Free

HTML-Anhänge bleiben gefährlich

Die Hypertext Markup Language (HTML) ist ein willkommenes „Angriffstool“ der Art, dass gut gestaltete Nachrichten, kompromittierte Webseiten und bösartige HTML-Dateianhänge Benutzer mittels Phishing täuschen sollen, um etwa den Diebstahl von Zugangsdaten zu verschleiern.

Lesezeit 2 Min.

In den letzten zehn Monaten hat sich die Zahl der von Barracuda-Systemen gescannten HTML-Anhänge, die sich als bösartig herausstellten, mehr als verdoppelt.

Die Methode ist bekannt: Öffnet ein argloser Mitarbeiter einen kompromittierten HTML-Anhang einer E-Mail, wird er über mehrere Umleitungen über Javascript-Bibliotheken, die an anderer Stelle gehostet werden, auf eine Phishing-Website oder auf weitere bösartige Inhalte geleitet, die die Kriminellen kontrollieren. Hier wird er aufgefordert, sich anzumelden, um auf gewünschte Informationen zugreifen oder eine Datei herunterladen zu können, die möglicherweise Malware enthält. Doch es geht immer noch perfider. In einigen Fällen haben Barracuda-Forscher beobachtet, dass die HTML-Datei selbst ausgeklügelte Malware enthält, in die die gesamte bösartige „Nutzlast“ eingebettet ist, einschließlich potenter Skripte und ausführbarer Dateien. Diese Angriffstechnik kommt mittlerweile im Gegensatz zu extern gehosteten JavaScript-Dateien immer häufiger zum Zuge. Deshalb ist es wichtig, die gesamte E-Mail mit HTML-Anhängen, allen Weiterleitungen sowie den Inhalt der E-Mail auf bösartige Absichten hin zu analysieren.

Ein weiteres neues Merkmal der Angriffe ist ihre Vielfalt. Die steigende Anzahl der entdeckten schädlichen Dateien ist nicht einfach das Ergebnis einer begrenzten Anzahl von Massenangriffen, sondern es handelt sich vielmehr um viele verschiedene Arten von Angriffen, bei denen jeweils speziell gestaltete Dateien verwendet werden. Mittlerweile sind rund ein Viertel (27 Prozent) der gefundenen Dateien singulär, die restlichen drei Viertel sind Wiederholungen oder Massenverteilungen dieser Dateien.

HTML-Anhänge stehen auf der Liste der für bösartige Zwecke verwendeten Dateitypen ganz oben. Nicht nur das Gesamtvolumen bösartiger HTML-Anhänge nimmt zu, sondern sie sind auch weiterhin der am häufigsten für bösartige Zwecke verwendete Dateityp. Warum ist das so? Weil es immer noch zuverlässig funktioniert! Aber was schützt vor bösartigen HTML-Anhängen?

  • Ein wirksamer E-Mail-Schutz erkennt bösartige HTML-Anhänge und kann diese blockieren. Da diese wie beschrieben nicht immer leicht zu erkennen sind, umfassen leistungsfähige Lösungen maschinelles Lernen und statische Codeanalyse, die den Inhalt einer E-Mail und nicht nur deren Anhang prüft.
  • Aufklärung und Sensibilisierung der Mitarbeiter, um potenziell bösartige HTML-Anhänge zu erkennen und zu melden. Angesichts des Umfangs und der Vielfalt dieser Art von Angriffen ist es geraten, bei allen HTML-Anhängen stets vorsichtig zu sein, insbesondere bei solchen, die von unbekannten Quellen stammen. Anmeldedaten dürfen niemals an Dritte weitergegeben werden.
  • Multifaktor-Authentifizierung (MFA) ist nach wie vor eine gute Zugangskontrolle. Nichtsdestotrotz wenden Kriminelle zunehmend fortgeschrittene Social-Engineering-Techniken an, indem sie beispielsweise auf die MFA-Müdigkeit der Mitarbeiter setzen. Zero-Trust-Access-Maßnahmen erhöhen die Sicherheit. Eine effektive Zero-Trust-Lösung überwacht dynamisch mehrere Parameter: Benutzer, Gerät, Standort, Zeit, Ressourcen und weitere, auf die zugegriffen wird. Dadurch wird es für Angreifer deutlich schwieriger, das Netzwerk mit gestohlenen Anmeldedaten zu kompromittieren.
  • Sollte eine bösartige HTML-Datei dennoch durchkommen, sollten Tools zur Beseitigung bereitstehen, um bösartige E-Mails schnell zu identifizieren und aus den Posteingängen aller Benutzer zu entfernen. Eine automatisierte Incident-Response kann dabei helfen, dies zu tun, bevor sich der Angriff in einem Unternehmen ausbreitet. Darüber hinaus kann der Schutz vor Kontoübernahmen verdächtige Kontoaktivitäten überwachen und davor warnen, wenn Anmeldedaten kompromittiert werden.

Eine adäquate Cybersecurity ist angesichts der steigenden Zahl an HTML-Angriffen grundlegend. Ein mehrschichtiger Ansatz aus Sicherheitstools und Mitarbeiteraufklärung unterstützt Unternehmen jedoch dabei, sich gegen diese Bedrohung effektiv zu verteidigen.

 

Dr. Klaus Gheri ist Vice President & General Manager Network Security bei Barracuda Networks.