Ganz einfache E-Mail-Anhänge sind in den letzten drei Jahren zu einem der beliebtesten Angriffsvektoren für Malware und andere Arten von Schadcode geworden. Vor allem wenn sie in Hypertext Markup Language (HTML) geschrieben sind, werden Anhänge immer wieder in alle möglichen (und immer raffinierterer) Formen der Cyberkriminalität wie Identitätsbetrug über Remote Access Trojaner (RATs), Ransomware-Angriffe und Phishing-Betrug verwickelt. Besorgniserregend ist, dass es sich hierbei nicht um einen Einzelfall oder den gezielten Massenangriff eines einzelnen Bedrohungsakteurs handelt, sondern dass schädliche HTML-Anhänge im Jahr 2023 zum Werkzeug der Wahl vieler Einzelhacker weltweit geworden sind.
In komplizierteren Fällen, in denen sich die schädliche Nutzlast im HTML-Anhang selbst befindet, wird diese Technik auch als „HTML-Schmuggel“ bezeichnet. Diese Technik (obwohl seit langem bekannt und vielfach eingesetzt) hat vor allem durch eine Spear-Phishing-Kampagne des bekannten Bedrohungsakteurs NOBELIUM traurige Berühmtheit erlangt. In den vergangenen Jahren diente diese Technik der Verbreitung einer ganzen Reihe von namhaften Schadprogrammen wie Mekotio (der berüchtigte Banking-Trojaner), Trickbot und AsyncRAT/NJRAT. Angesichts der Ausweitung und der Tatsache, dass jeder dritte US-Haushalt mit irgendeiner Art von Malware infiziert ist, tut Aufklärung Not, um zu verstehen, wie Angriffe mit schädlichen HTML-Anhängen (und HTML-Schmuggel) funktionieren und wie Sie sich davor schützen können. Zu diesem Zweck haben wir für Sie diesen Leitfaden zu HTML-Anhängen und HTML-Schmuggel zusammengestellt, damit Sie, von wo aus auch immer, sorgenfrei auf Ihre E-Mails zugreifen können.
Was sind schädliche HTML-Anhänge?
Schädliche HTML-Anhänge sind eine Form von Malware, die in den Anhängen von E-Mails versteckt wird. Aktiv werden können sie erst, wenn der Benutzer auf die infizierte Datei in seinem E-Mail-Anhang klickt. Nach dem Öffnen wird der Benutzer über extern gehostete JavaScript-Bibliotheken auf die Phishing-Website des Hackers (oder z. B. eine vom Angreifer eingestellte Seite mit einer Anmeldemaske) umgeleitet. In den meisten Fällen waren diese Seiten wie ein Popup-Fenster von Microsoft gestaltet. Unter dem Vorwand, so den HTML-Dateianhang herunterzuladen, den der Benutzer mit der E-Mail erhalten hat, wird er in diesem Popup dazu aufgefordert, seine Anmeldedaten einzugeben. Mit der Eingabe gelangen die Benutzerdaten in die Hände des Hackers, der damit dann z. B. Identitätsbetrug begehen, illegal Geld abheben oder im Fall von Ransomware ein Lösegeld erpressen kann.
Was ist HTML-Schmuggel?
HTML-Schmuggel ist eine technisch ausgeklügeltere Form des Malware-Angriffs per HTML-Anhang auf der Basis von HTML 5 und JavaScript. In diesem Fall „schmuggeln“ die Cyberkriminellen den Schadcode über ein speziell entwickeltes Skript im HTML-Anhang auf den Computer des Opfers. Sobald der Betroffene den schädlichen HTML-Anhang in seinem Webbrowser öffnet, entschlüsselt der Browser das eingebettete Skript, das anschließend die Payload auf dem Computer des Opfers installiert. Das Ganze passiert lokal, also quasi hinter dem Rücken der Firewall.
Dabei wird ausgenutzt, dass sowohl HTML als auch JavaScript zu den gängigsten und wichtigsten Bestandteilen des Computeralltags gehören (sowohl im beruflichen als auch im privaten Bereich) und daher harmlos erscheinen. Standardmäßige Sicherheitskontrollen (wie Web-Proxys und E-Mail-Gateways) werden so umgangen, weil sie nur die Signaturen oder typische Verdächtige wie Anhänge im EXE-, ZIP- oder DOCX-Format prüfen. Da die Schaddateien erst erstellt werden, nachdem die Datei über den Browser auf den Rechner des Opfers geladen wurde, sehen Standard-Sicherheitslösungen darin nur harmlosen HTML- und JavaScript-Datenverkehr. Aber auch gegen fortschrittlichere Sicherheitssoftware haben Cyberkriminelle bereits erfolgreiche Techniken entwickelt, um ihre schädlichen Skripte zu „verschleiern“.
HTML-Schmuggel nutzt das so genannte „Download“-Attribut von Anker- oder Linktexten sowie JavaScript-Blobs, um die Payload auf dem Gerät des Opfers zu erzeugen. Wird das „Download“-Attribut angeklickt, kann eine HTML-Datei automatisch die Schaddatei herunterladen, auf die im „href“-Tag verwiesen wird. Bei JavaScript sieht der Ablauf ganz ähnlich aus: Die JavaScript-Blobs speichern die verschlüsselten Daten der schädlichen Datei, die in dem Moment dekodiert werden, in dem sie an eine JavaScript-API übergeben werden, die eigentlich eine URL erwartet. Das bedeutet, dass die Schaddatei automatisch heruntergeladen und mithilfe des JavaScript-Codes lokal auf dem Gerät des Opfers zusammengestellt wird.
Weitere Arten von schädlichen E-Mail-Anhängen
HTML ist zwar eine der beliebtesten Methoden, um Malware-Anhänge auf das System eines Benutzers zu schmuggeln, trotzdem gibt es eine Reihe weiterer Dateitypen, die nicht weniger gefährlich sind:
EXE-Dateien
Wie bereits erwähnt, sind ausführbare oder EXE-Dateien auf einem Windows-Betriebssystem ein beliebter (und bekannter) Bedrohungsvektor, den Sie im Blick haben sollten. Wenn Sie eine solche Datei als Anhang erhalten (egal, ob der Absender vertrauenswürdig ist oder nicht), sollten Sie sie nach Möglichkeit nicht herunterladen und ausführen.
ISO-Dateien
Im ISO-Format werden in der Regel Sicherungskopien von Festplatten oder verteilten Systemen unter Apple oder Windows gespeichert und ausgetauscht. Da Windows diese Dateien mittlerweile ohne zusätzliche Software erstellen kann, kommt diese Art von Malware-Anhang seit einigen Jahren vermehrt vor. Wer aber keine komplette Systemkopie angefordert hat und auch seinen Computer nicht partitionieren möchte, um mehrere Betriebssysteme darauf auszuführen, hat auch keinen Bedarf an einer solchen Datei. In fast allen Fällen können Sie diese Datei also ignorieren und aus Ihrem Posteingang löschen, da es sich mit ziemlicher Sicherheit um Malware handelt.
Microsoft Office-Dateien
Da Microsoft Office-Dateien (z. B. DOCX, XLSX oder PPTX) praktisch weltweit zur Grundausstattung von Unternehmen gehören, sind sie ein ideales Mittel, um alle möglichen Arten von Malware in ein Unternehmen einzuschleusen. Sie sind aus genau diesem Grund auch sehr schwer abzuwehren und treten in der Regel in Form einer dringenden Zahlungsaufforderung oder allerletzten Mahnung auf, um die Opfer zum Öffnen der Anhänge zu verleiten.
So schützen Sie sich vor schädlichen HTML-Anhängen
Glücklicherweise gibt es eine Reihe von Schutzmaßnahmen, die Sie ergreifen können, um die Bedrohung durch schädliche HTML-Anhänge einzudämmen.
Schutzmechanismus mit Untersuchungstools für E-Mails
Ein spezielle Sicherheitssoftware zum Scannen von E-Mails ist der erste wirksame Schritt gegen schädliche E-Mail-Anhänge und eingebettete Skripte. Wie bereits erwähnt, reichen hier Standardprogramme nicht aus, um der sich ständig weiterentwickelnden Bedrohungslage Herr zu werden. Cybersicherheitsexperten empfehlen heutzutage eine automatisierte Antiviren-Lösung auf Basis von lernfähigen Systemen und statischer Codeanalyse, die auf den tatsächlichen Inhalt einer E-Mail und nicht nur auf den Anhang schaut. Als besonders fortschrittliche Online-Cybersicherheitslösung empfehlen wir Kaspersky Premium. Dieses preisgekrönte Premium-Paket bietet sowohl für Unternehmen als auch für Privatanwender neben Remote-Unterstützung auch Support rund um die Uhr.
