19. März 2026
Vermehrt melden sich Unternehmen beim BACS, nachdem sie verdächtige Rechnungen per E‑Mail erhalten haben. Den Nachrichten ist jeweils eine ZIP-Datei angefügt, die wiederum eine HTML-Datei enthält. Auf den ersten Blick wirkt die darin dargestellte Rechnung unscheinbar: Keine Links, keine Auffälligkeiten, keinerlei Hinweise auf Schadsoftware. Doch dieser Eindruck täuscht. Der aktuelle Wochenrückblick zeigt eindrücklich, wie viel Aufwand die Angreifer betreiben, um ihre Angriffe zu verschleiern und Vertrauen zu erwecken.
In den vergangenen Wochen haben zahlreiche Unternehmen ungewöhnliche Rechnungen erhalten, die sich nicht eindeutig einem Auftrag oder einer Bestellung zuordnen lassen. Die betreffenden E-Mails verweisen jeweils auf eine angebliche Rechnungsnummer und enthalten den Hinweis, dass das Dokument an die E-Mail angefügt sei. Tatsächlich befindet sich im Anhang eine ZIP-Datei, in der eine einzelne HTML-Datei enthalten ist.
Entpackt man die ZIP-Datei und öffnet die darin enthaltene HTML-Datei, erscheint in vielen Fällen lediglich ein harmlos wirkender Gesprächsverlauf oder ein kurzer Textausschnitt aus einer älteren Korrespondenz. Auf den ersten Blick wirkt nichts verdächtig: Es gibt weder klickbare Links noch auffällige Dateien, so dass man leicht annehmen könnte, es handle sich schlicht um eine fehlgeleitete oder versehentlich versandte E-Mail.
Tatsächlich wirkt die E-Mail nur auf den ersten Blick harmlos. Ein genauer Blick in den Quelltext zeigt, dass unbemerkt im Hintergrund eine Verbindung zu einer externen Webseite aufgebaut wird, auf der ein JavaScript hinterlegt ist. Dieses Skript wird allerdings nicht in jedem Fall ausgeliefert. Die Angreifer prüfen zunächst verschiedene Bedingungen – etwa das verwendete Betriebssystem – und liefern den schädlichen Inhalt nur aus, wenn bestimmte Kriterien erfüllt sind.
Hinzu kommt eine weitere Verschleierungstaktik: Das Skript steht nur für eine begrenzte Anzahl von Zugriffen zur Verfügung. Nur die ersten Aufrufe enthalten den schädlichen Code. Diese Vorgehensweise erschwert die Analyse für Unternehmen und Behörden, die sich mit Cybersicherheit befassen wie beispielsweise dem BACS, erheblich. Wird keine Schadsoftware ausgeliefert, lässt sich die Vorgehensweise der Angreifer nicht sofort erkennen und die betreffende Seite kann nicht ohne Weiteres gesperrt werden. Solche Methoden werden von Angreifern immer wieder eingesetzt, um Erkennungs- und Abwehrmechanismen zu umgehen.
Wie läuft der Angriff ab?
In einigen Fällen gelang es dem BACS, das JavaScript herunterzuladen und auszuführen. Öffnet man die HTML-Datei mit dem bösartigen JavaScript, erscheint eine Webseite, die vermeintlich eine PDF-Datei anzeigt. Auf dieser Website wird angegeben, man müsse ein CAPTCHA lösen, um auf das Dokument zugreifen zu können. Wird das CAPTCHA korrekt eingegeben, erscheint anschliessend ein Download‑Link.
Wird der angezeigte Download-Link angeklickt, lädt das System erneut eine ZIP-Datei herunter. Dieses Mal enthält sie jedoch keine weitere HTML-Datei, sondern direkt ein JavaScript. Dabei handelt es sich um die finale Stufe des Angriffs: Das Skript versucht nach dem Ausführen, zusätzliche Schadsoftware aus dem Internet nachzuladen und auf dem System zu installieren.
Wieso über eine ZIP-Datei?
Der geschilderte Ablauf verdeutlicht eindrücklich, wie raffiniert die Angreifer inzwischen vorgehen, um technische Schutzmechanismen zu umgehen und Benutzerinnen und Benutzer gezielt zu täuschen. Die unscheinbare HTML-Datei mit dem harmlosen Gesprächsverlauf dient vermutlich auch dazu, installierte Sicherheits-Software austricksen, indem sie den Eindruck vermittelt, es handle sich um ein ungefährliches Dokument.
Trotz der ausgefeilten Tarnung gibt es jedoch einen wichtigen Schutzfaktor: Im ersten Schritt müssen die Empfängerinnen und Empfänger eine ZIP‑Datei öffnen. Das schreckt glücklicherweise viele ab.
Doch warum versuchen die Angreifer nicht das JavaScript direkt in der E‑Mail zu platzieren? Damit könnten sie auf den Umweg über die ZIP‑Datei verzichten, und das angebliche CAPTCHA würde unmittelbar in der Nachricht selbst erscheinen.
Die meisten E‑Mail‑Programme blockieren genau aus diesem Grund JavaScript, weil es für die Angreifer sonst viel einfacher wäre, schädliche interaktive Inhalte direkt in einer E-Mail auszuführen. Wird die HTML‑Datei jedoch lokal geöffnet, gelten nicht mehr die restriktiven Vorgaben des E-Mail-Clients, sondern die deutlich grosszügigeren Regeln des Browsers. Dort ist JavaScript standardmässig erlaubt, weil moderne Webseiten ohne Skripte kaum noch funktionieren würden.
Empfehlungen
- Prüfen Sie Dateiformate kritisch. Eine legitime Rechnung wird im Geschäftsverkehr fast ausschliesslich als PDF-Dokument versendet. Seien Sie äusserst misstrauisch bei Rechnungen oder Anhängen, die als ZIP-Archiv eintreffen, und öffnen Sie unter keinen Umständen darin enthaltene HTML-Dateien.
- Betrüger nutzen oft doppelte Dateiendungen (wie z. B. «Rechnung.pdf.html»), um Nutzerinnen und Nutzer zu täuschen. Aktivieren Sie in Ihrem Betriebssystem (z. B. im Windows Explorer) standardmässig die Anzeige von Dateinamenerweiterungen, um das tatsächliche Format besser zu erkennen.
- Wenn sich Ihr Webbrowser nach dem Klick auf einen Anhang öffnet und Sie auffordert, eine weitere Datei herunterzuladen oder ein Skript auszuführen, brechen Sie den Vorgang umgehend ab.
- Konfigurieren Sie Ihr Betriebssystem so, dass JavaScript-Dateien («.js») standardmässig mit einem harmlosen Texteditor (wie dem Windows Editor/Notepad) geöffnet werden. So wird der Schadcode beim versehentlichen Anklicken nur als Text angezeigt, anstatt durch den «Windows Script Host» ausgeführt zu werden.
- Blockieren Sie auf dem E-Mail-Gateway den Empfang von Dateiformaten, die oft für Angriffe missbraucht werden. Dazu gehören ausführbare Dateien, aber auch komprimierte Archive (ZIP), die potenziell gefährlichen Skripte (JS, VBS) oder unerwartete HTML-Dateien enthalten. Eine laufend aktualisierte Liste potenziell gefährlicher Dateiendungen hat das BACS auf «GitHub» publiziert.
- Falls Sie versehentlich eine solche Datei ausgeführt haben, trennen Sie das betroffene Gerät sofort vom Netzwerk (WLAN deaktivieren, Netzwerkkabel ziehen), um eine Ausbreitung der Schadsoftware im Firmennetz zu verhindern.
Quelle: NCSC Schweiz
