Skip to content

Phishing-E-Mails verwenden unsichtbare Bindestriche, um eine Entdeckung zu vermeiden

Diesen Post Teilen

Eine Phishingkampagne verwendet unsichtbare Zeichen, um Sicherheitsfilter zu umgehen, wie Jan Kopriva vom SANS Internet Storm Center berichtet.

Die E-Mails verwenden weiche Bindestriche, um die Betreffzeile „Your Password is About to Expire“ (Ihr Kennwort läuft bald ab) zu unterbrechen, damit die Nachrichten nicht als bösartig eingestuft werden. Der E-Mail-Client stellt die Bindestriche jedoch nicht dar, sodass der Benutzer einen normalen Satz sieht. 

„Obwohl weiche Bindestriche – streng genommen – nicht unsichtbar sind, werden sie von Outlook und den meisten anderen E-Mail-Clients in den meisten Fällen nicht als sichtbarer Text dargestellt“, schreibt Kopriva. „Die Verwendung des weichen Bindestrichs – in Kombination mit der Aufteilung des Betreffs in mehrere MIME-kodierte Wörter – war eindeutig als Versuch gedacht, E-Mail-Filtermechanismen zu umgehen, die potenziell bösartige Nachrichten automatisch erkennen sollen.“

Neben der Betreffzeile war auch der gesamte E-Mail-Text mit diesen unsichtbaren Bindestrichen übersät. Während der Benutzer eine normale Nachricht liest, in der er aufgefordert wird, sein Passwort zurückzusetzen, sehen automatische Sicherheitssysteme zufällige Buchstaben, die durch Bindestriche getrennt sind.

„Obwohl die Verwendung von unsichtbaren Zeichen in Phishing-E-Mails im Allgemeinen (und die Verwendung des Zeichens ’shy‘ im Besonderen) recht häufig vorkommt, wenn es darum geht, den Inhalt von E-Mail-Nachrichten für Sicherheitslösungen weniger lesbar zu machen, ist es recht ungewöhnlich, dass dies auch für den Betreff einer Nachricht gilt“, sagt Kopriva.

Wenn der Benutzer auf den Link in der E-Mail klickt, wird er zu einer gefälschten Anmeldeseite weitergeleitet, die darauf abzielt, die Anmeldedaten für sein E-Mail-Konto zu stehlen.

Angreifer suchen immer nach Möglichkeiten, technische Sicherheitsmaßnahmen zu umgehen, um direkt auf Menschen zu zielen. KI-unterstütztes Sicherheitstraining befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen und das menschliche Risiko zu verringern.

Das SANS Internet Storm Center hat die story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten