Hauptinhalt
Topinformationen
Phishingmail
Im universitären Umfeld tauchen vermehrt Phishingmails auf, die scheinbar von bekannten, vertrauenswürdigen Absenderadressen der Universität stammen. Das Rechenzentrum nimmt dies zum Anlass, in dem folgenden Text vor den Gefahren zu warnen, die durch sorglosen und unachtsamen Umgang mit Phishingmails drohen.
Definition
Phishingmails sind fingierte E-Mails, in denen der Absender versucht, an persönliche Daten des Adressaten wie Passwörter, Kennungen, Kontonummern, TAN-Nummern u. Ä. zu gelangen. Dies geschieht in betrügerischer Absicht und dient dem Ziel, die Identität des Phishingmail Opfers anzunehmen. War der Betrüger „erfolgreich“, kann er beispielsweise Geld vom Bankkonto seines Opfers abheben oder Interneteinkäufe in seinem Namen oder auf seine Rechnung tätigen.
Um die potentiellen Opfer zum Preisgeben ihrer persönlichen Daten zu bewegen, bedienen sich die Verfasser von Phishingmails unterschiedlicher manipulativer Methoden. Gemein ist allen Phishingmails die Aufforderung, persönliche Daten einzugeben oder aber auf einen Link zu klicken, der dann zum Beispiel über den Umweg einer Webseite bösartige Software auf den Rechner bringt. Phishingmails sollten am besten gar nicht erst geöffnet, sondern direkt gelöscht werden. Da es aber oft sehr schwer ist, Phishingmails von „normalen“ E-Mails zu unterscheiden, hat das Rechenzentrum im folgenden Absatz einen Kriterienkatalog zusammengestellt, der dabei helfen soll, Phishingmails zu erkennen.
Phishingmails erkennen
Gefälschte Absender-E-Mailadresse in Phishingmails
Phishingmails tarnen sich oft über die Angabe eines scheinbar vertrauenswürdigen Absenders. Leider ist es sehr einfach, sämtliche Absenderangaben in einer E-Mail zu fälschen. Das bedeutet, dass man sich als Empfänger nie sicher sein kann, von wem eine E-Mail wirklich kommt, auch wenn sie eine vertraute Absenderadresse aufweist, es sei denn, sie wurde vom Absender digital signiert. Nur E-Mails, die digital signiert wurden (siehe: Mail --> hier unter der Beschreibung der einzelnen E-Mail Programme) sind vertrauenswürdig.
Mangelhaftes Sprachniveau in Phishingmails
Phishingmails enthalten, häufig schon in der Betreff-Zeile, Wörter, die in fehlerhaftem Deutsch geschrieben sind. Oftmals sind Sonderzeichen, falsche oder fehlende Umlaute oder fremdsprachliche Textstellen enthalten. Häufig sind Phishingmails mit reichlich Rechtschreib- oder Grammatikfehlern versehen. Diese E-Mails sollten sofort gelöscht werden.
Unpersönliche Anrede in Phishingmails
Eine unpersönliche Anrede wie Sehr geehrte Damen und Herren oder Sehr geehrter Nutzer kann bereits ein Hinweis darauf sein, dass es sich um eine Phishingmail handelt. Üblicherweise wird man in einer E-Mail persönlich angesprochen, dies gilt auch für E-Mails von größeren Institutionen (Banken, Shopping-Portale …).
Auch in diesem Fall sollte man, wenn man sich nicht sicher ist, die E-Mail lieber löschen.
Bedrohlicher, erpresserischer E-Mailtext sowie Eingabeaufforderung von Passwörtern, TAN, PIN etc.
Phishingmails zeichnen sich fast immer durch manipulativen Sprachgebrauch aus. Dies soll den Empfänger verunsichern oder verängstigen und ihn verleiten, persönliche Informationen preiszugeben. Phishingmails enthalten oft Drohungen wie: Wir sperren ihr Konto, wenn Sie nicht umgehend … oder Ihre Kreditkarte wurde gehackt, teilen sie uns umgehend …. Viele Phishingmails enthalten zudem eingebundene Formularfelder, über die vertrauliche Daten erfragt werden. Diesen Aufforderungen ist auf keinen Fall Folge zu leisten.
