HTML-E-Mails sind aufgebaut wie klassische Websites: Sie gliedern sich in einen Head- und einen Body-Bereich auf. Das ist gefährlich. Denn auf diese Weise können erfahrene Angreifer im Head einer HMTL-E-Mail eigene Style-Attribute hinterlegen, die Auswirkungen auf nachträglich eingefügte Inhalte haben. Der Style wird so konfiguriert, dass er die warnenden Elemente, das Anti-Phishing-Banner, einfach ausblendet. Wie das genau funktioniert, haben Sicherheitsforscher vom Pentest-Experten Syss in diesem Fachartikel (PDF-Download, 13 Seiten, 726KB) ausführlich beschrieben.
Kurz zusammengefasst: Setzt ein Unternehmen auf Anti-Phishing-Banner, können Hacker diese nutzen, um Vertrauen in ihre eigenen Phishing-Mails zu erwecken. Denn der ausgeblendete Banner signalisiert dem Empfänger: “Diese E-Mail und ihre Anhänge können bedenkenlos geöffnet werden.” Doch genau das ist nicht der Fall.
Extern-Banner erhöhen die Aufmerksamkeit – bergen aber auch Gefahren
Grundsätzlich sind die Anti-Phishing-Banner eine gute Sache. Sie erhöhen die Aufmerksamkeit der Belegschaft und rufen mit jeder E-Mail in Erinnerung, dass externe E-Mails eine Gefahr sein können. Zudem geben Sie der Belegschaft Sicherheit, denn diese weiß: Wird mir ein Extern-Banner angezeigt, muss ich der E-Mail vorsichtiger begegnen als internen Mails.
Allerdings sind Anti-Phishing-Banner kein Allheilmittel. Und das ist zwei Gefahren geschuldet:
- Die Mitarbeiter:innen fangen irgendwann an, die Banner nicht mehr wahrzunehmen. Es tritt ein Gewöhnungseffekt ein. E-Mails ohne Banner werden ganz ohne Hinterfragen geöffnet. Aber auch E-Mails mit Banner – also externe Mails – werden mit der Zeit als keine mögliche Bedrohung mehr wahrgenommen.
- Die E-Mails lassen sich technisch manipulieren. Wie oben beschrieben, ist es Angreifenden möglich, die Banner einfach auszublenden. So tarnt sich eine Phishing-Mail schnell als vermeintlich sichere, interne Nachricht.
Eine Möglichkeit, Hacker von dem Ausblenden der Banner abzuhalten, besteht darin, auf die HTML-Formatierung in E-Mails zu verzichten. Denn: HTML bietet zu viele Möglichkeiten für Manipulation. Die Lösung: Auf reine Text-E-Mail setzen – auch wenn diese optisch nicht so schön aussehen, wie die HTML-Varianten.
Fazit: Anti-Phishing-Banner allein, reichen nicht aus!
Extern-Banner sind durchaus eine gute Ergänzung der eigenen Security Awareness Strategie – aber keineswegs ein Allheilmittel. Sobald sich die Belegschaft zu sehr auf die Banner verlässt, werden diese mehr zur Gefahrquelle, als dass sie zur Sicherheit beitragen.
Wir raten dazu, gänzlich auf die HTML-Banner zu verzichten. Schwerer für Kriminelle auszutricksen sind hingegen Ergänzungen im E-Mail Betreff. Grundsätzlich sind die Banner als eine ergänzende Maßnahme der eigenen Informationssicherheit-Strategie zu verstehen. Den besten Schutz bietet eine nachhaltige Sicherheitskultur – bestehend aus technischen Filtern und Scannern, eine schlagkräftige Meldekette, Incident Response Mechanismen sowie einem professionellen Security Awareness Training, das der Belegschaft genau zeigt, wie sie korrekt und sicher mit eingehenden E-Mails umgeht.
Sie wollen einen ersten Einblick bekommen, wie es um die Awareness in Ihrem Unternehmen aussieht? Dann melden Sie sich zu unserer kostenlosen Phishing-Simulation an.
Zudem zeigen wir Ihnen in unserem nächsten Webinar gerne praxisnah und unverbindlich, wie Sie mit dem Awareness Training von IT-Seal Zeit- und Kosten einsparen und eine nachhaltige Sicherheitskultur etablieren. Melden Sie sich jetzt kostenlos an!
Natürlich stehen wir Ihnen gerne schon im Vorfeld für Rückfragen zur Verfügung.
