Phisher tricksen mit HTML-Anhängen Blacklist-Funktionen von Browsern aus

M86 Security warnt davor, dass Betrüger vermehrt HTML-Dateien verwenden, um Blacklist-Funktionen von Browsern zu umgehen und Nutzer auf Phishing-Websites zu locken. Die Dateien werden als E-Mail-Anhang verschickt und beim Öffnen lokal gespeichert.

Die neue Methode ersetzt die bisher in Phishing-Mails eingefügten URLs. Diese wurden einem Blogeintrag des Sicherheitsanbieters zufolge von Browsern wie Chrome oder Firefox oft erkannt und anschließend blockiert.

Bei den als Dateianhang verschickten HTML-Dateien handelt es sich meist um Formulare, in die der Nutzer Daten eingeben soll. Die Daten würden dann über eine POST-Anfrage an ein PHP-Skript verschickt, das auf einem legitimen Webserver laufe, erklärt M86 Security. Da nur wenige PHP-URLs von Browsern als missbräuchlich eingestuft würden, werde keine Warnung ausgelöst.

„Monate alte Phishing-Kampagnen bleiben so unentdeckt. Es scheint, als sei die neue Taktik sehr effektiv“, schreibt Rodel Mendrez, Threat Analyst bei M86 Security. „Allerdings sollte der Browser in der Lage sein, eine URL zu erkennen, wenn sie als POST-Anfrage gesendet wird.“

Ohne das HTML-Formular seien die Phishing-URLs nur schwer auszumachen, da das PHP-Skript auf einem Server ausgeführt und kein sichtbares HTML angezeigt werde, so Mendrez weiter. Nutzer sollten beachten, dass beispielsweise Geldinstitute niemals solche Dateianhänge an ihre Kunden verschicken.

Ein Mozilla-Vertreter wollte den Bericht von M86 Security nicht kommentieren. Ein Google-Sprecher sagte: „Google verfügt über mehrere Maßnahmen, um Nutzer vor Phishing-Sites zu schützen. Google Mail prüft beispielsweise HTML-Anhänge auf Phishing-Websites und zeigt bei einem Fund eine Warnung an. Wir raten Nutzer immer zur Vorsicht beim Umgang mit Dateianhängen und wenn per E-Mail persönliche Daten angefordert werden.“