Phishing und Passwort-Klau: Bösartige Skripte im Mail-Anhang als Vektorgrafik

#1 · 17. Juni 2025, 11:14

Zitat von mpachmann am 17. Juni 2025, 11:14 Uhr
https://www.heise.de/news/E-Mail-Sicherheit-Verstaerkte-Angriffe-mit-SVG-10444330.html

Immer mehr Phishing-Kampagnen nutzen das wenig bekannte Vektorgrafik-Format SVG. Das kann nämlich Skripte enthalten, die dann beim Öffnen ausgeführt werden.

In Pocket speichern vorlesen Druckansicht 105Kommentare lesen

(Bild: solarseven/Shutterstock.com)

13.06.2025, 14:44 Uhr

Lesezeit: 2 Min.

Security

Von

Jürgen Schmidt
Seit Anfang des Jahres enthalten immer mehr Phishing-Mails einen Datei-Anhang mit einer SVG-Grafik, wie nahezu alle Anbieter von E-Mail-Sicherheits-Lösungen übereinstimmend berichten. Jetzt warnt auch das österreichische CERT.at vor der davon ausgehenden Gefahr.

Skalierbar durch Vektoren

Scalable Vector Graphics, kurz SVGs, bestehen aus beschreibendem Text im XML-Format, der den Renderer – im Allgemeinen den Browser – anweist, Objekte an bestimmten Positionen zu zeichnen. Das lässt sich dann beliebig in der Größe variieren, ohne dass dabei etwa Schrift verpixelt.
<svg width="320" height="120" xmlns="http://www.w3.org/2000/svg">
  <ellipse cx="160" cy="60" rx="150" ry="50" fill="#f0f0f0" stroke="red" stroke-width="2"/>
  <text x="160" y="50" font-family="Arial" font-size="24" fill="blue" text-anchor="middle">
    heise security
  </text>
  <text x="160" y="80" font-family="Arial" font-size="20" fill="black" text-anchor="middle">
    ROCKS
  </text>
</svg>
Allerdings können solche Vektorgrafiken auch JavaScript-Code enthalten, den der Browser beim Öffnen der Datei ausführt. Das machen sich die Phisher zunutze, indem sie die Empfänger auf gefälschte Anmeldeseiten lotsen oder auch Schadsoftware installieren. Ziel ist es fast immer, Passwörter oder andere Zugangs-Credentials abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.

Diese Demo aus meinem Vortrag auf der heise security Tour enthält harmloses JavaScript, das "Hello World" ausgibt (eventuell muss man es dazu in einem eigenen Fenster öffnen).

Schutz vor SVGs

Viele Sicherheitslösungen überprüfen SVG-Dateien nicht ausreichend, sodass auf diesem Weg Schadcode auf die Systeme der Opfer gelangen könne, warnt das Advisory der österreichischen Security-Experten. Als vorbeugende Schutzmaßnahme blockiert man im einfachsten Fall vorsichtshalber den Empfang von SVG-Grafiken, etwa auf dem Mail-Gateway. Allerdings kann das durchaus zu Problemen führen, wenn diese Anhänge benötigt werden. Dann ist es vielleicht eine Option, zumindest jene Mails, die Skripte enthalten, in Quarantäne zu verschieben. Ansonsten muss man notgedrungen darauf setzen, dass Anwender die von SVGs ausgehende Gefahr richtig einschätzen, und kann versuchen, dies durch entsprechende Hinweise und Schulungen zu unterstützen.

https://www.heise.de/news/E-Mail-Sicherheit-Verstaerkte-Angriffe-mit-SVG-10444330.html

Immer mehr Phishing-Kampagnen nutzen das wenig bekannte Vektorgrafik-Format SVG. Das kann nämlich Skripte enthalten, die dann beim Öffnen ausgeführt werden.

105

(Bild: solarseven/Shutterstock.com)

13.06.2025, 14:44 Uhr

Lesezeit: 2 Min.

Security

Von

Jürgen Schmidt

Seit Anfang des Jahres enthalten immer mehr Phishing-Mails einen Datei-Anhang mit einer SVG-Grafik, wie nahezu alle Anbieter von E-Mail-Sicherheits-Lösungen übereinstimmend berichten. Jetzt warnt auch das österreichische CERT.at vor der davon ausgehenden Gefahr.

Skalierbar durch Vektoren

Scalable Vector Graphics, kurz SVGs, bestehen aus beschreibendem Text im XML-Format, der den Renderer – im Allgemeinen den Browser – anweist, Objekte an bestimmten Positionen zu zeichnen. Das lässt sich dann beliebig in der Größe variieren, ohne dass dabei etwa Schrift verpixelt.

<svg width="320" height="120" xmlns="http://www.w3.org/2000/svg">
  <ellipse cx="160" cy="60" rx="150" ry="50" fill="#f0f0f0" stroke="red" stroke-width="2"/>
  <text x="160" y="50" font-family="Arial" font-size="24" fill="blue" text-anchor="middle">
    heise security
  </text>
  <text x="160" y="80" font-family="Arial" font-size="20" fill="black" text-anchor="middle">
    ROCKS
  </text>
</svg>

Allerdings können solche Vektorgrafiken auch JavaScript-Code enthalten, den der Browser beim Öffnen der Datei ausführt. Das machen sich die Phisher zunutze, indem sie die Empfänger auf gefälschte Anmeldeseiten lotsen oder auch Schadsoftware installieren. Ziel ist es fast immer, Passwörter oder andere Zugangs-Credentials abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.

Diese Demo aus meinem Vortrag auf der heise security Tour enthält harmloses JavaScript, das "Hello World" ausgibt (eventuell muss man es dazu in einem eigenen Fenster öffnen).

Schutz vor SVGs

Viele Sicherheitslösungen überprüfen SVG-Dateien nicht ausreichend, sodass auf diesem Weg Schadcode auf die Systeme der Opfer gelangen könne, warnt das Advisory der österreichischen Security-Experten. Als vorbeugende Schutzmaßnahme blockiert man im einfachsten Fall vorsichtshalber den Empfang von SVG-Grafiken, etwa auf dem Mail-Gateway. Allerdings kann das durchaus zu Problemen führen, wenn diese Anhänge benötigt werden. Dann ist es vielleicht eine Option, zumindest jene Mails, die Skripte enthalten, in Quarantäne zu verschieben. Ansonsten muss man notgedrungen darauf setzen, dass Anwender die von SVGs ausgehende Gefahr richtig einschätzen, und kann versuchen, dies durch entsprechende Hinweise und Schulungen zu unterstützen.

Knowledge Base

Phishing und Passwort-Klau: Bösartige Skripte im Mail-Anhang als Vektorgrafik

Skalierbar durch Vektoren

Schutz vor SVGs

Skalierbar durch Vektoren

Schutz vor SVGs

ISP-Service

Quick Links

Informationen