I de sidste tre år har en af de mest populære kilder til malware og andre former for ondsindet kode været den ydmyge vedhæftede fil i en e-mail. Mere specifikt er vedhæftede filer, der er kodet i Hypertext Markup Language eller HTML blevet en stadig mere populær måde at udføre en række forskellige (og stadig mere sofistikerede) cyberkriminaliteter på, herunder identitetssvindel via fjernadgangstrojanere, ransomware-angreb og phishing-svindel. Det er bekymrende, at dette ikke er en isoleret hændelse eller en slags masseangreb fra én trusselsagent; ondsindede HTML-vedhæftninger ser nu ud til at være det foretrukne valg for mange individuelle hackere over hele verden i 2023.
Denne teknik, der nogle gange i mere sofistikerede tilfælde kaldes "HTML-smugling", hvor den ondsindede nyttelast er i selve HTML-vedhæftningen, blev kendt via en spear-phishing-kampagne af den kendte trusselsaktør NOBELIUM (selvom den længe har været kendt og brugt af forskellige cyberkriminelle gennem årene). I de senere år er denne teknik blevet brugt til at levere en række velkendte former for malware, herunder Mekotio (den berygtede banktrojaner), Trickbot og AsyncRAT/NJRAT. Med stigningen i denne type cyberkriminalitet, hvor et ud af tre amerikanske hjem, er inficeret med en eller anden form for malware, er det vigtigt at forstå, hvordan ondsindede HTML-vedhæftninger (og HTML-smugling) fungerer, og hvordan man beskytter sig mod dem. Derfor har vi lavet denne guide til HTML-vedhæftninger og HTML-smugling, så du kan have ro i sindet, uanset hvor du vil have adgang til dine e-mails.
Hvad er ondsindede HTML-vedhæftninger?
Ondsindede HTML-vedhæftede filer er en type malware, der normalt findes i e-mails i form af vedhæftede filer. De aktiveres først og fremmest, når brugeren klikker på den inficerede vedhæftede HTML-fil. Når den er åbnet, omdirigeres brugeren via eksternt hostede JavaScript-biblioteker til hackerens phishing-websted (eller en anden form for ondsindet indhold, der kontrolleres af angriberen, f.eks. en login-side). De mest kendte former for denne type svindel med HTML-phishing ligner ofte et Microsoft pop-up-vindue. Vinduet vil bede brugeren om en slags personlige legitimationsoplysninger/login-oplysninger, der giver dem mulighed for at downloade den vedhæftede HTML-fil, der er modtaget i e-mailen fra hackeren. Når brugerens oplysninger er indtastet, sendes de til hackeren, som udnytter dem yderligere, herunder økonomisk tyveri, identitetssvindel og afpresning gennem ransomware.
Hvad er HTML-smugling?
HTML-smugling, der er kendt som en mere teknisk form for et malwareangreb med en HTML-vedhæftet fil, bruger HTML 5 og JavaScript til at gøre det muligt for en cyberkriminel at "smugle" ondsindet kode ind på offerets computer via et unikt udformet script, der er indlejret i den vedhæftede fil. Når offeret for angrebet åbner den ondsindede HTML-vedhæftning i sin webbrowser, afkoder browseren det indlejrede script, som samler nyttelasten på offerets egen computerenhed. Det gør det muligt for hackeren at bygge malwaren lokalt bag offerets firewall.
Denne type angreb udnytter det faktum, at både HTML og JavaScript er nogle af de mest almindelige og vigtige dele af pålidelig daglig databehandling (i forbindelse med forretnings- og privatbrug). Derfor kan denne teknik omgå standard software for sikkerhedskontrol (som f.eks. webproxyer og e-mail-gateways), der kun tjekker for trafikbaserede signaturer eller konventionelt mistænkelige typer af vedhæftninger som .EXE, .ZIP eller .DOCX. Da de ondsindede filer oprettes, efter at filen er indlæst via browseren på offerets maskine, vil standard sikkerhedsløsninger der findes kun registrere godartet HTML- og JavaScript-trafik. Desuden gør mere avancerede cyberkriminelle teknikker som "obfuscation" (tilsløring) det muligt for hackere at skjule deres ondsindede scripts for mere avanceret sikkerhedssoftware.
HTML-smugling fungerer ved at udnytte "download"-attributten for ankertags og brugen af JavaScript-blobs til at samle nyttelasten på offerets enhed. Når der er klikket på "download"-attributten, kan en HTML-fil automatisk downloade en ondsindet fil, som der henvises til i "href"-tagget. Ved brug af JavaScript sker der en lignende proces: JavaScript-blobs gemmer de kodede data fra den ondsindede fil, som derefter afkodes, når de sendes til en JavaScript API, der forventer en URL. Det betyder, at den ondsindede fil automatisk downloades og opbygges lokalt på offerets enhed ved hjælp af JavaScript-koder.
Andre typer af ondsindede vedhæftede e-mail-filer
Da HTML er en af de mest populære typer vedhæftede filer til at smugle malware ind på en brugers system, er det vigtigt at være opmærksom på andre populære filtyper, der kan være lige så farlige:
.EXE-filer
Som tidligere nævnt er .EXE-filer eller eksekverbare filer på et Windows-operativsystem en populær (og velkendt) angrebsform, som du bør være på udkig efter. Hvis du ser en af disse i en e-mail (fra en pålidelig afsender eller en ikke pålidelig afsender), bør du undgå at downloade og bruge filen.
