Das Thema „Phishing“ beschäftigt uns bereits über mehrere Jahre und es bleibt aktuell! Um es vorwegzunehmen, Sie müssen solche E-Mails und darin enthaltene Links weiterhin kritisch hinterfragen, um sich vor Identitätsdiebstahl und Missbrauch Ihrer Daten und Ressourcen zu schützen. Wir werden Sie dazu nie auffordern.
Phishing – wofür steht dieser Begriff?
Es handelt sich um ein Kunstwort aus dem englischen Sprachraum, das sich mit „Fischen nach Passwörtern“ umschreiben lässt. Generell wird versucht, Sie „freiwillig“ dazu zu bringen, Ihren Account und das dazugehörige Passwort einer unbekannten Person zu übermitteln. Wie Sie dazu gebracht werden, dazu später mehr.
Warum wollen „die“ meinen Account und das Passwort haben?
Jeder, der diese beiden Angaben hat, kann auf alle Dienste und Daten zugreifen, die Sie hier bei uns benutzen können bzw. die Sie hier gespeichert haben. So ist z.B. der Zugang zu Ihren Moodle-Kursen möglich oder zu Agnes. Sind Entwürfe Ihrer Batchelor- oder Master-Arbeit hier abgelegt? Dann könnte der „Fremde“ darauf zugreifen und auch löschen! Auch Ihre Mailbox ist für den „Fremden“ nun offen und benutzbar.
Die Nutzung Ihrer Mailbox – das ist meistens der Hauptzweck!
Der Maildienst der Uni ist rund um die Uhr verfügbar und kennt keine Durchsatzprobleme. Der „Fremde“ kann nun also in Ihrem Namen massenhaft E-Mails verschicken, und er macht es auch! Es werden Spam-E-Mails und Phishing-E-Mails verschickt, denn neue Zugangsmöglichkeiten (Account und Passwort) werden immer benötigt und können auch an „Interessenten“ verkauft werden. Der Versand solcher E-Mails wirkt sich übrigens negativ auf die Reputation der Universität im E-Mail-Verkehr aus und kann sogar zu Störungen führen.
In Ihrer Mailbox sind außer E-Mail-Adressen vermutlich auch Hinweise auf Dienste zu finden, die Sie benutzen, etwa Onlinebörsen oder Onlinehändler. Spätestens jetzt könnte ein Fremder versuchen, Ihre Identität für Straftaten zu benutzen. Eine Ermittlungsbehörde würde sich natürlich zuerst bei Ihnen melden.
Phishing-E-Mails
Phishing-E-Mails sind relativ einfach aufgebaut. Zuerst wird dem Leser ein Problem beschrieben, das es (angeblich) mit seinem Account gegeben hat. Um das zu beheben, ist lediglich die Beantwortung dieser E-Mail erforderlich oder einem mitgeschickten Link soll gefolgt werden. In beiden Fällen werden Ihr Account und das Passwort abgefragt, eventuell noch weitere persönliche Daten. Oft bedankt sich der Phisher noch für Ihre Mitarbeit. In der Grußformel finden Sie Teile oder mitunter auch komplette Angaben, die auf den CMS der Universität hinweisen.
Wenn Sie eine solche Aufforderung erhalten, dann fragen Sie sich bitte zuerst, warum Sie Ihren Account und das Passwort einer anderen Person übergeben oder in ein fremdes Webformular eintragen sollen? Gibt es dafür einen Grund? Nein!
Sie benötigen Ihren Account und das Passwort doch nur, wenn Sie gerade einen Dienst bei uns nutzen möchten, der eine Anmeldung erfordert, z.B. der Zugang zur Mailbox.
Wie sollen Sie nun dazu gebracht werden, den Anweisungen des Phishers zu folgen? Es wird ein scheinbares Problem mit Ihrem Konto erfunden.
Beispiele:
- Eine Grenze für die Speicherung Ihrer E-Mails sei überschritten, häufig als Quota bezeichnet.
- Die E-Mail-Adresse ist zu bestätigen.
- Ihr Konto wird überprüft.
