Outlook: Sicherheitsfunktion per CSS in E-Mail leicht auszuhebeln
Eigentlich zeigt Outlook in bestimmten Situationen einen Warnhinweis an, der Nutzer unter anderem vor Phishing-Versuchen warnen soll. Der ist mit einfachen Ergänzungen im HTML-Body einer E-Mail allerdings leicht zu verstecken. Und noch mehr ist auf diesem Weg möglich.
Sicherheitsforschern des österreichischen Unternehmens Certitude Consulting fanden nun allerdings eine erschreckend einfache Möglichkeit, mit der Kriminelle diesen Schutzmechanismus aushebeln können. Weil die Warnung von Outlook zum Beginn des HTML-Bodys der E-Mail eingefügt wird, ist es möglich, den Hinweis durch entsprechenden CSS-Code im Text der E-Mail auszublenden.
Durch das Hinzufügen der folgenden paar Zeilen ist die Warnung so gut wie nicht mehr sichtbar, da der Text in weißer Farbe auf einem weißen Hintergrund dargestellt wird:
So sieht die E-Mail normalerweise aus ...
... und so nach der Manipulation
Siehe auch:
Sicherheitsmechanismus in Outlook ausgehebelt
Bekommt man als Microsoft 365-Nutzer eine E-Mail in Outlook von einem fremden Absender, weist die Software normalerweise mit dem sogenannten 'Sicherheitstipp für den ersten Kontakt' normalerweise auf diesen Umstand hin. Mit der Nachricht "Sie erhalten nicht häufig E-Mails von *E-Mail-Adresse*", sollen die Empfänger für eventuelles Phishing und andere Betrugsmaschen sensibilisiert werden.Sicherheitsforschern des österreichischen Unternehmens Certitude Consulting fanden nun allerdings eine erschreckend einfache Möglichkeit, mit der Kriminelle diesen Schutzmechanismus aushebeln können. Weil die Warnung von Outlook zum Beginn des HTML-Bodys der E-Mail eingefügt wird, ist es möglich, den Hinweis durch entsprechenden CSS-Code im Text der E-Mail auszublenden.
Durch das Hinzufügen der folgenden paar Zeilen ist die Warnung so gut wie nicht mehr sichtbar, da der Text in weißer Farbe auf einem weißen Hintergrund dargestellt wird:
Weitere Manipulation möglich
Außerdem war es den Forschern möglich, durch das Hinzufügen von weiterem HTML-Code Icons nachzuahmen und in einer E-Mail anzeigen zu lassen, mit denen Outlook normalerweise verschlüsselte und dementsprechend sichere Nachrichten markiert. Die Illusion ist aufgrund einiger Limitationen bei der Formatierung nicht ganz perfekt. Das Ergebnis reicht allerdings, um den trügerischen Eindruck einer legitimen und ungefährlichen E-Mail zu erzeugen.
So sieht die E-Mail normalerweise aus ...
... und so nach der Manipulation
Microsoft bleibt gelassen
Gegenüber Bleeping Computer bestätigte Certitude, dass ihnen bisher kein Fall bekannt ist, bei dem diese Methode zur Anwendung gekommen ist. Microsoft sieht vermutlich auch deshalb keinen direkten Handlungsbedarf.Wir haben festgestellt, dass Ihr Befund stichhaltig ist, aber nicht unsere Anforderungen an eine sofortige Bearbeitung erfüllt, da es sich hauptsächlich um Phishing-Angriffe handelt. Dennoch haben wir Ihren Befund für eine zukünftige Überprüfung als Gelegenheit zur Verbesserung unserer Produkte markiert.Gerade erst hatte Microsoft angekündigt, dass die Sicherheit seiner Produkte in Zukunft an erste Stelle stehen soll. Sogar die Gehälter der Mitarbeiter sollen von deren Bemühungen abhängen, die Software des Unternehmens sicherer zu machen. Die Reaktion der Redmonder auf die entdeckte Sicherheitslücke in Outlook kommt jetzt natürlich mit einem ungünstigen Timing daher.
Zusammenfassung
- Outlook warnt Nutzer bei E-Mails von unbekannten Absendern
- Forscher entdecken Methode, Sicherheitshinweis in Outlook auszublenden
- Kriminelle können Warnungen durch CSS-Code in E-Mails verstecken
- Gefälschte Icons können den Eindruck sicherer Nachrichten erwecken
- Microsoft bestätigt das Problem, sieht aber keinen sofortigen Handlungsbedarf
- Unternehmen plant, Sicherheit in Zukunft stärker zu gewichten
- Gehälter bei Microsoft sollen zukünftig von Sicherheitsbemühungen abhängen
Siehe auch:
- Microsoft 365 Roadmap: Diese Änderungen sind für Outlook geplant
- Störung bei Microsoft: Ausfall bei 365-Diensten und Azure
- Microsoft 365: Neues VPN-Feature gibt es ohne Zusatzkosten
- Neue Microsoft 365-Roadmap: Copilot-Update für Excel & Outlook
- Will Microsoft 365 weiternutzen: EU-Kommission verklagt Datenschützer
Thema:
Beliebte Outlook-Downloads
Videos zum Thema Microsoft Outlook
Home and Business im Preisvergleich
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Astronomen untersuchen den uralten interstellaren Kometen 3I/ATLAS
- iOS 27 Beta 3 ist da: Apple veröffentlicht neues Entwickler-Update
- Amazon Prime Video stoppt peinlich-lustige KI-Synchronisation
- Gewinn um 1800% gesteigert? Samsung steht erneut vor Rekordzahlen
- Telekom holt sich den Sieg im großen Festnetztest 2026 zurück
- EU-Digitalgesetz: Behörde wirft eBay mangelnden Nutzerschutz vor
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen