Phishing Bedrohung durch Scalable Vector Graphics (SVG)
Table of Contents
Laut Sophos wird in aktuellen Phishing-Kampagnen verstärkt das Grafikdateiformat SVG (Scalable Vector Graphics) missbraucht, um Schutzmechanismen von Mail-Gateways und Sicherheitslösungen zu umgehen. Die Dateien, die als Anhang in Spam-E-Mails verschickt werden, verweisen beim Öffnen im Browser (Standardprogramm unter Windows) auf externe Webseiten, hinter denen sich gefälschte Anmeldedialoge oder sogar Malware verbergen.
Hintergrund des Angriffs:
- SVG als XML-Format: Anders als klassische Bildformate (JPEG, PNG, BMP) enthält eine SVG-Datei textbasierte Anweisungen in XML. Dadurch können Skripte (JavaScript), Hyperlinks und aktive Inhalte eingebettet werden.
- Missbrauch durch Phishing-Akteure: Sobald die SVG-Datei im Browser geöffnet wird, erscheint eine präparierte Grafik bzw. ein Klicklink, der den Nutzer auf eine betrügerische Webseite leitet. Teilweise werden CAPTCHA-Abfragen genutzt, um automatisierte Analysen zu unterbinden. Dort werden Zugangsdaten abgefragt, die oft direkt an Angreifer-Server weitergeleitet werden.
Beispiele aus den beobachteten Angriffen:
- Fake-Voicemail/E-Fax-Nachrichten: E-Mails behaupten, es läge eine neue Voicemail oder ein Fax vor. Das angebliche Dokument liegt als SVG-Anhang bei. Öffnet das Opfer die Datei, landet es auf einer nachgebauten Login-Seite (z. B. Office365, Google Voice), die Anmeldedaten stiehlt.
- Lokale Malware-Installation: In einigen Fällen enthielt die SVG-Datei Base64-codierte ZIP-Archive mit passwortgeschützten Schadprogrammen (z. B. Keylogger).
- Lokalisierte Phishing-Seiten: Angriffe richten sich z. B. an japanische Universitäten und präsentieren entsprechend lokalisierte Dropbox-Fakes.
- Umgehung von Sicherheitssystemen: Statt bekannter Marken-Domains (etwa microsoft.com) sind die Phishing-Seiten auf ungewöhnlichen oder fremdländischen TLDs (z. B. *.ru) gehostet und per Cloudflare-CAPTCHA geschützt.
Empfohlene Schutzmaßnahmen:
- Dateizuordnung ändern: Standardmäßiges Öffnen von SVG-Dateien in einem Texteditor (Notepad) statt im Browser verhindert ungewollte aktive Inhalte.
- URL-Prüfung: Misstrauische Domains (z. B. ungewohnte TLDs) oder fehlerhafte Markennamen im Link sind klare Warnsignale.
- E-Mail-Gewohnheiten schärfen: Anhänge von unbekannten Absendern oder unerwartete Betreffzeilen (z. B. angebliche Voicemails, Verträge) kritisch hinterfragen.
- Sicherheitslösungen aktualisieren: Aktuelle Antivirus- und Anti-Phishing-Regeln oder Signaturen, die speziell auf bösartige SVG-Dateien abzielen, bieten effektiven Schutz.
Dieser neuartige Missbrauch des SVG-Formats zeigt, wie Phishing-Gruppen laufend alternative Techniken entwickeln, um Nutzende zu täuschen und etablierte Sicherheitsmaßnahmen zu umgehen. Ein achtsamer Umgang mit E-Mail-Anhängen und ein geschultes Auge für auffällige URLs bleiben der beste Schutz vor solchen Angriffen.