- Ihr Konto ist zu reaktivieren.
- Ihr Konto ist aus Sicherheitsgründen zu updaten.
- Der SPAM-Schutz soll verbessert werden.
- Der Zugriff zu Ihrer Mailbox sei von unterschiedlichen Rechnern erfolgt, darum eine Überprüfung.
- Der Datenbankserver wird modernisiert.
- …
Anschließend werden Sie unter Druck gesetzt, etwa wenn Sie der Anweisung nicht innerhalb weniger Stunden oder Tage folgen, dann wird Ihr Konto, damit ist immer Ihre Mailbox gemeint, gelöscht! Nun ist es Ernst, Sie handeln sofort, also kopflos!
Stopp!
Was verlangen wir, der CMS, überhaupt von Ihnen?
Spätestens jetzt überlegen Sie bitte, ob wir (die Benutzerberatung des CMS) Ihnen jemals angedroht hatten, Ihr „Konto“, also die Mailbox, zu löschen?
Nein, haben wir nicht! Warum sollten wir das tun? Im Gegenteil, Sie können uns auffordern, Ihre gespeicherten Daten bei uns vorfristig zu löschen, wenn Sie z.B. die Universität verlassen.
Aktuell verlangen wir lediglich, dass Sie das Passwort nach einem Jahr neu setzen. Dafür lassen wir Ihnen mehrere Wochen Zeit und erinnern Sie auch noch einmal daran. Selbst wenn Sie dann immer noch nicht reagieren, sperren wir lediglich den Zugang für Sie. Die Mailbox und alle Ihre anderen Daten bleiben bestehen, auch E-Mails werden weiterhin zugestellt.
Beratung
Fragen Sie uns einfach, wenn Sie eine (Phishing-) E-Mail nicht richtig deuten können. Es gibt durchaus Fälle, in denen auch wir nicht sofort eine E-Mail als Phishing oder Fälschung bewerten können. Fälschen bedeutet doch letztlich, dass man einem Original nahe kommen möchte. Welche „Originale“ gibt es in diesem Zusammenhang?
- Quota und „storage limit“: Ihre Mailbox ist zu groß geworden, Sie werden gewarnt. Wir haben aber gar keine Größenbegrenzung!
- Fremdbenutzung: Wenn wir Hinweise erhalten, dass Ihr Account für „ungewöhnliche“ Aktivitäten benutzt wird, dann sperren wir diesen ohne Nachfrage. Sie fragen uns dann selbst.
- Updates und Upgrades: Updates kennen Sie von Ihrem PC, Laptop, Tablet, … her. Der Begriff ist Allgemeingut. Also klingt das auch für eine Nutzer- oder Account-Datenbank oder den „email account“ plausibel. Die Pflege von Kundendaten generell wird man sicher nicht durch Einsammeln persönlicher Daten per E-Mail organisieren.
- E-Mails des CMS an seine Benutzer zu wichtigen Ereignissen. Solche E-Mails kommen nur selten vor und sind dann auch mit einem Hinweis auf eine Störungsmeldung des CMS verbunden. Eine solche E-Mail oder Teile davon könnten auch in einer Phishing-E-Mail auftauchen. Wir verzichten darum in unseren E-Mails möglichst auf die Angabe kompletter URLs.
Die Kontaktdaten unserer Benutzerberatung finden Sie auf der Homepage des CMS.
Tipps zur Bewertung einer möglichen Phishing-E-Mail
Vorweg, es kann für Sie hilfreich sein, wenn Sie sich in ihrem E-Mail-Programm auch den Quelltext der E-Mail anzeigen lassen.
Welchen Absender hat die E-Mail? Es wird meistens „nur“ ein beliebig wählbarer Kommentar (Beispiel „Administrator Support“) angezeigt, die echte E-Mail-Adresse mit den „@“ ist aber wichtig. Im Quelltext steht sie im „Return-Path:“ oder im „From:“. Sie können auch „Antworten“ benutzen um zu sehen, an welche E-Mail-Adresse eine Antwort gehen würde. Ist es ein bekannter Absender aus dem CMS?
- Beispiel: Administrator Support <eandroulidakis@edc.uoc.gr> – hier also Griechenland
An welchen Empfänger wurde die E-Mail geschickt? Sind Sie direkt adressiert worden, eventuell über eine Ihnen bekannte Liste? Wird „undisclosed-recipients“ angezeigt, dann handelt es sich um eine E-Mail an viele Empfänger (Massenmail), die E-Mail-Adressen wurden dann „unsichtbar“ im „Bcc:“ angegeben. Sehen Sie sich im Quelltext das „To:“ an, auch eine E-Mail-Adresse wie „admin-alert@hu-berlin.de“ kann (wie in diesem Fall) ungültig sein, obwohl sie auf hu-berlin.de endet.
Der Betreff sollte so formuliert sein, dass er einen konkreten Bezug auf den Inhalt der E-Mail hat. Was sollen uns “
- „Letzte Waning“, „Mailbox Security!“ oder „IT-Helpdesk Service Center“
sagen, es sind banale Phrasen, auch die Mischung aus Deutsch und Englisch mit einem Schreibfehler deutet auf keine seriöse E-Mail hin. Selbst wenn der CMS im Betreff „E-Mail-Konto-Aktualisierung Webmail Computer-und Medienservice -Computer-und … @ 2014“ genannt ist, wird es nicht besser. Wer gibt schon im Betreff den Namen seiner Einrichtung mit an? Übrigens lösche ich eine E-Mail ohne Betreff bzw. nur mit einem „Re“ für „Reply“ im Betreff ungelesen.
Wer nun den Weg der E-Mail anhand der „Received:“-Zeilen verfolgen möchte, findet die sogenannten Kopfzeilen in der Quelltext-Ansicht der E-Mail. Für die Analyse finden Sie Anleitungen im Internet.
Inhalt der E-Mail
- Wir verfassen unsere E-Mails überwiegend in Deutsch, mitunter ist zusätzlich auch eine englische Passage enthalten. Generell bemühen wir uns, vollständige Sätze zu formulieren und keine Rechtschreib- oder Grammatikfehler zu machen. Die Texte in Phishing-E-Mails sind sprachlich überwiegend schlecht gestaltet, so dass Ihre Skepsis angebracht ist. Da wir natürlich ausländische Studierende haben, die weder Deutsch noch Englisch als Muttersprache beherrschen, fällt ihnen die Bewertung solcher Merkmale deutlich schwerer als uns. Umgekehrt sind auch nicht alle Deutschsprachler in der Lage, die Qualität eines englischen Textes zu bewerten. Helfen Sie sich gegenseitig, kann ich da nur empfehlen!
- Zur inhaltlichen Gestaltung (fiktives Problem, Termindruck, Drohung mit Verlust) hatte ich mich schon geäußert. Es gibt zwei Varianten, wie Sie die „gewünschten“ Daten (Account, Passwort, …) preisgeben sollen:
- per „Antworten“ (Reply) mit folgenden Angaben:
- (1) E-mail:
(2) Name:
(3) Password:
(4) Confirm Password:
- (1) E-mail:
- Befolgen eines Links, der in der E-Mail steht. Hier ist wirklich Vorsicht geboten, denn der Link kann Sie direkt auf eine Webseite führen, die schädliche Software (Malware) enthält und die Ihren Computer (xy-phone) befallen kann. Also sehen Sie sich den Link kritisch(!) an. Oft steht nur blau unterlegt „click here“ da. Verweilen Sie mit dem Mauszeiger darüber, die URL wird Ihnen dann angezeigt, etwa „http://nvnfkdksskskfkrjrtjtkgkkgfkjejd.moxo.cz/“.
- Wieso sollte der CMS Sie auffordern, eine Webseite in Tschechien aufzusuchen? Also löschen Sie solche E-Mails. Oder Sie sehen die URL direkt, z.B. „http://www.theclinicalab.com/php/use/irish/form1.html“.
- Zwischen „http://“ und dem nächsten Schrägstrich „/“ steht die Domain, also die Einrichtung, zu der Sie der Link führt. Hier geht es zu einem Röntgenlabor in Singapur. Der CMS hat dort natürlich keine Außenstelle, der Webserver wird missbraucht, solche E-Mails löschen Sie.
- per „Antworten“ (Reply) mit folgenden Angaben:
- Wenn Sie eine solche Phishing-Seite, die per Link in einer Phishig-E-Mail angeboten wird, dennoch besuchen, was erwartet Sie dort? Malware hatte ich schon erwähnt, aber üblicherweise hat der Phisher dort ein Formular gestaltet, in das Sie wieder die bereits genannten Daten eintragen sollen. Wenn er sich Mühe gegeben hat, dann hat er Gestaltungselemente unserer Webseiten übernommen, etwa das HU- oder CMS-Logo, um Ihnen eine bekannte Umgebung vorzutäuschen. Darum ist ein kritischer Blick auf einen solchen Link entscheidend! Benutzen Sie darum die üblichen Zugänge zu Ihren Diensten (z.B. Webmailer), die Sie immer benutzen.
- Zum Abschluss finden Sie häufig eine banale Unterschrift, etwa „Webmail -Konto Upgrader“, „Regards From Administrator“, „Webmail System Admin“, „Webmail Technisches Team“. Selbst die Universität kann in einer „Signatur“ genannt sein: „Dies ist eine Verwaltungs Nachricht von der Humboldt-Universität Berlin und der Inhalt muss jederzeit vertraulich behandelt werden.“ Es kann natürlich auch die echte Signatur unserer Benutzerberatung verwendet werden, denn sie ist ja nicht geheim oder in der Mailbox eines preisgegebenen Accounts verfügbar.
Fazit
Phishing-E-Mails werden natürlich weltweit verschickt, Universitäten mit vielen Nutzern sind immer wieder betroffen. Verratene Accounts werden umgehend (nach wenigen Minuten) für den Versand von Spam- oder Phishing-E-Mails benutzt. Ich habe dabei Verbindungen beobachtet, die z.B. häufig aus einem Netz in Lagos kamen, aber auch schnell mal nach Südamerika wechselten.
Um den Schaden für die Universität gering halten zu können, ist bei uns der Versand von E-Mails limitiert. Wenn Sie merken, dass Sie auf eine Phishing-E-Mail hereingefallen sind, versuchen Sie umgehend Ihr Passwort neu zu setzen. Sie sollten uns außerdem informieren. Rechnen Sie damit, dass Sie (viele) E-Mails mit der Nachricht erhalten, dass eine E-Mail nicht zugestellt werden konnte. Sie waren der formale Absender und der Phisher übernimmt keine Garantie für die Korrektheit seiner verwendeten E-Mail-Adressen!
Eine gute Adresse für Sicherheitsfragen ist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Unter der Webadresse www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/ finden Sie u.a. auch einen Beitrag zum Thema „Phishing“.
Beispiele für Phishing-E-Mails
1)
Sehr geehrter Teilnehmer, Wir sind derzeit in der Kontenpflege Dienst beschäftigt. Als Abonnent sind Sie verpflichtet, Ihre weitere Mitgliedschaft zu bestätigen. Nichtbeachtung Ihre weitere Mitgliedschaft zu bestätigen wird Service Suspension führen. Bitte füllen Sie das Formular und wieder beolw, die Aussetzung zu vermeiden. (1) E-mail: (2) Benutzername: (3) Passwort: (4) Passwort bestätigen: Danke. Webmail Technisches Team.
2)
Sehr geehrter Nutzer Ihre E-Mail hat 2 GB, die durch Webmaster erstellt überschritten, können Sie derzeit bei 2.30GB ausgeführt werden, kann man nicht senden oder empfangen, neue Nachrichten, bis Sie Ihre account.Complete das folgende Formular überprüfen, um Ihren Account zu bestätigen. Bitte füllen Sie die Details unten, um Ihr Konto zu bestätigen (1) E-mail: (2) Name: (3) Passwort: (4) Passwort bestätigen: danke System Administrator
3)
Dear Webmail User,
Due to high numbers of inactive mail accounts on the server, all webmail users are advised to sign in to their Box account within 24 hrs of receiving this notice, using the link below, for us to confirm your account activity. Update Now
click here
Failure to update will process your webmail account being temporarily blocked or suspended from the network, and you may not be able to send or receive email owing due to failing to update.
