Hopp til hovedinnholdet

HTML-vedlegg: En inngangsport for skadeprogram?

Et bilde av en e-post som inneholder et skadelig HTML-vedlegg.

De siste tre årene har en av de mest populære vektorene for skadeprogram og andre typer skadelige koder vært det enkle e-postvedlegget. Nærmere bestemt har vedlegg som kodes i HTML (Hypertext Markup Language) blitt en stadig mer populær måte å begå flere ulike (og i økende grad mer sofistikerte) nettkriminaliteter på, inkludert identitetsvindel via trojanvirus for fjerntilgang (RAT), løsepengevirus og svindel via nettfisking. Dette er ikke en isolert hendelse eller en type masseangrep fra én trusselaktør. Skadelige HTML-vedlegg ser ut til å være det foretrukne alternativet for mange hackere rundt om i verden i 2023.

Denne teknikken, som noen ganger kalles «HTML-smugling» i mer sofistikerte tilfeller der de skadelige filene ligger i selve HTML-vedlegget, fremstod via en spydfiskingkampanje av den kjente trusselaktøren NOBELIUM (selv om den er godt kjent og brukt av ulike nettkriminelle opp gjennom årene). De siste årene har denne teknikken blitt brukt til å levere en rekke bemerkelsesverdige skadeprogrammer, inkludert Mekotio (det kjente trojanske bankprogrammet), TrickBot og AsyncRAT/NJRAT. Med fremveksten av slike typer nettkriminaliteter og faktumet at en tredjedel av amerikanske husholdninger blir infisert av skadeprogram, er det viktig å forstå hvordan skadelige angrep via HTML-vedlegg (og HTML-smugling) fungerer, og hvordan du beskytter deg mot det. Det er grunnen til at vi skrev denne veiledningen til HTML-vedlegg og HTML-smugling, slik at du kan slippe å bekymre deg uansett hvor du sjekker e-postene dine.

Hva er skadelige HTML-vedlegg?

Skadelige HTML-vedlegg er en type skadeprogram som vanligvis blir funnet i e-poster i form av vedlegg. De aktiveres hovedsakelig når brukeren klikker på den infiserte HTML-filen i vedlegget. Når den åpnes, viderekobles brukeren via eksterne JavaScript-biblioteker til hackerens nettsted for nettfisking (eller en annen type skadelig innhold som kontrolleres av angriperen, for eksempel en påloggingsside). De mest kjente av disse HTML-svindlene via nettfisking ser ofte ut som et Windows-forgrunnsvindu. Vinduet ber brukeren om personlige påloggingsdetaljer for å laste ned HTML-filvedlegget som brukeren fikk i hackerens e-post. Når de skrives inn, sendes brukerens påloggingsdetaljer til hackeren, som kan bruke dem for økonomisk tyveri, identitetsvindel og utpressing via løsepengevirus.

Hva er HTML-smugling?

HTML-smugling, kjent som en mer teknisk form av skadeprogramangrep via HTML-vedlegg, bruker HTML5 og JavaScript til å la nettkriminelle «smugle» skadelig kode inn på offerets datamaskin via et unikt generert skript som er bygget inn i selve HTML-vedlegget. Når offeret åpner det skadelige HTML-vedlegget i nettleseren, dekoder nettleseren det innebygde skriptet, som setter sammen filene på offerets datamaskin. Dette gjør at hackeren kan bygge skadeprogrammet lokalt bak offerets brannmur.

Denne typen angrep utnytter at både HTML og JavaScript er noen av de vanligste og viktigste delene av daglig datamaskinbruk (når det gjelder bedriftsbruk og personlig bruk). Som følge av dette kan denne teknikken ta seg gjennom standard programvarer for sikkerhetskontroll (for eksempel nettproxyer og e-postgatewayer) som kun ser etter trafikkbaserte signaturer eller konvensjonelt mistenkelige vedleggstyper, som .EXE, .ZIP eller .DOCX. Når de skadelige filene opprettes etter at filen er lastet ned via nettleseren på offerets maskin, registrerer standard sikkerhetsløsninger kun ufarlig HTML- og JavaScript-trafikk. I tillegg kan hackere bruke mer avanserte nettkriminelle teknikker, som «obfuskering», til å skjule skadelige skripter fra mer avanserte sikkerhetsprogramvarer.

HTML-smugling fungerer ved å ta i bruk «nedlasting»-attributen for ankertaggene og JavaScript BLOB-er til å sette sammen filene på offerets enhet. Når «nedlasting»-attributen klikkes på, kan en HTML-fil automatisk laste ned en skadelig fil som refereres til i «href»-taggen. Med bruken av JavaScript settes en lignende prosess i gang: JavaScript BLOB-er lagrer de kodede dataene til den skadelige filen, som igjen dekodes når de overføres til en JavaScript API som forventer en nettaddresse. Det betyr at den skadelige filen automatisk lastes ned og settes sammen lokalt på offerets enhet ved bruk av JavaScript-koder.

Andre typer skadelige e-postvedlegg

Siden HTML er en av de mest populære vedleggstypene som brukes til å smugle skadeprogram på en brukers system, er det viktig å være bevisst på andre filtyper som kan være like farlige:

.EXE-filer

Som tidligere nevnt er .EXE-filer, eller kjørbare filer, på Windows operativsystemer en populær (og velkjent) trusselvektor du bør være på utkikk etter. Hvis du ser en av disse i en e-post (fra en klarert avsender eller ikke), bør du unngå å laste ned og kjøre filen.

