Hacker versuchen, Firmen auszutricksen (mit ZIP-Rechnungen)

19. März 2026

Vermehrt melden sich Unternehmen beim BACS, nachdem sie verdächtige Rechnungen per E‑Mail erhalten haben. Den Nachrichten ist jeweils eine ZIP-Datei angefügt, die wiederum eine HTML-Datei enthält. Auf den ersten Blick wirkt die darin dargestellte Rechnung unscheinbar: Keine Links, keine Auffälligkeiten, keinerlei Hinweise auf Schadsoftware. Doch dieser Eindruck täuscht. Der aktuelle Wochenrückblick zeigt eindrücklich, wie viel Aufwand die Angreifer betreiben, um ihre Angriffe zu verschleiern und Vertrauen zu erwecken. 

In den vergangenen Wochen haben zahlreiche Unternehmen ungewöhnliche Rechnungen erhalten, die sich nicht eindeutig einem Auftrag oder einer Bestellung zuordnen lassen. Die betreffenden E-Mails verweisen jeweils auf eine angebliche Rechnungsnummer und enthalten den Hinweis, dass das Dokument an die E-Mail angefügt sei. Tatsächlich befindet sich im Anhang eine ZIP-Datei, in der eine einzelne HTML-Datei enthalten ist.

Beispiel einer E-Mail mit angeblicher Rechnung.

Entpackt man die ZIP-Datei und öffnet die darin enthaltene HTML-Datei, erscheint in vielen Fällen lediglich ein harmlos wirkender Gesprächsverlauf oder ein kurzer Textausschnitt aus einer älteren Korrespondenz. Auf den ersten Blick wirkt nichts verdächtig: Es gibt weder klickbare Links noch auffällige Dateien, so dass man leicht annehmen könnte, es handle sich schlicht um eine fehlgeleitete oder versehentlich versandte E-Mail.

Die HTML-Datei wirkt harmlos und zeigt einen älteren E-Mail-Verlauf.

Tatsächlich wirkt die E-Mail nur auf den ersten Blick harmlos. Ein genauer Blick in den Quelltext zeigt, dass unbemerkt im Hintergrund eine Verbindung zu einer externen Webseite aufgebaut wird, auf der ein JavaScript hinterlegt ist. Dieses Skript wird allerdings nicht in jedem Fall ausgeliefert. Die Angreifer prüfen zunächst verschiedene Bedingungen – etwa das verwendete Betriebssystem – und liefern den schädlichen Inhalt nur aus, wenn bestimmte Kriterien erfüllt sind.

Hinzu kommt eine weitere Verschleierungstaktik: Das Skript steht nur für eine begrenzte Anzahl von Zugriffen zur Verfügung. Nur die ersten Aufrufe enthalten den schädlichen Code. Diese Vorgehensweise erschwert die Analyse für Unternehmen und Behörden, die sich mit Cybersicherheit befassen wie beispielsweise dem BACS, erheblich. Wird keine Schadsoftware ausgeliefert, lässt sich die Vorgehensweise der Angreifer nicht sofort erkennen und die betreffende Seite kann nicht ohne Weiteres gesperrt werden. Solche Methoden werden von Angreifern immer wieder eingesetzt, um Erkennungs- und Abwehrmechanismen zu umgehen.

Wie läuft der Angriff ab?

In einigen Fällen gelang es dem BACS, das JavaScript herunterzuladen und auszuführen. Öffnet man die HTML-Datei mit dem bösartigen JavaScript, erscheint eine Webseite, die vermeintlich eine PDF-Datei anzeigt. Auf dieser Website wird angegeben, man müsse ein CAPTCHA lösen, um auf das Dokument zugreifen zu können. Wird das CAPTCHA korrekt eingegeben, erscheint anschliessend ein Download‑Link.

Ansicht einer Webseite, auf der ein CAPTCHA gelöst werden muss, um eine angebliche PDF-Datei zu öffnen. Tatsächlich wird aber eine Schadsoftware heruntergeladen.