Please do not ignore this message to avoid termination of your webmail account.
Thanks in advance of your cooperation.
Sincerely,
Webmail Admin
4)
You have reached the storage limit on your Mailbox. Please visit http://webmail-systemadmin.tk to fill your email upgrade form. Technical Support 192.168.0.14
5)
This is to notify you that you have exceeded the storage limit for your mailbox. You may not
be able to send or receive new mail till you re-set your mailbox quota.
Kindly click here: and login with the details required.
System Administrator.
==============================================================
Dies ist um Sie zu benachrichtigen, dass Sie die Speichergrenze für Ihr Postfach überschritten. Sie sind möglicherweise nicht in der Lage, bis du wieder stellen Sie Ihre Postfach-Kontingent zu senden oder zu empfangen neue E-Mail sein.
Bitte klicken Sie hier: und loggen Sie sich mit den Details erforderlich.
Systemadministrator.
6)
This is your IT Service Desk sending you this email for your account upgrade,we are conducting an upgrade in all email account, all users are to verify his/her account for upgrade, CLICK HERE: http://itcenterdeskadmin.0ad.info/ and upgrade your account. Yours, IT Service Desk
7)
Sehr geehrte Teilnehmer E-Mail- Wir möchten darüber informieren, dass wir derzeit die Dienstleistungen regelmäßig Erhaltung und Verbesserung unserer Service-Konto und, als Folge der diese ihre Konten aktualisiert werden soll. Wir entschuldigen uns für die Unannehmlichkeiten. Um Ihr Konto zu halten, sollten Sie auf diese E-Mail antworten sofort und geben Sie die folgenden Informationen: Name: Password: Wenn nicht innerhalb von 72 Stunden erfolgt, sofort machen Sie Ihre eigenen deaktiviert aus unserer Datenbank. Danke, dass Sie unseren Service! "Web-Site Support Agent Mail Konto ABN 31088377860 Alle Rechte vorbehalten. E-Mail-Konto-Aktualisierung Webmail Computer-und Medienservice - Computer-und ... @ 2014 **************************************************
8)
Helpdesk Service Center requires your immediate re-activation of your Email account. This is to upgrade email account to Microsoft Outlook 2014. Inability to complete this procedure will render your account inactivate. Activate by completing the survey procedure. CLICK HERE : to activate.
IT-Helpdesk Service. 2014
9)
Willkommen-Webmail-Benutzer Nach der automatischen Verlängerung über unser Webmail ® Server hat einige Fehler nicht erlauben, um Ihre Adresse zu identifizieren. Wir informieren Sie, dass Sie nicht in der Lage, auf Ihr Konto zugreifen oder die zugehörigen Profile verwenden, wenn Sie nicht Sie nicht nach unserer Geschäftsordnung zu identifizieren, weil jeden Tag Tausende von online-Konten gehackt werden. Innerhalb von 48 Stunden bestätigen Sie bitte Ihre E-mail-Adresse sowie eine Informationsanforderung durch das gute über das untenstehende Formular aus. Bestätigung (Klicken Sie auf Antwort und übermitteln Ihre Daten an die Bestätigung-Dienst) Benutzeridentität Name: Vorname: Verbindungsinformationen (erforderlich) Geburtsdatum (*) Benutzername (*): Passwort (*): Land und Stadt des Wohnsitzes (*): Code postal (*): Telefon (*): NB: im Falle eines Mangels Informationsanforderung Bitte beachten Sie, dass dies in die permanente Löschung Ihrer e-Mail-Adresse führt. Herzliche Grüße. Das Webmail-team
Das reicht!
Bitte beherzigen Sie unserer Ratschläge und fallen Sie nicht leichtgläubig auf Phishing-E-Mails oder zweifelhafte Links herein.