Phishing und Passwort-Klau: Bösartige Skripte im Mail-Anhang als Vektorgrafik

Seit Anfang des Jahres enthalten immer mehr Phishing-Mails einen Datei-Anhang mit einer SVG-Grafik, wie nahezu alle Anbieter von E-Mail-Sicherheits-Lösungen übereinstimmend berichten. Jetzt warnt auch das österreichische CERT.at vor der davon ausgehenden Gefahr.

Skalierbar durch Vektoren

Scalable Vector Graphics, kurz SVGs, bestehen aus beschreibendem Text im XML-Format, der den Renderer – im Allgemeinen den Browser – anweist, Objekte an bestimmten Positionen zu zeichnen. Das lässt sich dann beliebig in der Größe variieren, ohne dass dabei etwa Schrift verpixelt.

Allerdings können solche Vektorgrafiken auch JavaScript-Code enthalten, den der Browser beim Öffnen der Datei ausführt. Das machen sich die Phisher zunutze, indem sie die Empfänger auf gefälschte Anmeldeseiten lotsen oder auch Schadsoftware installieren. Ziel ist es fast immer, Passwörter oder andere Zugangs-Credentials abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.

Schutz vor SVGs

Viele Sicherheitslösungen überprüfen SVG-Dateien nicht ausreichend, sodass auf diesem Weg Schadcode auf die Systeme der Opfer gelangen könne, warnt das Advisory der österreichischen Security-Experten. Als vorbeugende Schutzmaßnahme blockiert man im einfachsten Fall vorsichtshalber den Empfang von SVG-Grafiken, etwa auf dem Mail-Gateway. Allerdings kann das durchaus zu Problemen führen, wenn diese Anhänge benötigt werden. Dann ist es vielleicht eine Option, zumindest jene Mails, die Skripte enthalten, in Quarantäne zu verschieben. Ansonsten muss man notgedrungen darauf setzen, dass Anwender die von SVGs ausgehende Gefahr richtig einschätzen, und kann versuchen, dies durch entsprechende Hinweise und Schulungen zu unterstützen.

(ju)