Angehängte PDF-Datei ist gar keine

NCSC warnt vor Phishing-E-Mail mit interessantem Anhang

Uhr
von René Jaun und slk

Phishing-E-Mails enthalten häufig einen Link zu einer betrügerischen Website. Nun berichtet das NCSC vor einem neuen Trick. Dabei verschicken Cyberkriminelle eine als PDF getarnte HTML-Datei. Ausserdem warnt die Behörde vor Ransomware-Attacken auf QNAP-NAS-Systeme.

(Source: mohamed_hassan/pixabay)
(Source: mohamed_hassan/pixabay)

Das Nationale Zentrum für Cybersicherheit (NCSC) warnt vor einer neuen Angriffstechnik in Phishing-E-Mails. Die von der Behörde untersuchte E-Mail enthielt im Gegensatz zu üblichen Phishing-Massenversänden keinen Link, auf den das Opfer klicken sollte. Stattdessen ist der Nachricht ein Dokument angehängt, welches es in sich hat.

Der Anhang gibt sich laut dem NCSC nämlich als PDF aus. In Tat und Wahrheit handelt es sich dabei aber um eine HTML-Datei mit JavaScript-Code und mehr als 400 Zeilen Programmcode. Klickt das Opfer auf die Datei, öffnet sich der Internetbrowser, und das JavaScript wird ausgeführt.

Im Test des NCSC erschien die Webseite des E-Mail-Providers des E-Mail-Empfängers als Hintergrund. Im Vordergrund wurde ein unauffälliges Login-Fenster angezeigt. "Für jemanden, der diese Beilage ohne Sicherheitsvorkehrungen öffnet scheint es, als wäre er effektiv bei seinem Provider gelandet", erklärt das NCSC.

Bezeichnend dabei: Die JavaScript-Datei zeigt jeweils die Website des Providers an, der tatsächlich zur jeweiligen Empfängeradresse gehört. Laut dem NCSC können Betreiber dieser Websites dieses Verhalten relativ einfach unterbinden. Im HTML-Header könne mit sogenannten Meta-Tags nämlich angegeben werden, ob ein Browser die eigenen Webseiten in einer fremden Webseite anzeigen (einbinden, embedded) darf oder nicht. Entsprechend gibt der Browser entweder eine Warnmeldung aus oder zeigt eine leere Seite an.

Für Anwenderinnen und Anwender hält das NCSC diese fünf Ratschläge bereit:

  • Öffnen Sie nie Beilagen in E-Mails, die Sie nicht erwarten;

  • Geben Sie niemals ein Passwort auf einer Seite an, welche Sie über einen Link geöffnet haben;

  • Versichern Sie sich beim Absender, dass die E-Mail wirklich von ihm stammt;

  • Gehen Sie direkt auf die Website des Absenders und melden Sie sich über die offizielle Website an. Zumeist können Sie dort bereits kontrollieren, ob die Behauptungen in der E-Mail stimmen;

  • Seien Sie allgemein bei E-Mails immer misstrauisch.

NAS-Server von QNAP weiter in Gefahr

In seinem Wochenrückblick warnt das NCSC weiter vor einer Sicherheitslücke in Netzwerkspeichergeräten (NAS) der Firma QNAP. Laut mehreren Meldungen werde diese Schwachstelle aktiv ausgenutzt und für Ransomware-Angriffe missbraucht. QNAP hatte bereits Mitte Januar davor gewarnt und Nutzerinnen und Nutzer zum Absichern ihrer Geräte aufgefordert. Laut dem NCSC stellt das Unternehmen inzwischen ein Sicherheitsupdate zur Verfügung. Laut einem Bericht von "Forbes" wird dieses inzwischen automatisch installiert, ohne dass die Anwenderinnen und Anwender der NAS-Geräte etwas tun müssen.

Wer zukünftig nicht von solchen Angriffen überrascht werden will, für den hält das NCSC diese Empfehlungen bereit:

  • Installieren Sie alle aktuell verfügbaren Software-Updates möglichst sofort nach deren erscheinen.

  • Machen Sie Ihre Geräte nicht vom Internet her zugänglich. Wo dies unumgänglich ist, sollten Sie zusätzliche Massnahmen treffen, beispielsweise mit der Verwendung eines Virtuellen Privaten Netzwerkes (VPN).

  • Verringern Sie die Angriffsfläche aus dem Internet und schliessen Sie alle nicht unbedingt notwendigen Netzwerk-Ports. Insbesondere Zugänge für die Administration von Geräten sollten nicht ungeschützt aus dem Internet erreichbar sein.

  • Deaktivieren Sie automatische Netzwerk-Port-Weiterleitungen auf dem Router und auf dem NAS, insbesondere den Service "UPnP", welcher eine unkontrollierte Ansteuerung von Geräten ermöglicht.

  • Prüfen Sie Ihre Einstellungen regelmässig, in dem Sie einen geeigneten Netzwerk-Scan auf der Ihnen zugewiesenen Internetprotokoll-Adresse (IP) durchführen (Online Port Scanner, NMAP).

  • Setzen Sie sofort alle vom Hersteller gesetzten Passwörter zurück und definieren Sie ein neues Passwort. Wählen Sie immer ein starkes und langes Passwort und verwenden Sie wo immer möglich eine Zwei-Faktor-Authentisierung.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehr-Strategien.

Webcode
DPF8_245307