Wird der angezeigte Download-Link angeklickt, lädt das System erneut eine ZIP-Datei herunter. Dieses Mal enthält sie jedoch keine weitere HTML-Datei, sondern direkt ein JavaScript. Dabei handelt es sich um die finale Stufe des Angriffs: Das Skript versucht nach dem Ausführen, zusätzliche Schadsoftware aus dem Internet nachzuladen und auf dem System zu installieren.

Wieso über eine ZIP-Datei?

Der geschilderte Ablauf verdeutlicht eindrücklich, wie raffiniert die Angreifer inzwischen vorgehen, um technische Schutzmechanismen zu umgehen und Benutzerinnen und Benutzer gezielt zu täuschen. Die unscheinbare HTML-Datei mit dem harmlosen Gesprächsverlauf dient vermutlich auch dazu, installierte Sicherheits-Software austricksen, indem sie den Eindruck vermittelt, es handle sich um ein ungefährliches Dokument.

Trotz der ausgefeilten Tarnung gibt es jedoch einen wichtigen Schutzfaktor: Im ersten Schritt müssen die Empfängerinnen und Empfänger eine ZIP‑Datei öffnen. Das schreckt glücklicherweise viele ab.

Doch warum versuchen die Angreifer nicht das JavaScript direkt in der E‑Mail zu platzieren? Damit könnten sie auf den Umweg über die ZIP‑Datei verzichten, und das angebliche CAPTCHA würde unmittelbar in der Nachricht selbst erscheinen.

Die meisten E‑Mail‑Programme blockieren genau aus diesem Grund JavaScript, weil es für die Angreifer sonst viel einfacher wäre, schädliche interaktive Inhalte direkt in einer E-Mail auszuführen. Wird die HTML‑Datei jedoch lokal geöffnet, gelten nicht mehr die restriktiven Vorgaben des E-Mail-Clients, sondern die deutlich grosszügigeren Regeln des Browsers. Dort ist JavaScript standardmässig erlaubt, weil moderne Webseiten ohne Skripte kaum noch funktionieren würden.

Empfehlungen

  • Prüfen Sie Dateiformate kritisch. Eine legitime Rechnung wird im Geschäftsverkehr fast ausschliesslich als PDF-Dokument versendet. Seien Sie äusserst misstrauisch bei Rechnungen oder Anhängen, die als ZIP-Archiv eintreffen, und öffnen Sie unter keinen Umständen darin enthaltene HTML-Dateien.
  • Betrüger nutzen oft doppelte Dateiendungen (wie z. B. «Rechnung.pdf.html»), um Nutzerinnen und Nutzer zu täuschen. Aktivieren Sie in Ihrem Betriebssystem (z. B. im Windows Explorer) standardmässig die Anzeige von Dateinamenerweiterungen, um das tatsächliche Format besser zu erkennen.
  • Wenn sich Ihr Webbrowser nach dem Klick auf einen Anhang öffnet und Sie auffordert, eine weitere Datei herunterzuladen oder ein Skript auszuführen, brechen Sie den Vorgang umgehend ab.
  • Konfigurieren Sie Ihr Betriebssystem so, dass JavaScript-Dateien («.js») standardmässig mit einem harmlosen Texteditor (wie dem Windows Editor/Notepad) geöffnet werden. So wird der Schadcode beim versehentlichen Anklicken nur als Text angezeigt, anstatt durch den «Windows Script Host» ausgeführt zu werden.
  • Blockieren Sie auf dem E-Mail-Gateway den Empfang von Dateiformaten, die oft für Angriffe missbraucht werden. Dazu gehören ausführbare Dateien, aber auch komprimierte Archive (ZIP), die potenziell gefährlichen Skripte (JS, VBS) oder unerwartete HTML-Dateien enthalten. Eine laufend aktualisierte Liste potenziell gefährlicher Dateiendungen hat das BACS auf «GitHub» publiziert.
  • Falls Sie versehentlich eine solche Datei ausgeführt haben, trennen Sie das betroffene Gerät sofort vom Netzwerk (WLAN deaktivieren, Netzwerkkabel ziehen), um eine Ausbreitung der Schadsoftware im Firmennetz zu verhindern.

Quelle: NCSC Schweiz

Zurück zu IT-News

Ähnliche Beiträge

  • Alte Betrugsmaschen in neuem Kleid (Kreditkartenbetrug)

    11. März 2026 Betrüger versuchen kontinuierlich, ihre Methoden anzupassen, um Internetnutzerinnen und -nutzer zu täuschen. In der vergangenen Woche sind dem BACS zwei neue Betrugsvarianten gemeldet worden, die auf bestehenden Phänomenen basieren oder verschiedene Betrugsvarianten kombinieren.  Mit einer täuschend echten E-Mail im Namen von Amazon wird den Empfängerinnen und Empfängern mitgeteilt, sie seien eine von «250 ausgewählten Schweizer Kundinnen und Kunden», die attraktive Preise wie…

  • Google lässt bei Gmail jetzt offenbar mehrere Adressen zu

    28. Dezember 2025 Eine langersehnte User-Forderung wird nun hoffentlich endlich erfüllt. Mehrere Adressen werden möglich, alte Adressen können geändert werden Google is finally introducing a way for users to change their Gmail addresses ending with @gmail.com, just in time for the new year. A page on the company’s help center was recently updated with new rules for changing email addresses, outlining a way that would…

  • Nützliche Tipps für Acrobat Reader, die Sie noch nicht kennen

    9. Januar 2026 Der Adobe Acrobat Reader DC wird meist nur zum Betrachten von PDF-Dateien verwendet. Dabei könnte er noch viel mehr: Kommentare mitdrucken, Dokumenten-Anhänge, automatischer Bildlauf, “Gehe zur letzten Position” beim Öffnen etc. Der Acrobat Reader DC von Adobe ist ein Programm, das auf vielen Computern installiert ist (sofern man keine Alternative wie z.B. Foxit Reader verwendet). Das PDF-Format ist dazu da, dass ein…

  • Europas Social-Plattform W kommt, aber ist sie attraktiv genug für X-Nutzer?

    10. Februar 2026 Europa startet eine eigene Social-Media-Plattform W, um eine Alternative zu Elon Musks X zu bieten. Bluesky und Mastodon haben jedoch gezeigt, wie schwer es ist, Nutzer dazu zu bewegen, X zu verlassen. Die geplante Social-Media-Plattform W wird eine Identitätsverifizierung von Nutzern verlangen, um die Desinformation in Europa durch Bots zu reduzieren. Anna Zeiter, eine Schweizer Datenschutzexpertin und CEO von W, hat die…

  • USA und CH verstärken Zusammenarbeit

    03. Dezember 2025 Schwachstellenerkennung dank “A-Viper” Das Projekt “A-Viper” soll mithilfe von Binär- und Quellcode-Analyse automatisierte Schwachstellenerkennung vorantreiben. Die Schweiz und die USA starten mit “A-Viper” ein neues Forschungsprojekt zur automatisierten Identifikation und Priorisierung von Softwareschwachstellen in sicherheitskritischen Systemen. Das Vorhaben wird gemeinsam vom Bundesamt für Rüstung (Armasuisse) und dem US Air Force Research Laboratory (AFRL) getragen. Es stützt sich auf das bestehende Rahmenabkommen zwischen…

  • CISA warnt vor aktiv ausgenutzter Microsoft Sharepoint-Lücke

    24. März 2026 Ein Leck in Microsofts Sharepoint-Plattform wird aktuell aktiv für Angriffe missbraucht. Entsprechende Sicherheitsupdates hat Microsoft bereits im Januar veröffentlicht. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt einem Bericht von “Bleeping Computer” zufolge vor einer im Januar gepatchten Sharepoint-Sicherheitslücke, die aktuell für Angriffe missbraucht wird. Das unter der Kennung CVE-2026-20963 laufende Leck betrifft Sharepoint Enterprise Server 2016, Sharepoint Server 2019 wie auch die…