo und auch der Name des Chefs sind enthalten. Das Opfer könnte in der E-Mail dazu aufgefordert werden, die Login-Daten für seinen Firmenzugang einzugeben, um auf das Dokument zugreifen zu können. Jedoch fallen diese Informationen wieder direkt in die Hände der Kriminellen, die diese Informationen dann beispielsweise zum Eindringen ins Unternehmensnetzwerk missbrauchen.

HTML-Phishing: Die neuen Taktiken der Cyberkriminellen

Wie oben bereits angeklungen ist, sind moderne Antiviren-Lösungen eigentlich in der Lage, E-Mails mit schädlichen Skripten in HTML-Anhängen zu blockieren. Doch die Cyberkriminellen lernen dazu: Verzerren die Betrüger den Phishing-Link oder auch die gesamte HTML-Datei durch verworrenen bzw. unbrauchbarem Code, erkennen die Antiviren-Lösungen den Code-Müll nicht als potenzielles Phishing.

Roman Dedenok erklärt als Sicherheitsforscher bei Kaspersky dazu: „Cyberkriminelle haben eine komplexe und fortschrittliche Infrastruktur geschaffen, die es selbst unerfahrenen Betrügern ermöglicht, Tausende von Phishing-Seiten mit vorgefertigten Vorlagen zu erstellen und damit ein breites Spektrum von Nutzern zu erreichen. Da nun jeder Amateur in der Lage ist, seine eigene Phishing-Seite zu erstellen, ist besondere Vorsicht geboten, wenn es darum geht, Links aus einer E-Mail oder einem Messaging-Dienst zu öffnen.“

HTML-Phishing: Schützen Sie sich!

Um sich effizient vor Phishing schützen zu können, muss zunächst ein Problembewusstsein bestehen. Ob Sie normale E-Mails von Phishing-Mails unterscheiden können, zeigt Ihnen beispielsweise unser beliebtes Phishing-Quiz. Machen Sie dieses Quiz gerne mit Ihrem Team, um herauszufinden, ob Sie Ihre Mitarbeitenden diesbezüglich sensibilisieren sollten. Informieren Sie sich über weitere Formen des Phishings, denn es gibt nicht nur HTML-Phishing, sondern beispielsweise auch Smishing (Phishing per SMS) und Quishing (Phishing per QR-Code).

Die oberste Regel, die beim Phishing generell gelten sollte, gilt auch beim HTML-Phishing: Öffnen Sie Anhänge und Links immer mit Bedacht! Das bedeutet: Verzichten Sie aufs Öffnen, wenn Ihnen die Anhänge/ Links verdächtig vorkommen. Kommt eine E-Mail von einem vermeintlich bekannten Absender herein mit Links und/ oder Anhängen, die Sie nicht erwartet haben, sollten Sie ebenfalls skeptisch sein: Mittels E-Mail-Spoofing können Angreifer ihre wahre Identität verschleiern und andere Identitäten vortäuschen. Deshalb: Telefonieren Sie im Zweifel mit dem vermeintlichen Absender, um sicherzugehen, dass die Nachricht tatsächlich von dort stammt. Weitere Tipps zum Schutz vor Phishing finden Sie in unserem Beitrag „Phishing-Schutz: So erkennen Sie Phishing und schützen sich“.