Seriöse Institutionen versenden nie E-Mails, in denen Daten bestätigt werden müssen oder Passwörter einzugeben sind. Leider tauchen in diesem Kontext auch an der Universität immer wieder Phishingmails auf, die angeblich im Namen des Rechenzentrums versendet werden. Sie enthalten Drohungen wie Ihr E-Mail Account wurde gehackt, bitte verifizieren Sie Ihre Kennung und Ihr Passwort.
Für diese E-Mails gilt: Das Rechenzentrum versendet keine E-Mails mit Aufforderungen zur Preisgabe persönlicher Daten. Diese E-Mails sollten ebenfalls ungeöffnet gelöscht werden.
Verschleierte Links in Phishingmails
Oftmals enthalten Phishingmails verschleierte Links, die den Empfänger auf gefälschte Phishingwebseiten weiterleiten. Wurde die Webseite mit bösartiger Software (Viren, Malware, Trojaner …) versehen, lädt sich diese oft unbemerkt vom Empfänger auf den Rechner. Die bösartige Software zeichnet dann zum Beispiel Benutzereingaben auf und leitet die so gesammelten Daten zurück zum Absender der Phishingmail, der mit diesen Daten, wie zuvor beschrieben, Missbrauch treiben kann.
Vor bösartiger Software schützt am besten ein aktuelles Antiviren-Programm.
Nicht immer verbirgt sich Malware hinter den verschleierten Links. Oftmals wird das Opfer einer Phishingmail auf der verlinkten Webseite verbal genötigt, seine persönlichen Daten wie Kennungen, Passworte, TAN-Nummern preiszugeben. Man spricht von verschleierten Links, weil die angezeigten Linkadressen abweichen von den zugrundeliegenden realen Linkadressen. Die wirkliche Webadresse lässt sich einfach ermitteln, indem der Mauszeiger auf den Link positioniert wird, ohne ihn anzuklicken. Die echte Webadresse wird dann eingeblendet und der Empfänger kann sie so überprüfen. Die URLs von Phishingwebseiten enthalten oft unübliche Zusätze wie Zahlen (z. B.: http://189webmail …).
Hinweis: Auf mobilen Geräten, wie beispielsweise Smartphones oder Touchpads, lässt sich die echte Webadresse so leider nicht ermitteln.
Verschleierte Links tauchten beispielsweise auch in Phishingmails auf, die angeblich im Namen des Rechenzentrums versendet wurden. Sie enthielten die Aufforderung, der Empfänger solle seinen E-Mailaccount verifizieren. Zu diesem Zweck wurde der angezeigte Link https://webmail.uos.de angeboten. Wer diesen angeklickt hat, landete auf einer Phishingwebseite, die der Webmail-Seite des Rechenzentrums sehr ähnlich sah. Die Webadresse dieser Phishingwebseite lautete aber gänzlich anders als die vermeintlich echte, angezeigte URL des Webmaildienstes.
Es ist also immer empfehlenswert, sich die URL, also die aufgerufene Webadresse in der Adresszeile des Browsers, genau anzuschauen.
Erscheint ein Link verdächtig, weil die reale Webadresse dubios erscheint, gilt: Nicht anklicken und die E-Mail sofort löschen.
Ebenfalls verdächtig sind Links, die auf ungesicherte Webseiten verweisen. Diese sind recht leicht zu erkennen. So fehlt in der Webadresse die Angabe des verwendeten Netzwerkprotokolls https://. Nur Webadressen, die https:// verwenden, bauen über Zertifikate, deren Gültigkeit überprüfbar ist, sichere Webverbindungen auf. Phishingwebseiten haben häufig kein Sicherheitszertifikat. In der Adresszeile im Browser fehlt dann das Schlosssymbol, mit dem gesicherte Verbindungen angezeigt werden. Es ist also immer empfehlenswert, zu prüfen, ob die aufgerufene Webseite über eine https-Verbindung verfügt und ob ein gültiges Sicherheitszertifikat vorhanden ist.
Auch hier ist es am sichersten, die E-Mail zu löschen, ohne den Link zu nutzen. Falls die Webseite bereits aufgerufen wurde, sollten auf keinen Fall persönliche Daten eingegeben werden.
Weiterführende Links
Klicksafe: Checkliste: Wie erkenne ich eine Phishing-E-Mail?