Spam-Mails gehören zu den gängigsten Mitteln, um Schadsoftware möglichst weitläufig im Netz zu verteilen. Cyberkriminelle setzen dabei oft auf bösartige Dateianhänge, die gutgläubige Nutzer mit gefälschten Namen übertölpeln sollen. Ist die jeweilige Datei einmal geöffnet, verbreiten sich oft schon Malware oder Ransomeware auf dem System.

Dieser Praxis will Google nun einen Riegel vorschieben: Ab 13. Februar will Google nun standardmässig Javascript-Anhänge in Gmail blockieren. Der Internetkonzern hat den Dateityp (JS) auf seine schwarze Liste gesetzt, wo beispielsweise schon EXE-, MSC- und BAT-Dateien aufgeführt sind. Diese Dateitypen werden selbst in komprimierter Form als ZIP-Archiv und dergleichen nicht an Gmail-Nutzer übermittelt. Eine Auflistung sämtlicher verbotener Dateitypen und weitere Anhangbeschränkungen sind auf der Google-Support-Seite aufgelistet.

Während mittlerweile die Gefahren, die von angehängten EXE-Dateien oder Office-Dokumenten mit eingebetteten bösartigen Makros ausgehen, weitläufig bekannt sind, ist das Javascript-Dateiformat bei vielen Anwendern ein unbeschriebenes Blatt. Entsprechend häufig werden Javascript-Inhalte von ungeschulten Mitarbeitern bedenkenlos geöffnet.

Im Gegensatz zu ausführbaren Dateien oder Dokumenten ist bei Javascripts vom Anwender keine zusätzliche Bestätigung nach dem Klick auf den Anhang erforderlich. JS-Dateien werden sofort ausgeführt und dienen Cyberkriminellen beispielsweise als Downloader, der weitere Schadsoftware wie den Erpresser-Trojaner Locky herunterlädt.