Strikte Zugriffskontrollen
Manchmal lässt sich eine Sicherheitsverletzung oder der Verlust von Zugangsdaten schlichtweg nicht vermeiden. Aber mit einer Beschränkung des Zugriffs auf eine eingeschränkte Benutzergruppe lässt sich dann der Schaden gering halten, den ein Cyberkrimineller realistischerweise anrichten kann. Außerdem sollten Benutzer, die auf kritische Systeme zugreifen können, als zusätzliche Schutzschicht eine Multi-Faktor-Authentifizierung (gelegentlich auch als MFA, Zwei-Faktor-Verifizierung oder 2FA bezeichnet) verwenden. Auch ein virtuelles privates Netzwerk (Virtual Private Network, VPN) kann helfen, Ihre wichtigen Daten vor missbräuchlichen Zugriffen zu schützen (insbesondere wenn Remote-Mitarbeitern ein Fehler unterläuft). Kaspersky VPN bietet Nutzern die Möglichkeit, sich über einen verschlüsselten digitalen Tunnel mit den Servern ihres Unternehmens zu verbinden. Dieser Tunnel schützt ihr System vor den potenziellen Gefahren öffentlicher WLAN-Zugänge und ungesicherter Internetverbindungen, ganz gleich, wo sie sich befinden.
Weiterbildung und Best Practices im Bereich der Cybersicherheit
Eine der einfachsten Möglichkeiten, wertvolle Daten vor Angriffen mit HTML-Anhängen zu schützen, besteht darin, Ihre Mitarbeiter (oder sich selbst) in den Best Practices der Cybersicherheit zu schulen und darüber aufzuklären, woran sie verdächtige E-Mails, Dateien und Anhänge erkennen. Dazu gehört, dass sie grundsätzlich keine Passwörter oder beruflichen Anmeldedaten an Kollegen weitergeben, nicht dasselbe Passwort für mehrere Softwareprogramme oder Konten verwenden (wir empfehlen einen Passwortmanager oder einen sicheren Speicher, der Ihre Passwörter verschlüsselt und bei Bedarf automatisch ausfüllt) und ausschließlich sichere Passwörter oder Passphrasen vergeben (10 – 12 Zeichen lang, mit einer Mischung aus Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).
FAQs zur HTML-Anhängen
Was sind HTML-Anhänge?
HTML-Anhänge sind an E-Mails angehängte Dateien, die in der Programmiersprache „Hypertext Markup Language“ geschrieben sind. In den letzten Jahren sind schädliche HTML-Anhänge (die eingebettete Malware oder JavaScript-basierte Links zu Phishing-Websites enthalten) unter Cyberkriminellen zu beliebten Vektoren geworden, um E-Mail-Firewalls und Schutzsysteme zu umgehen.
Können HTML-Dateien Viren enthalten?
Ja, HTML-Dateien können Viren und andere Arten von Malware enthalten, einschließlich Phishing-Versuchen und Ransomware. Diese Art von Cyberangriff wird als schädlicher HTML-Anhang oder HTML-Schmuggel bezeichnet. Dabei werden JavaScript-Links zu gefälschten Anmeldefenstern oder eine eingebettete Malware verwendet, um an Anmeldedaten und persönliche Dateien eines Benutzers zu kommen.
Können HTML-Dateien gefährlich sein?
Ja, HTML-Dateien (auch als E-Mail-Anhang) können Ihrem System sehr gefährlich werden. Seit einigen Jahren beobachten Cybersicherheitsexperten eine Zunahme an besonders tückischen Cyberangriffen, mit denen versucht wird, über schädliche HTML-Anhänge an persönliche Daten zu kommen. Diese Art des Angriffs wird auch als HMTL-Schmuggel bezeichnet.
Was ist HTML-Schmuggel?
HTML-Schmuggel ist eine Art des Cyberangriffs, die sich zunehmender Beliebtheit erfreut und bei der die Programmiersprache „Hypertext Markup Language“ (in der Regel HTML 5) und JavaScript genutzt werden, um verschiedene Formen von Malware an den Sicherheitssystemen eines Benutzers „vorbeizuschmuggeln“. Dabei gelingt es Hackern immer häufiger, herkömmliche E-Mail-Schutzprotokolle zu umgehen und die Malware lokal und praktisch hinter dem Rücken der Firewall auszuführen.
Verwandte Artikel:
- Was sind Passwortmanager und sind sie sicher?
- Was ist Ransomware?
- Was versteht man unter Spam und Phishing-Betrug?
- Was sind Trojaner und welche Arten gibt es?
Produktempfehlungen: