Phishing

Eine typische Phishing-Mail
Eine typische Phishing-Mail. Der blaue Link führt auf eine Seite außerhalb der Universität; dort wird nach Benutzername und Passwort gefragt.

 

Als Phishing (aus dem Englischen als Homophon von "fishing") bezeichnet man Methoden, die digitale Identität (also meist Nutzername + Passwort) eines Benutzers auszusphähen, um sich dann als dieser Nutzer ausgeben zu können (Identitätsdiebstahl).

In einigen Fällen wird auch klassischer Betrug versucht: Es werden dann zum Beispiel angebliche Rechnungen verschickt, die ungeprüft gezahlt werden sollen, oder es erfolgt eine Auszahlungsanordnung mit der E-Mail-Adresse des Chefs.

Im Falle von Mitarbeiter-Konten der Universität erlaubt ein erfolgreiches Phishing Zugriff auf die Resourcen der Universität, z.B. Rechenleistung aber vor allem die Vertrauensstellung der Universität gegenüber Dritten. Alle Universitätsnutzer können zum Beispiel über die Systeme des Rechenzentrums E-Mails versenden, ohne dass an der E-Mail unmittelbar erkennbar wird, dass die Nachricht nicht vom Besitzer der E-Mail-Adresse verfasst wurde.

Typische Phishing-Nachrichten

In den meisten Fällen wird eine Phishing-Nachricht als wichtige Information mit dringender Handlungsaufforderung formuliert. In einigen Fällen sind die Nachrichten relativ gut nachgemacht, teilweise sogar mit dem offiziellen Logo der CAU. Üblich sind zum Beispiel Hinweise auf Erreichen einer Speicherbegrenzung ("Webmail-Quote", etc. pp.) mit unmittelbar bevorsteher Sperrung der Zugangskennung, die nur durch Anmeldung auf einer bestimmten Webseite abgewendet werden kann (Das RZ sperrt keine Nutzerzugänge wegen Speicherüberschreitungen). Alternativ wird auch nur auf eine bevorstehende Sperrung hingewiesen, die nur durch Anmeldung auf einer bestimmte Seite aufgehoben werden kann.

Nachdem einige dieser Nachrichten in ähnlicher Form auch tatsächlich legitime Inhalte haben können (früher: "AD-Passwort läuft aus", "Postfach-Beschränkung auf dem Exchange-Server überschritten"), ist es wichtig, Phishing-Nachrichten von echten Nachrichten zu unterscheiden. Es gibt dabür meist eindeutige Hinweise (so lässt sich z.B. die Meldung zur Überschreitung der Speicherkapazität auf dem Exchange-Server nicht einfach löschen).

Allgemeines zur Phishing-Prävention
 

  • Achten Sie genau auf den Absender einer Nachricht. Vergessen Sie aber nicht, dass Absender bei Spam- und Phishing-Mails regelmäßig gefälscht werden.
     
  • Überprüfen Sie bei E-Mails immer die Anhänge bevor Sie selbige öffnen. Öffnen Sie keine Dokumente aus fragwürdigen Quellen ohne vorherige Überprüfung. Fragen Sie im Zweifelsfall beim Absender nach.
     
  • Überprüfen Sie Links aus E-Mails immer bevor Sie den Link aufrufen. Klicken Sie insbesondere nicht einfach auf Links in E-Mails ohne vorherige Überprüfung des Linkziels. Bitte  beachten Sie, dass der angezeigte Text sich von dem tatsächlichen aufgerufenen Link unterscheiden kann!
     
  • Geben Sie das Passwort für Ihr Universitäts-Konto nicht auf Webseiten außerhalb der Universität an. Überprüfen Sie vor Eingabe von Nutzername und Passwort immer die Identität der Webseite und stellen Sie sicher, dass die Verbindung verschlüsselt erfolgt.

 

Weitere Informationen

Echtheit von Nachrichten

Bei Phishing- und Spam-E-Mails werden E-Mail-Adressen regelmäßig gefälscht. Eine beliebte Methode ist es, im Absendernamen eine Universitäts-E-Mail-Adresse anzugeben (vorzugsweise aus der Verwaltung oder des Rechenzentrums), während der tatsächliche Absender (in spitzen Klammern dahinter) eine ganz andere Mailadresse ist.

Im Webmailer Roundcube erscheint der echte Absender z.B. auch nur in der Vollansicht, nicht in der Listenansicht:

Zwei Studenten und eine Tasse Kaffee

Uns erreichen regelmäßig Anrufe, dass Post von Universitäts-E-Mail-Adressen verschickt wurde, teilweise sogar an Kollegen. In fast allen Fällen handelt es sich dabei um gefälschte Nachrichten, in einigen seltenen Fällen um "gehackte" Nutzerzugänge und/oder Virenbefall eines Arbeitsrechners. In den meisten Fällen sind die Fälschungen bei genauerer Betrachtung relativ schnell zu identifizieren.

Signierte E-Mails


Das Rechenzentrum verwendet wo auch immer möglich digital unterschriebene Nachrichten. Die Gültigkeit der Unterschrift wird von den Mailprogrammen geprüft und angezeigt (Wie erkenne ich signierte EMails?).

  • Roundcube:
    Digitale Signatur Roundcube
  • Thunderbird:
    Digitale Signatur Thunderbird
  • Microsoft Outlook:
    Digitale Signatur Outlook
Die CAU betreibt über das Deutsche Forschungsnetz (DFN) eine eigene Zertifizierungsstelle. Sie haben die Möglichkeit, ein persönliches Zertifikat zu beantragen und können dann auch selbst digital signierte Mails verschicken. Näheres findet sich auf den Seiten der Zertifizierungsstelle der CAU.

Anhänge

Die Verbreitung von Schadsoftware (Malware; Viren, Trojaner, etc.) erfolgt häufig über E-Mail-Anhänge. E-Mails werden zwar bei Durchleitung (Eingang und Ausgang) auf den Servern des Rechenzentrums auf Viren geprüft, die Virenprüfung greift aber nur gegen bekannte Schadsoftware. Prüfen Sie also vor dem Öffnen eines Anhangs genau die Legitimität der E-Mail.

Links