Cyberbedrohungen
Phishing-Attacken mittels bösartiger PDFs
PDFs gelten als harmlos, solide und verlässlich – genau dieses Image nutzen Angreifer jetzt aus: Neue Phishing-Kampagnen setzen auf manipulierte PDFs, die entweder über die Gmail-Vorschau täuschen oder beim Öffnen automatisch Schadcode nachladen.
Save to Folio
IT-Sicherheitsexperten von Varonis haben eine raffinierte Phishing-Methode entdeckt, die speziell auf Gmail-Nutzer abzielt und manipulierte PDF-Anhänge nutzt. Zu deren Erstellung verwenden die Angreifer ein spezielles Toolkit, das es ermöglicht, Overlays, klickbare Eingabeaufforderungen, JavaScript und automatische Weiterleitungen in scheinbar legitime PDF-Dateien einzubetten.
Die Kriminellen gehen auf zwei verschiedene Arten vor: Für die erste nutzen sie die PDF-Vorschaufunktion von Gmail aus. Die PDF-Datei enthält nur Skripte und einen externen Link, wodurch sie Sicherheitsvorkehrungen und Filter umgeht. Der Text des Dokuments ist unscharf, und die Benutzer erhalten eine Aufforderung für das „Öffnen des sicheren Dokuments“. Wenn das Opfer auf den Button klickt, öffnet sich eine externe Website im Browser. Diese Methode umgeht die Gmail-Sicherheitsfunktionen, da die Malware-Prüfung nichts Verdächtiges findet und der schädliche Inhalt erst abgerufen wird, wenn der Benutzer aktiv darauf klickt.
Bei der zweiten setzen sie auf eingebettetes JavaScript: Das Opfer lädt die PDF-Datei herunter oder öffnet sie, woraufhin das eingebettete Skript ausgeführt wird. Der Computer verbindet sich automatisch mit der Payload-URL und ruft eine Datei ab. Obwohl PDF-Reader normalerweise eine Sicherheitswarnung anzeigen, wird diese Methode so konfiguriert, dass eine legitim erscheinende URL angezeigt wird. Ein Popup mit einer Zugriffsanfrage erscheint, und wenn der Benutzer auf „Zulassen“ klickt, wird die schädliche Datei heruntergeladen und die Malware ausgeführt.
Vorsicht bei der Herausgabe sensibler Daten
PDF-Dateien genießen sowohl im privaten als auch im geschäftlichen Bereich ein hohes Maß an Vertrauen, da sie als sicherer gelten als andere Dateitypen. Doch auch sie können gefährliche Inhalte oder Links enthalten.
- Seien Sie deshalb bei PDF ebenso vorsichtig wie bei anderen Typen von Anhängen in der Mail, öffnen Sie diese nur bei bekannter Herkunft,
- Prüfen Sie die Vorschau-URL von Links, bevor Sie einer Verbindung zustimmen.
- Machen Sie sich zudem bewusst, dass private und kostenlose E-Mail-Dienste wie Gmail im Regelfall nicht dieselben strengen Sicherheitsvorkehrungen aufsetzen wie berufliche Mail-Systeme. Sie sollten deshalb vermeiden, berufliche Mails von privaten Accounts zu senden oder empfangen.
- Verzichten Sie auch darauf, private E-Mails auf dienstlichen Geräten zu öffnen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.