SVG-Phishing: Harmlose Bilder stehlen jetzt Passwörter

Eine neue Phishing-Welle nutzt SVG-Bilder, um Smartphone-Nutzer auszutricksen. Sicherheitsexperten warnen vor einer massiven Angriffsserie, die herkömmliche Spam-Filter umgeht. Die betrügerischen E-Mails tarnen sich als harmlose Vektorgrafiken und zielen direkt auf mobile Geräte ab.

Die Angreifer versenden derzeit eine Flut von Nachrichten mit Ködern wie „Dringende Rechnungsprüfung“ oder „Neujahrsgrüße“. Der Anhang sieht aus wie ein normales Bild, enthält aber bösartigen Code. Sobald Nutzer die Datei öffnen, wird Schadsoftware ausgeführt oder eine täuschend echte Login-Maske aufgebaut.

So funktioniert der Angriff:
* Der Nutzer erhält eine E-Mail mit einem SVG-Anhang.
* Beim Öffnen auf dem Smartphone wird die Datei im Browser geladen.
* Das eingebettete Skript führt automatisch Schadcode aus oder baut eine Phishing-Seite auf.
* Die Angreifer stehlen so Login-Daten oder installieren Keylogger wie „Agent Tesla“.

Besonders tückisch: Die Täter verstecken den schädlichen Payload verschlüsselt im Grafikcode. Diese „Smuggling“-Technik macht die Dateien für viele Virenscanner unsichtbar.

Phishing-Angriffe, die über SVG-Bilder laufen, sind besonders schwer zu erkennen – oft genügt das Öffnen auf dem Smartphone, damit schädliche Skripte greifen. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie E‑Mails, Anhänge und versteckte Cloud‑Nachlader zuverlässig erkennen und sofort Gegenmaßnahmen ergreifen. Enthalten sind Checklisten, psychologische Erkennungsmerkmale und branchenspezifische Präventionstipps für Firmen und Privatnutzer. Sichern Sie jetzt Ihre Smartphones und Mail-Server. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Warum Smartphones leichte Opfer sind

Auf mobilen Geräten ist die Gefahr besonders groß. Drei Faktoren spielen den Angreifern in die Hände.

1. Unsichtbare Adressleiste
Smartphone-Browser blenden die URL-Leiste oft aus. Nutzer sehen bei lokal geöffneten SVG-Dateien nur kryptische file://-Pfade und können die Quelle nicht prüfen.

2. Automatische Vorschau
Viele Mail-Apps laden Bilder vor. Bei SVGs kann dies bereits reichen, um erste Skripte zu aktivieren – ganz ohne Klick des Nutzers.

3. Touchscreen-Falle
Die Bedienung per Finger begünstigt versehentliche Klicks. Die Phishing-SVGs sind oft als interaktive Buttons gestaltet, die sofort reagieren.

Katz-und-Maus-Spiel auf neuem Niveau

„Wir sehen hier eine Evolution der Angriffstaktiken“, erklärt ein Sicherheitsanalyst. SVG-Dateien waren früher selten und leicht zu blockieren. Heute sind sie in Logos und Signaturen allgegenwärtig. Die Angreifer verstecken ihren Code nun in scheinbar legitimen Grafikelementen.

Besonders clever: Die eigentliche Schadsoftware wird oft erst nachgeladen – von seriös wirkenden Cloud-Diensten. Die SVG-Datei dient nur als Türöffner.

Unternehmen reagieren mit Notfallmaßnahmen. Einige IT-Abteilungen blockieren SVG-Anhänge von externen Absendern pauskal. Doch das behindert auch legitime Kommunikation, etwa von Design-Agenturen.

Was Nutzer jetzt tun sollten

Die Welle dürfte noch bis in den Januar anhalten. Angreifer nutzen die urlaubsbedingte Unterbesetzung in IT-Abteilungen aus. Smartphone-Nutzer können sich schützen:

• SVG-Anhänge ignorieren: Seien Sie extrem skeptisch bei .svg-Dateien in E-Mails. Echte Rechnungen kommen fast immer als PDF.
• Autovorschau deaktivieren: Schalten Sie in Ihren Mail-App-Einstellungen das automatische Laden von Bildern ab.
• Absender prüfen: Tippen Sie auf den Absendernamen, um die vollständige E-Mail-Adresse einzublenden.
• Verdächtiges melden: Im Berufsumfeld sollten auffällige Mails sofort der IT gemeldet werden.

Die Sicherheitsbranche arbeitet an speziellen Erkennungsalgorithmen für SVG-Code. Bis diese Updates flächendeckend wirken, bleibt der wachsame Nutzer die wichtigste Verteidigungslinie.

PS: Viele erfolgreiche Phishing‑Angriffe nutzen genau die Tricks, die im Artikel beschrieben sind – von verschlüsseltem Payload bis zu falschen Login‑Masken. Das Anti‑Phishing‑Paket bietet praxisnahe Gegenmaßnahmen, eine Mitarbeiter-Checkliste, konkrete Schritte gegen CEO‑Fraud und Sofortmaßnahmen zur Absicherung von Mobilgeräten und E‑Mail-Systemen. Laden Sie den kostenlosen Guide, implementieren Sie die 4‑Schritte‑Strategie und reduzieren Sie das Risiko spürbar. Ideal für IT‑Verantwortliche, aber auch für jeden Smartphone‑Nutzer. Jetzt Anti‑Phishing‑Guide anfordern