.ISO-filer
ISO-filer bruges normalt til at gemme og udveksle en kopi af alt på en computers diskdrev og distribuere systemer som Apple eller Windows. Da Windows nu kan montere disse filer uden ekstra software, er denne type vedhæftede malware blevet mere populær i de seneste år. Men hvis du modtager disse via en personlig eller professionel e-mailkonto og ikke har bedt om et helt system eller ikke partitionerer din computer for at køre flere operativsystemer, er der ingen grund til at have denne fil. Så i næsten alle tilfælde skal du ikke downloade den og slette denne fil fra din indbakke, da der næsten helt sikkert er tale om malware.
Microsoft Office-filer
Da Microsoft Office-filer (f.eks. .DOCX, .XLSX eller .PPTX) er udbredte som standardformater i virksomheder i hele verden, er de det ideelle middel til at levere alle former for malware til intetanende virksomheder. De er også en af de sværeste at beskytte sig imod og ses som regel i form af en faktura, der haster eller et presserende krav, som narrer offeret til at åbne filerne.
Sådan beskytter du dig mod ondsindede vedhæftede HTML-filer
Heldigvis er der en række foranstaltninger, du kan træffe for at afhjælpe og forsvare dig mod truslen fra ondsindede HTML-vedhæftede filer.
Et system til scanning og beskyttelse af e-mails
Et dedikeret system til scanning og beskyttelse af e-mails er det første forsvar mod ondsindede vedhæftede filer og indlejrede scripts. Men som nævnt ovenfor er standardsikkerhedssystemer ikke nok til at kontrollere den voksende trussel, som nutidens cyberkriminelle udgør. I dag anbefaler specialister i cybersikkerhed en antivirusløsning, der inkluderer maskinel indlæring og statisk kodeanalyse, som evaluerer det faktiske indhold af en e-mail og ikke kun dens vedhæftede fil. Hvis du vil have en avanceret online cybersikkerhedsløsning, anbefaler vi Kaspersky Premium. Vores premium-pakke er et prisvindende system til både virksomheder og private brugere og omfatter fjernassistance og 24/7-support.
Streng adgangskontrol
Selv hvis der sker et brud eller et tab af legitimationsoplysninger, er det at begrænse brugeradgangen, så den kun omfatter vigtigt personale, en god måde at reducere den skade, som en cyberkriminel realistisk set kan forvolde. Du bør også sørge for, at brugere, der har adgang til vigtige systemer, bruger multifaktorgodkendelse (nogle gange kaldet MFA, to-faktor-godkendelse eller 2FA) for yderligere at reducere eksponeringen ved at tilføje endnu et lag til din cybersikkerhedsstrategi. Derudover er en vigtig måde at beskytte dine vitale aktiver på mod fejl i medarbejdernes adgang (især hvis de arbejder eksternt) ved at bruge et virtuelt privat netværk eller VPN. Kasperskys VPN giver brugerne mulighed for at oprette fjernforbindelse til deres virksomheds servere via en krypteret digital tunnel. Denne tunnel beskytter deres system mod de potentielle farer ved offentlig Wi-Fi og usikre internetforbindelser, uanset hvor i verden de befinder sig.
Træning i cybersikkerhed og bedste praksis
En af de nemmeste måder at beskytte værdifulde aktiver mod et angreb med en vedhæftet HTML-fil, er at uddanne dine medarbejdere (eller dig selv) i bedste praksis inden for cybersikkerhed og i, hvordan man spotter mistænkelige e-mails, filer og vedhæftede filer. Det betyder, at du ikke må dele adgangskoder eller loginoplysninger med kolleger, at du ikke må genbruge adgangskoder til flere programmer eller konti (vi anbefaler, at du bruger en Password Manager eller Vault, som krypterer dine adgangskoder og automatisk udfylder dem, når det er nødvendigt), og at du altid bruger en stærk adgangskode eller adgangssætning (10-12 tegn lang, som indeholder en blanding af specialtegn, tal, store og små bogstaver).
Ofte stillede spørgsmål om HTML-vedhæftede filer
Hvad er HTML-vedhæftede filer?
HTML-vedhæftninger er filer, der er vedhæftet e-mails, og som er kodet i Hypertext Markup Language. I de sidste par år er ondsindede HTML-vedhæftninger (dem, der indeholder indlejret malware eller JavaScript-baserede links til phishing-websteder) blevet populære vektorer for cyberkriminelle, der ønsker at omgå e-mail-firewalls og beskyttelsessystemer.
Kan HTML-filer indeholde en virus?
Ja, HTML-filer kan indeholde vira og andre former for malware, herunder phishing-svindel og ransomware. Denne type cyberangreb er kendt som en ondsindet HTML-vedhæftning eller et HTML-smuglerangreb. Det indebærer brug af JavaScript-links til falske login-vinduer eller indlejret malware for at udnytte en brugers legitimationsoplysninger og personlige filer.
Kan HTML-filer være farlige?
Ja, HTML-filer (inklusive vedhæftede filer i e-mails) kan være meget farlige for dit system. I de senere år har cybersikkerhedsspecialister set en stigning i sofistikerede cyberangreb, der bruger ondsindede HTML-vedhæftninger til at stjæle personlige data. Denne type angreb kaldes ofte HMTL-smugling.
Hvad er HTML-smugling?
HTML-smugling er en stadig mere populær form for cyberangreb, der udnytter Hypertext Markup Language (normalt HTML 5) og JavaScript til at "smugle" forskellige former for malware ind i en brugers system. Det kan omgå traditionelle protokoller til beskyttelse af e-mails og give hackeren mulighed for at bygge malwaren lokalt bag offerets firewall.
Relaterede artikler:
- Hvad er en password manager eller adgangskodeadministrator, og er de sikre?
- Hvad er ransomware?
- Hvad er spam og phishing-svindel?
- Hvad er trojanske heste, og hvilke typer findes der?
Anbefalede produkter:
