Mimecast warnt vor servergesteuerten HTML (SHTML)-basierten Phishing-Angriffen. Wenn User Anhänge der im Rahmen dieser Phishing-Kampagne versendete E-Mails öffnen, werden sie sofort an eine verseuchte Website weitergeleitet. Dort finden Zahlungsaufforderungen statt, bei denen die Opfer ihre Nutzerdaten preisgeben sollen.
„Kriminelle sind gewillt, neue Kampagnen auf die Beine zu stellen, weil sie wissen, dass sie damit Erfolg haben. Dieses scheinbar harmlose Attachment, das Anwender auf eine bösartige Website umleitet, ist keine besonders ausgereifte Technik – es funktioniert aber trotzdem. Unternehmen müssen hier die richtigen Schlüsse ziehen,“ sagt Tomasz Kojm, Senior Engineering Manager bei Mimecast. „Es gibt zwei wichtige Schritte: Zunächst geht es um die passende Sicherheitstechnologie, die dem Stand der Technik entsprechen muss. Es gibt eine Menge vorhandene Threat Intelligence, die in die Mechanismen eingebaut werden sollte – nur so lässt sich die Bedrohung eindämmen. Danach ist es aber genauso wichtig auf die Mitarbeiter einzugehen. Kein Filter ist perfekt und es kann passieren, dass schadhafte Mails trotzdem zu den Usern gelangen. Daher sind Trainings so wichtig. Damit ist aber kein jährliches Box-Ticking-Quiz gemeint, sondern es muss ein regelmäßiger Fortbildungsprozess etabliert werden, der dazu noch das Interesse der Belegschaft weckt. Mitarbeiter sind die letzte Verteidigungslinie gegen diese Gefahren und müssen entsprechend auf der Hut sein“.
Die SHTML-Seite enthät einen JS-Code mit einer getarnten Phishing-Seite, der von Browsern automatisch geöffnet wird, sobald der Benutzer auf diese Datei klickt. Die Verschleierung macht es für Security-Tools schwieriger, die URLs zu finden und zu überprüfen, da sie in einen base64-String kodiert werden. Der andere Trick der Cyberkriminellen ist der Einsatz der Erweiterung .shtml, die nicht sehr verbreitet ist und hauptsächlich für HTML-Dateien mit serverseitigen Includes verwendet wird; sowohl Windows- als auch macOS-Geräte können solche SHTML-Element über die gängigen Webbrowser öffnen.