Eine stille Revolution in Phishing-Taktiken ist im Gange.
In den letzten sechs Monaten hat sich das SVG-Format als bevorzugter Träger für Malware in E-Mail-basierten Angriffen etabliert.
Sicherheitsexperten in der gesamten Branche schlagen Alarm. Über ein Dutzend Unternehmen – darunter AhnLab, Cloudflare, Forcepoint, Intezer, Kaspersky, Keep Aware, KnowBe4, Mimecast, Sophos, Sublime Security, Trustwave und VIPRE – berichten über einen deutlichen Anstieg SVG-basierter Bedrohungen. Laut dem Q1-Report 2025 von Sublime Security machen SVG-Payloads inzwischen 1 % aller erkannten Phishing-Versuche aus. Noch bemerkenswerter: Sublime verzeichnete einen Anstieg der SVG-Nutzung um 47.000 % im Vergleich zum letzten Quartal 2024.
Warum SVGs? Weil sie keine echten Bilder sind.
Der Kern dieses Wandels liegt im Format selbst. SVG (Scalable Vector Graphics) wird oft als Bildformat wahrgenommen, ist aber tatsächlich eine XML-Datei, die Bilder über mathematische Anweisungen beschreibt. Beim Öffnen durch einen Browser oder ein E-Mail-Programm wird kein Bild angezeigt, sondern Code interpretiert, der das Bild live zeichnet.
SVGs beschränken sich jedoch nicht auf Grafik. Ihre eigentliche Gefahr liegt in der Möglichkeit, HTML und JavaScript einzubetten – die Grundbausteine moderner Webseiten. Angreifer nutzen das gezielt aus. Anstatt Nutzer über Links auf Phishing-Seiten zu locken, wird die gefälschte Seite direkt im Bild selbst dargestellt.
So lassen sich Credential-Stealer-Formulare in E-Mail-Signaturen, Firmenlogos oder andere scheinbar harmlose visuelle Elemente einbetten. Wird die Mail geöffnet, rendert das Programm die Phishing-Seite lokal und sendet die gestohlenen Daten an den Angreifer. In manchen Fällen lässt sich damit sogar Multi-Faktor-Authentifizierung umgehen.
Waffe ohne Klick
In bestimmten Angriffen muss der Nutzer nicht einmal klicken. Das bloße Öffnen der E-Mail reicht, um ein Skript auszuführen, das ihn unbemerkt auf eine Phishing-Seite weiterleitet. Die Umleitung erfolgt sofort und bleibt vollständig unsichtbar.
Cloudflare bringt es auf den Punkt: «SVGs are not just images, they are programmable documents. When rendered in a browser, they become active content, capable of executing scripts and other manipulative behavior.»
Eine fortschreitende und dauerhafte Bedrohung
Der Einsatz von SVGs in Phishing-Kampagnen ist keine kurzlebige Mode. Er zeigt einen strukturellen Wandel in der Angriffstaktik. Im Gegensatz zu anderen Payloads, die rasch verschwanden, bietet dieser Ansatz eine gefährliche Kombination aus Tarnung, Interaktivität und Ausführungsmacht.
Solange große Anbieter wie Gmail, Hotmail oder iCloud Mail keine effektiven Maßnahmen ergreifen – etwa durch das Scannen von SVG-Inhalten, das Blockieren interaktiver Elemente oder ein vollständiges Verbot des Formats – wird diese Technik nicht verschwinden. Bis dahin ist Wachsamkeit gefragt. Unternehmen sollten dringend überdenken, wie SVGs in ihrer Mail-Infrastruktur behandelt werden.
ZENDATA Cybersecurity beobachtet diese Entwicklung genau und setzt alles daran, seine Kunden und Partner vor den Phishing-Angriffen der nächsten Generation zu schützen.