.ISO-filer

ISO-filer brukes vanligvis til å lagre og utveksle kopier av alt på en datamaskins harddisk og distribuere systemer som Apple eller Windows. Siden Windows kan installere disse filene uten ekstra programvare, har denne typen skadeprogram blitt mer populær i løpet av de siste årene. Hvis du imidlertid får disse filene via en personlig eller profesjonell e-postkonto, men ikke har bedt om et helt system og ikke deler opp datamaskinen slik at den kan kjøre flere operativsystemer, har du ingen behov for dem. I nesten alle tilfeller bør du ikke laste dem ned. Slett slike filer fra innboksen, siden det svært sannsynlig er skadeprogram.

Microsoft Office-filer

Siden Microsoft Office-filer (for eksempel .DOCX, .XLSX og .PPTX) er allment utbredt som standard filformater for bedrifter over hele verden, er de ideelle for å levere alle slags skadeprogram til intetanende bedrifter. De er også en av de vanskeligste å beskytte seg mot, og de ser ofte ut som en viktig faktura eller endelig etterspørsel, som lurer offeret til å åpne filene.

Slik beskytter du deg mot angrep med skadelige HTML-vedlegg

Heldigvis finner det mange tiltak du kan iverksette for å forebygge og beskytte mot trusselen skadelige HTML-vedlegg utgjør.

Systemer for skanning og beskyttelse av e-poster

Et dedikert system for å skanne og beskytte e-poster er det første forsvaret mot skadelige e-postvedlegg og innebygde skripter. Som nevnt ovenfor er standard sikkerhetssystemer imidlertid ikke nok til å kontrollere den stadig utviklende trusselen dagens nettkriminelle utgjør. I dag anbefaler eksperter på nettsikkerhet en antivirusløsning som inkluderer maskinlæring og statisk kodeanalyse. Disse vurderer det faktiske innholdet i e-posten og ikke bare vedlegget. For en avansert nettsikkerhetsløsning anbefaler vi Kaspersky Premium. Premium-pakken er en del av et prisvinnende system både for bedrifter og privatpersoner, og kommer med kundestøtte døgnet rundt.

Strenge tilgangskontroller

Selv om et datainnbrudd eller tap av påloggingsdetaljer skulle skje, kan du betydelig redusere skaden nettkriminelle er i stand til å påføre ved å begrense brukertilganger til vesentlige ansatte. Du burde også sørge for at brukere som har tilgang til viktige systemer, bruker multifaktorautentisering (også kalt MFA, tofaktorautentisering eller 2FA) for å redusere risikoen enda mer ved å legge til enda et lag i nettsikkerhetsstrategien. I tillegg er virtuelle private nettverk (VPN-er) en viktig måte å beskytte viktige ressurser fra feil som oppstår på grunn av den ansattes tilgang (spesielt hvis de arbeider eksternt). Med Kaspersky VPN kan brukere koble til bedriftens servere eksternt via en kryptert digital tunnel. Denne tunnelen beskytter systemet fra de potensielle farene ved offentlig wifi og usikret internettforbindelser, uansett hvor de er i verden.

Opplæring og beste praksis for nettsikkerhet

En av de enkleste måtene å holde alle verdifulle ressurser trygge fra angrep via HTML-vedlegg på er å lære opp ansatte (eller deg selv) i beste praksiser for nettsikkerhet, og hvordan man kjenner igjen mistenkelige e-poster, filer og vedlegg. Dette inkluderer å ikke dele passord eller påloggingsdetaljer for bedriften med kollegaer, ikke gjenbruke passord for flere programvarer eller kontoer (vi anbefaler å bruke en passordbehandler eller -lager, som krypterer passordene og automatisk fyller dem ut når det trengs) og alltid bruke sterke passord eller passfraser (10–12 tegn med en blanding av spesialtegn, tall, store og små bokstaver).

Vanlige spørsmål om HTML-vedlegg

Hva er HTML-vedlegg?

HTML-vedlegg er filer som er lagt ved i e-poster og kodet i HTML. De siste årene har skadelige HTML-vedlegg (de som inneholder innebygde skadeprogram eller JavaScript-baserte koblinger til nettsteder for nettfisking) blitt populære vektorer for nettkriminelle som prøver å ta seg forbi e-postbrannmurer og beskyttelsessystemer.

Kan HTML-filer inneholde viruser?

Ja, HTML-filer kan inneholde viruser og andre former for skadeprogram, inkludert svindel via nettfisking og løsepengevirus. Denne typen nettangrep er kjent som angrep via skadelig HTML-vedlegg eller HTML-smugling. Det involverer bruken av JavaScript-koblinger til falske påloggingsvinduer eller innebygde skadeprogram for å utnytte brukeres påloggingsdetaljer og personlige filer.

Kan HTML-filer være farlige?

Ja, HTML-filer (inkludert vedlegg i e-poster) kan være farlige for systemet. De siste årene har spesialister på nettsikkerhet sett en økning av sofistikerte nettangrep via skadelige HTML-vedlegg for å stjele personopplysninger. Denne typen angrep kalles ofte HTML-smugling.

Hva er HTML-smugling

HTML-smugling er en stadig mer populær form for nettangrep som bruker Hypertext Markup Language (vanligvis HTML 5) og JavaScript for å «smugle» ulike typer skadeprogram inn på en brukers system. Det kan ta seg forbi tradisjonelle e-postbeskyttelsesprotokoller og la hackeren bygge skadeprogrammet lokalt bak offerets brannmur.

Relaterte artikler:

Anbefalte produkter:

HTML-vedlegg: En inngangsport for skadeprogram?

Skadelige HTML-vedlegg har blitt en populær måte for nettkriminelle å ta seg gjennom e-postbeskyttelse på og stjele dataene dine. Finn ut mer på bloggen vår.
Kaspersky logo

Relaterte artikler