Zwei Millionen Phishing-Angriffe über HTML-Dateien

Experten des IT-Security-Spezialisten Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte Kaspersky fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten ist bei Betrügern einer der neuesten und beliebtesten Tricks. Normalerweise werden solche Links von Anti-Spam-Engines oder Antiviren-Software leicht erkannt, aber die Verwendung von HTML-Anhängen hat es den Cyberkriminellen ermöglicht, deren Entdeckung zu vermeiden.

Viele Nutzer sind sich nämlich nach wie vor nicht bewusst, dass Dateien in Phishing-E-Mails unsicher sein können. Dadurch öffnen sie häufig ahnungslos schädliche HTML-Anhänge. Das ist auch kein Wunder, denn die Cyberkriminellen gestalten diese HTML-Anhänge so, dass sie wie die Seiten einer offiziellen Unternehmens-Website aussehen. Sie zielen auf die Nutzer dieser offiziellen Seiten ab und kopieren deren Stil, Bilder, Skripte und andere Multimedia-Komponenten, um ihre Opfer zur Eingabe sensibler Daten in das Phishing-Formular zu verleiten.

Wie Kaspersky aufklärt, gibt es zwei Haupttypen von HTML-Anhängen, die von Cyberkriminellen verwendet werden: HTML-Dateien mit einem Phishing-Link oder ganze schädliche Webseiten. Im ersten Fall verschicken die Angreifer eine HTML-Datei mit Text, der angeblich wichtige Daten enthält, etwa die Benachrichtigung einer Bank über einen grossen Überweisungsversuch. Der Nutzer wird dazu aufgefordert, auf einen Link zur Website der Bank zu klicken, um die Transaktion zu stoppen, wird aber stattdessen zu einer Phishing-Seite geleitet. In einigen Fällen muss das Opfer nicht einmal auf den Link klicken. Wenn der Nutzer versucht, den HTML-Anhang zu öffnen, wird er automatisch auf eine schädliche Website umgeleitet. Auf dieser Seite werden die Opfer aufgefordert, ein Dateneingabeformular auszufüllen, um geschäftsbezogene Dateien zu überprüfen, ihr Bankkonto zu schützen oder sogar eine staatliche Zahlung zu erhalten. Erst später erfährt das Opfer, dass ihm seine persönlichen Daten und Bankverbindungen gestohlen wurden.

Die zweite Art von HTML-Anhängen sind ganze Phishing-Seiten. Diese Dateien ermöglichen es Cyberkriminellen, Hosting-Gebühren zu sparen und Websites zu vermeiden, da Phishing-Formular und Skript zur Datenerfassung vollständig im Anhang enthalten sind. Als Phishing-Site kann die HTML-Datei auch personalisiert werden, je nach Ziel und Angriffsvektor, mit dem das Vertrauen des Opfers gewonnen werden soll. So könnte ein Betrüger beispielsweise eine Phishing-E-Mail an die Mitarbeiter eines Unternehmens versenden, die den Anschein erweckt, dass es sich um eine Aufforderung zur Überprüfung eines Vertrags handelt, in Wirklichkeit aber eine schädliche HTML-Datei ist. Solche Anhänge weisen alle visuellen Attribute des Unternehmens auf: Logo, CI und sogar den Namen des Chefs als Absender. In der Datei wird das Opfer aufgefordert, seine Login-Daten für sein Firmenkonto einzugeben, um auf das Dokument zuzugreifen. Diese Daten fallen dann direkt in die Hände der Cyberkriminellen, die diese Informationen nutzen können, um in das Unternehmensnetzwerk einzudringen.