Gefälschte Bank-E-Mails nutzen Outlook-Schwachstelle für gezieltes Phishing

Eine aktuelle Phishing-Kampagne nutzt gezielt eine Eigenheit von Microsoft Outlook, um bösartige Links vor den Augen von Unternehmensnutzern zu verbergen. Die Angreifer setzen dabei auf eine raffinierte Methode mit bedingten HTML-Kommentaren, um abhängig vom verwendeten E-Mail-Client unterschiedliche Inhalte anzuzeigen.

Der Angriff tarnt sich als Mitteilung einer tschechischen Bank. Während Outlook-Nutzer in der E-Mail einen vermeintlich legitimen Link zur Website der Bank sehen, werden Empfänger, die andere Clients wie Webmail oder mobile Apps verwenden, auf eine gefälschte Anmeldeseite umgeleitet. Ziel ist es offenbar, Zugangsdaten zu stehlen.

Die Technik basiert auf HTML-Bedingungen wie <!--[if mso]> und <!--[if !mso]>, die spezifisch auf die Darstellung in Microsoft-Produkten wie Outlook abzielen. So gelingt es den Angreifern, nur in Outlook den harmlosen Link anzuzeigen – und in allen anderen Clients den gefährlichen.

Dieser Trick könnte besonders in Unternehmensumgebungen erfolgreich sein, wo Outlook weit verbreitet ist und Sicherheitslösungen wie Webfilter oder DNS-Überwachung bösartige Links abfangen könnten. Die Angreifer umgehen diese Hürden, indem sie den Link für Outlook-Nutzer scheinbar unbedenklich erscheinen lassen.

Die eingesetzte Methode ist zwar nicht neu – sie wurde bereits 2019 dokumentiert – kommt in realen Angriffen jedoch selten vor. Umso wichtiger ist es, auf diese gezielte und technisch ausgefeilte Form des Phishings hinzuweisen, die leicht übersehen werden kann.

Kürzlich bin ich auf eine interessante Phishing-E-Mail gestoßen. Auf den ersten Blick sah sie wie eine „normale“ Phishing-E-Mail aus, die sich als Nachricht einer tschechischen Bank ausgab und Kontoinhaber aufforderte, ihre Daten zu aktualisieren …

Als ich jedoch mit der Maus über das Rechteck fuhr, auf das der Empfänger klicken sollte, stellte ich überrascht fest, dass der Link im Popup-Fenster tatsächlich auf die legitime Domain der Bank verwies.

Mein erster Gedanke war, dass die hinter dem Phishing stehenden Angreifer einen Fehler gemacht hatten. Ich ging davon aus, dass sie eine echte E-Mail der Bank als Vorlage verwendet hatten, die sie ändern wollten, um eine Nachricht zu erstellen, die die Empfänger auf eine bösartige Website weiterleitet, und dass sie diese versehentlich versendet hatten, bevor sie fertig war – so seltsam das auch klingen mag, wäre es bei weitem nicht der erste Fall gewesen, in dem mir so etwas untergekommen ist.

Als ich mir jedoch den HTML-Code der Nachricht ansah, stellte sich schnell heraus, dass ich mich geirrt hatte. Die Angreifer verwendeten tatsächlich eine Technik, die den angezeigten Inhalt je nach dem Browser, in dem er geöffnet wird, ändert. Die fragliche Technik nutzt die HTML-Bedingungsanweisungen <!–[if mso]> und <!–[if !mso]>, die den Inhalt festlegen, der angezeigt werden soll, wenn eine Nachricht/HTML-Seite in Outlook oder einem anderen Reader/Browser geöffnet wird.

Mit dieser Technik haben die Angreifer hinter der Nachricht dafür gesorgt, dass der in Outlook angezeigte/angezeigte Link zu einer harmlosen Website führte, während er in jedem anderen E-Mail-Client/Browser auf eine – vermutlich – Website zum Diebstahl von Anmeldedaten verwies…

In diesem Fall haben die Angreifer diese Technik wahrscheinlich mit der Absicht eingesetzt, den bösartigen Link in Unternehmensumgebungen zu verstecken, in denen Outlook häufig verwendet wird (neben Sicherheitsmechanismen, die den Webdatenverkehr, DNS-Anfragen usw. scannen) und in denen Benutzer wahrscheinlich weniger geneigt sind, darauf zu klicken, da eine E-Mail von einer Bank an ihre geschäftliche E-Mail-Adresse statt an eine private E-Mail-Adresse wahrscheinlich schon allein ein Warnsignal wäre, während gleichzeitig sichergestellt wird, dass Empfänger, die die E-Mail in einem Nicht-Outlook-Client öffnen, weiterhin auf die bösartige Website weitergeleitet werden.

Dieser Ansatz ist zwar nicht neu – er ist sogar seit mindestens 2019 dokumentiert –, aber in der Praxis wird er nicht allzu häufig verwendet… Da er daher zu den weniger bekannten Phishing-Techniken gehört, halte ich es für sinnvoll, zumindest kurz auf seine Existenz hinzuweisen.

Quelle: SANS Internet Storm Center

---