Angriffe mit Text Poisoning nehmen zu
Um in IT-Netzwerke einzudringen, nutzen Cyberkriminelle verschiedene Tricks. Mit Hidden Text Salting, auch Poisoning gennannt, fügen sie im HTML-Quelltext von E-Mails Zeichen ein, die E-Mail-Parser und -Filter umgehen können.
Das Cybersecurity-Team von Cisco Talos hat in der zweiten Hälfte des Jahres 2024 eine deutliche Zunahme von E-Mail-Bedrohungen festgestellt. Die Angreifer nutzen dabei eine Technik namens Hidden Text Salting, auch Poisoning genannt, wie es in der Mitteilung heisst. Diese Methode füge unsichtbare Zeichen in den HTML-Quelltext von E-Mails ein, die für die Empfänger nicht sichtbar seien, aber E-Mail-Parser, Spam-Filter und Spracherkennungssysteme umgehen könnten. Mit dieser Methode versuchen Cyberkriminelle, bestehende Sicherheitsmechanismen auszutricksen und IT-Netzwerke zu infiltrieren.
Hidden Text Salting wird durch HTML- und CSS-Funktionen ermöglicht, wie Cisco Talos weiter schreibt. Angreifer fügen demnach etwa irrelevante Zeichen oder Kommentare in den Quelltext ein, die für das menschliche Auge verborgen bleiben. Diese Technik werde häufig verwendet, um Markennamen zu verschleiern und so die Erkennung durch E-Mail-Parser zu umgehen. In einem dokumentierten Fall seien breitenlose Leerzeichen (Zero-Width Space, ZWSP) zwischen die Buchstaben von "Norton LifeLock" eingefügt worden, um die Spracherkennung eines Cloud-basierten Filterservices zu täuschen.
Text Poisoning benötigt laut Cisco Thalos vergleichsweise wenig Spezialwissen, um unerwünschte Inhalte in bösartigen Mails zu verstecken. Gleichzeitig sei die Anzahl Anwendungsmöglichkeiten sehr hoch.
Zur Abwehr von Hidden Text Salting empfiehlt Cisco Talos zwei Hauptstrategien. Erstens sollten erweiterte Filtertechniken eingesetzt werden, die in der Lage sind, versteckte Zeichen und ungewöhnliche HTML-Strukturen zu erkennen. Dazu gehören die Analyse von CSS-Eigenschaften wie Sichtbarkeit (z.B. "hidden") und Anzeige (z.B. "none") sowie die Identifikation übermässiger Inline-Styles oder ungewöhnlicher Verschachtelungen im Quelltext. Zweitens sollten Schutzsysteme die visuellen Merkmale von E-Mails prüfen, um Abweichungen zwischen Codierung und Anzeige zu identifizieren.
Lesen Sie auch: Ein Bericht des Nationalen Testinstituts für Cybersicherheit zeigt gravierende Schwachstellen in Klinikinformationssystemen auf. Die Analyse betrifft drei der meistgenutzten Systeme in Schweizer Spitälern und enthält Empfehlungen zur Risikominimierung.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie Cyberkriminelle Suchmaschinen manipulieren
Cyberkriminelle phishen mit gefälschten Postquittungen
Die Swiss Cyber Security Days 2026 rücken digitale Souveränität ins Zentrum
Hacker greifen Westschweizer Radiologiezentren an
Die Redaktion macht Osterferien
Das grosse Klon-Dilemma auf Kamino
Update: Referendumskomitee reicht 50'000 Unterschriften gegen neue E-ID ein
Was hinter dem vertikal rotierenden Fisch steckt
Wenn ein Unbekannter sich plötzlich auf dem Playstation-Konto einloggt
