Phishing-Attacke: Neue Masche umgeht Sicherheitssysteme komplett

Eine raffinierte Betrugsmasche versetzt derzeit Unternehmen in Europa in Alarmbereitschaft. Cyberkriminelle haben eine Methode entwickelt, die selbst moderne E-Mail-Schutzfilter mühelos austricksts – mit potenziell verheerenden Folgen für betroffene Firmen.

IT-Sicherheitsexperten warnen vor einer großangelegten Phishing-Kampagne, die gezielt Zugangsdaten von Mitarbeitern abgreift. Besonders perfide: Die Angreifer tarnen sich als vertrauenswürdige Marken wie Adobe oder Microsoft und nutzen eine Technik, die bisherige Abwehrmaßnahmen weitgehend wirkungslos macht. Statt verdächtiger Links, die Sicherheitssoftware normalerweise erkennt, verstecken die Täter ihren Schadcode direkt in HTML-Dateien. Die erbeuteten Daten wandern dann über einen ungewöhnlichen Kanal ab: den Messenger-Dienst Telegram.

Getarnt als alltägliche Geschäftspost

Das Erfolgsrezept der Kriminellen liegt in ihrer Strategie: Sie verschicken E-Mails, die aussehen wie gewöhnliche Geschäftskorrespondenz – Preisanfragen, Rechnungen oder Versandbestätigungen. Im Anhang findet sich eine HTML-Datei, die auf den ersten Blick harmlos wirkt.

Öffnet ein Mitarbeiter diese Datei, erscheint im Browser ein täuschend echt nachgebildetes Login-Portal. Die Fälschungen imitieren bekannte Dienste wie Microsoft, Adobe, WeTransfer, DocuSign, FedEx oder DHL. Im Hintergrund prangt ein verschwommenes Dokument – etwa eine Rechnung – das die Opfer vermeintlich nur nach Eingabe ihrer Zugangsdaten einsehen können. Sobald E-Mail und Passwort eingegeben werden, schnappt die Falle zu: Ein eingebettetes JavaScript-Skript fängt die Daten ab.

Telegram wird in diesem Artikel als Daten-Kanal genannt – das unterstreicht, wie wichtig sichere Messenger‑Einstellungen sind. Der kostenlose PDF-Report „Telegram Startpaket“ erklärt Schritt für Schritt, wie Sie Telegram richtig einrichten: Nummer verbergen, geheime Chats nutzen, Verschlüsselungsoptionen prüfen und neugierige Zugriffe blockieren. Ideal für alle, die privat oder beruflich sensible Informationen teilen und ihre Kommunikation schützen wollen. Telegram-Startpaket jetzt herunterladen

Telegram als digitaler Fluchtweg

Was diese Kampagne von herkömmlichen Phishing-Angriffen unterscheidet? Die Täter verzichten auf klassische Server zur Datenübermittlung. Stattdessen missbrauchen sie die Telegram Bot API: Das JavaScript-Skript verschickt die gestohlenen Login-Informationen per POST-Anfrage direkt an einen privaten Telegram-Kanal der Angreifer.

Diese Methode erweist sich als äußerst effektiv. Netzwerk-Sicherheitssysteme stufen den Datenverkehr zu einem legitimen Dienst wie Telegram kaum als verdächtig ein. Die dezentrale Struktur macht es Ermittlern zudem schwer, die Täter aufzuspüren oder die Operation lahmzulegen.

Die IT-Sicherheitsfirma Cyble, die die Kampagne erstmals dokumentierte, beobachtet eine kontinuierliche Weiterentwicklung der Angriffsmethoden. Manche Varianten verschlüsseln die gestohlenen Daten mit CryptoJS AES. Fortgeschrittene Versionen setzen sogar Anti-Forensik-Techniken ein: Sie blockieren die F12-Entwicklertools, das Kontextmenü per Rechtsklick und gängige Tastenkombinationen – alles, um eine Analyse des Schadcodes zu verhindern.

Deutscher Mittelstand im Visier

Die Angreifer gehen gezielt vor. Ihr Hauptaugenmerk liegt auf Unternehmen in Mittel- und Osteuropa, insbesondere in Tschechien, der Slowakei, Ungarn und Deutschland. Die betrügerischen E-Mails sind auf diese Regionen zugeschnitten: Sie verwenden Fachbegriffe aus dem Beschaffungswesen und gestalten Betreffzeilen im Stil von Angebotsanfragen.

Diese regionale Spezialisierung deutet auf eine gut organisierte Tätergruppe hin, die mit den Geschäftspraktiken ihrer Opfer bestens vertraut ist. Lokale Unternehmen, Händler und staatlich verbundene Einrichtungen, die regelmäßig solche Anfragen bearbeiten, stehen besonders im Fokus.

HTML-Schmuggel auf dem Vormarsch

Der Einsatz von HTML-Anhängen ist kein Zufall. Diese Technik, auch als HTML-Smuggling bekannt, wird im Phishing-Bereich immer beliebter. Der Trick: Der schädliche Code entsteht erst dynamisch auf dem Computer des Opfers – nachdem die E-Mail bereits alle Sicherheitschecks durchlaufen hat. Da der gesamte Angriff in einer einzigen Datei steckt, können Abwehrsysteme weder verdächtige URLs prüfen noch andere Perimeter-Schutzmechanismen greifen.

Können Unternehmen sich überhaupt noch schützen? Sicherheitsexperten empfehlen eine mehrschichtige Verteidigungsstrategie. HTML-Anhänge sollten generell als potenziell hochriskant behandelt werden. Firmen müssen Richtlinien zur Inhaltsüberprüfung implementieren, die Dateien mit verdächtigem Code oder Verweisen auf Messenger-APIs wie die von Telegram identifizieren und blockieren.

Mindestens ebenso wichtig bleibt die kontinuierliche Schulung der Mitarbeiter. Sie müssen lernen, Warnsignale moderner Phishing-Angriffe zu erkennen – etwa wenn plötzlich Zugangsdaten verlangt werden, nur um ein vermeintlich simples Dokument anzusehen. Je ausgefeilter die Täter ihre technischen und psychologischen Tricks verfeinern, desto dringender benötigen Unternehmen sowohl fortschrittliche Sicherheitslösungen als auch eine wachsame, gut informierte Belegschaft.

PS: Bevor Sie Messenger für sensible Dokumente oder Login-Daten nutzen, lohnt sich ein kurzer Check der Privatsphäre-Einstellungen. Der Gratis-Report zeigt den schnellen Umstieg von WhatsApp zu Telegram, erklärt die wichtigsten Einstellungen für mehr Datenschutz und wie Sie geheime Chats optimal nutzen. Holen Sie sich die Schritt‑für‑Schritt-Anleitung per E‑Mail und sichern Sie Ihre Kommunikation sofort. Gratis-Report: Sicher zu Telegram wechseln