HTML-E-Mails

HTML macht E-Mails farbig und multimedial. Mit der Vielfalt handelt man sich aber auch neue Gefahren ein. So kann HTML JavaScript oder VBS-Code enthalten, der dann auf dem Rechner des Empfängers ausgeführt wird. Eingebettete Objekte bereichern die Mail um Multimedia-Effekte – oder sie laden wie bei dem Virus Bagle.Q ein Programm aus dem Internet nach, das den Rechner infiziert.

HTML-Mails lassen sich auch dazu ausnutzen, den Surfer auszuspionieren. Wenn ein Anwender seinem E-Mail-Programm die Darstellung von HTML-E-Mails und das Nachladen von Elementen aus dem Web erlaubt, hilft er beispielsweise Spammern, ihren E-Mail-Adressbestand aufzuwerten.

Spammer bauen in ihre Werbe-Mails Bilder ein, die auf ihrem Server liegen. Öffnet der Empfänger eine solche Nachricht, versucht sein E-Mail-Programm, über den Browser das Bild zu laden. Da die URL eine eindeutige Kennung enthält, erfährt der Spammer dadurch, dass die E-Mail ihr Ziel erreicht hat, die E-Mail-Adresse also lebt. Solche eingebetteten Schnüffelbilder nennt man auch Web Bugs.

Verifizierte Adressen sind auf dem Markt deutlich wertvoller als ungeprüfte. Außerdem hat der Browser sich selbst und das verwendete Betriebssystem zu erkennen gegeben sowie die IP-Adresse übertragen, die Rückschlüsse auf den Provider und oft sogar auf den Wohnort zulässt – alles Informationen, die den Wert der Adresse zusätzlich steigern und außerdem helfen können, einen Viren-Angriff gezielt vorzubereiten.

Permalink: http://heise.de/-472898