Eine verlorene Kunst – wiedergefunden in Phishing-E-Mails

Phisher verwenden ASCII-Art, um QR-Codes zu tarnen.

ASCII-Art in Phishing-E-Mails

Wir haben schon mehrfach darüber berichtet, wie QR-Codes für Phishing eingesetzt werden. Unsere Secure Mail Gateway verfügt sogar über eine Technologie, die solche Codes sowohl in E-Mails als auch in angehängten Dateien erkennt und eingebettete Links überprüft. Trotzdem senden Angreifer weiterhin QR-Codes an ihre Opfer. In letzter Zeit wird zu diesem Zweck immer häufiger ASCII-Art verwendet – Bilder, die aus Zeichen bestehen. Das erscheint schon fast komisch: Früher versteckten Phisher ihre Links in Bildern, um eine Untersuchung zu umgehen. Jetzt versuchen sie, die Bilduntersuchung zu vermeiden, indem sie auf Text zurückgreifen. Allerdings mit einigen Umwegen.

Die vergessene ASCII-Art, und was Angreifer daraus machen

Kaum zu glauben, aber es gab eine Zeit, in der Computer keine Grafiken darstellen konnten. Darum wurden die allerersten Computerbilder aus Textzeichen konstruiert. Nachdem 1963 der ASCII (American Standard Code for Information Interchange) eingeführt wurde, wurden die Zeichen dieses Standards auch für Grafiken verwendet. Damit war sichergestellt, dass Bilder auf verschiedenen Computern gleich aussehen. Im Lauf der Zeit dienten auch andere Textsymbole (z. B. aus dem erweiterten Unicode-Set) für die Erstellung von Bildern. Der Name „ASCII-Art“ blieb jedoch der Begriff, mit dem diese Kunstform generell beschrieben wurde. Es gab ernsthafte Künstler, die mit diesem Medium arbeiteten. Die ersten Websites wurden mit ASCII-Grafiken gestaltet. Und sogar die erste Computerpornografie bestand aus Textzeichen.

Mit der Entwicklung der Bildanzeige-Technologie geriet die ASCII-Art aber aus der Mode. In den 2000er Jahren, während der Blütezeit des E-Mail-Spams, wurde diese Kunstform wiederbelebt. Spammer verwendeten die ASCII-Piktogramme damals vor allem, um offensichtliche Spam-Schlüsselwörter zu verschleiern, damit Mail-Filter keinen Alarm schlugen. Zudem beanspruchten diese Bilder weniger Platz auf Mail-Servern. Da viele Nutzer damals für das Volumen des Internetdatenverkehrs bezahlten, wurde das Laden von Bildern in E-Mail-Clients oft deaktiviert. In dieser Zeit erweiterten wir unsere E-Mail-Sicherheitslösungen natürlich um eine Technologie, die speziell zum Blockieren von ASCII-Art entwickelt wurde.

Jetzt erlebt die ASCII-Art erneut ein Revival und dient diesmal dazu, Technologien zur Erkennung von QR-Codes in Bildern auszutricksen.

Wie sieht ASCII-Art-Phishing aus?

Hier ist ein aktuelles Beispiel. Der Kontext ist ziemlich banal: Angeblich hat jemand ein vertrauliches Dokument über DocuSign an das Opfer gesendet. Zum Öffnen soll der Empfänger den QR-Code aus der E-Mail scannen. Dadurch gelangt er zu einer Website, auf der er die Anmeldedaten seines Unternehmens eingeben soll.

Ein mit ASCII-Art gerenderter QR-Code

Ein mit Unicode-Zeichen gerenderter QR-Code. Wir haben einen Teil des Codes unkenntlich gemacht, um zu verhindern, dass der bösartige Link gescannt wird. Zugegeben, der Code sieht seltsam aus. Dies liegt vor allem daran, dass er Stück für Stück aus pseudografischen Elementen kombiniert wurde und sogar Lücken zwischen den Linien zu sehen sind. In Wirklichkeit enthält der Code der E-Mail-Nachricht gar kein echtes Bild. Hinter den Kulissen sieht der QR-Code ungefähr so aus:

Zugegeben, der Code sieht seltsam aus. Dies liegt vor allem daran, dass er Stück für Stück aus pseudografischen Elementen kombiniert wurde und sogar Lücken zwischen den Linien zu sehen sind. In Wirklichkeit enthält der Code der E-Mail-Nachricht gar kein echtes Bild. Hinter den Kulissen sieht der QR-Code ungefähr so aus:

ASCII-Art im E-Mail-Code

ASCII-Art im E-Mail-Code

Link-Scanner können den Link nicht sehen, und Bildanalyse-Tools finden die im QR-Code versteckte URL nicht. Darum hat die Phishing-E-Mail beste Chancen, das Opfer problemlos zu erreichen. Vorsicht Spoiler! Nein, wir haben nicht vergessen, wie man ASCII-Art blockiert.

Ist ein QR-Code in einer E-Mail überhaupt normal?

Theoretisch gibt es Situationen, in denen die Verwendung eines QR-Codes sinnvoll ist. Damit kann man bestimmte Daten auf praktische Art teilen, z. B. Kontakte, einen Link zu einer mobilen App, einen Standort auf der Landkarte oder eine Konfiguration. Mit anderen Worten, QR-Codes sind gut geeignet, um Informationen gezielt an das Mobilgerät eines bestimmten Empfängers zu schicken.

Wenn jedoch ein QR-Code im Spiel ist und du gebeten wirst, deine geschäftlichen Anmeldeinformationen auf einem Mobilgerät einzugeben, solltest du auf der Hut sein. Und wenn dieser QR-Code mit ASCII-Art generiert wurde, besteht kein Zweifel mehr: Es wird versucht, Daten zu phishen oder dich auf eine bösartige Webseite zu locken. Solche Tricks haben nur einen Zweck: Die Sicherheitskontrollen umgehen.

Wie kannst du dich schützen?

Wie lässt sich verhindern, dass Phishing-E-Mails (egal, ob sie ASCII-Art enthalten oder nicht) überhaupt im Posteingang der Mitarbeiter landen? Unsere Empfehlung: Verwende ein sicheres Mail-Gateway mit erweiterten Anti-Phishing-Funktionen. Installiere als zusätzliche Schutzebene Sicherheitslösungen auf allen Endpunkten, die Internetzugriff haben.

Darüber hinaus empfehlen wir eine regelmäßige Schulung zum Sicherheitsbewusstsein, um die Mitarbeiter über moderne Phishing-Taktiken aufzuklären. Dort erfährt man unter anderem, dass ASCII-Art in E-Mails heutzutage auf einen Phishing-Angriff hinweisen kann.

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder