Humboldt-Universität zu Berlin - Computer- und Medienservice

Humboldt-Universität zu Berlin | Computer- und Medienservice | Dienstleistungen | Kommunikation | E-Mail | Spam, Scam, Phishing und andere unerwünschte E-Mails

Spam, Scam, Phishing und andere unerwünschte E-Mails

Unerwünschte E-Mails werden oft allgemein als Spam bezeichnet, lassen sich jedoch je nach ihrer Intention in unterschiedliche Arten einteilen.

Spam bezieht sich dabei eher auf zumeist unschädliche, aber lästige Werbeinhalte verschiedenster Form.

Unter Scam versteht man E-Mails, die auf Betrug abzielen, bspw. durch Einfordern eines Lösegelds für angeblich erbeutete Daten.

Phishing soll Empfänger:innen dazu verleiten, ihre Zugangsdaten oder andere persönliche Informationen preiszugeben. Erbeutete Zugangsdaten können anschließend genutzt werden, um wiederum Schadmails zu verschicken oder auch andere Angriffe mit den neu erlangten Privilegien durchzuführen. Ein klassisches Beispiel sind E-Mails, die zur Bestätigung des eigenen Accounts auffordern, da dieser sonst gesperrt würde.

Eine trennscharfe Unterscheidung der Art von Schadmails ist nicht immer möglich. Zum Teil wird durch Identitätsdiebstahl versucht, Scam oder Phishing zu verschleiern und so für Empfänger:innen glaubhafter zu machen. Phishing-E-Mails werden zum Beispiel häufig im Namen eines mutmaßlichen IT-Supports verschickt.

Weiterhin können alle Arten unerwünschter E-Mails zusätzlich oder explizit auch zur Verbreitung von Viren und anderer Schadsoftware genutzt werden.

Die Motivation hinter unerwünschten Mails richtet sich im Allgemeinen nach ihrer Art, ist jedoch nicht immer ersichtlich. Im Falle von Phishing bieten Universitäten und andere Einrichtungen jedoch ein lohnendes Ziel, da mit erbeuteten Accounts die bestehende und zumeist gute Reputation und Internetanbindung ausgenutzt werden können.

Möglichkeiten zur Erkennung unerwünschter Mails

Spear Phishing und Social Engineering

Gegenmaßnahmen des CMS

Gegenmaßnahmen für Nutzer:innen

Vorgehen bei Preisgabe von Zugangsdaten

Folgen erfolgreicher Phishing-Angriffe

Ausnahmen von Filterregeln

Weiterführende Links

Wie erkennt man Phishing, Scam und andere gefährliche E-Mails?

Schadmails lassen sich anhand verschiedener Anhaltspunkte entlarven. Dazu zählen:

  • Absender, Empfänger, Antwort-Adresse bzw. Reply-To
  • Betreff
  • Inhalt
  • Links
  • Sprache und Ausdrucksweise
  • Erwartungshaltung
  • Kryptografische Signaturen

Es gibt zahlreiche Szenarien, in denen eine legitime Mail ein oder sogar mehrere der im Folgenden genannten Kriterien erfüllt, diese sollten daher jeweils nicht als alleinstehend gültige Kriterien angesehen werden. Vielmehr gilt es, anhand verschiedener Anhaltspunkte das "richtige" Bild zusammenzusetzen und so die Legitimität einer E-Mail einzuschätzen.

Im Zweifel können Sie sich bei Mails, die Sie an Ihren HU-Account erhalten haben, immer an die Benutzerberatung des CMS wenden. Schicken Sie dazu die fragliche E-Mail als Anhang mit bzw. leiten diese als Anhang weiter.

Absender, Empfänger, Reply-To 🖉

Wie in der Einführung zu E-Mail an der HU beschrieben, hat jede E-Mail zwei Absender: Den Absender, der auf dem Kommunikationsweg genutzt wird (Envelope From bzw. Envelope Sender), sowie Name und E-Mail-Adresse, wie sie vom E-Mail-Client angezeigt werden (From bzw. Absender).

Für HU-Absender sind From und Envelope From in den meisten Fällen identisch und enden auf @hu-berlin.de oder @sub.hu-berlin.de mit sub als einer an der HU üblichen Subdomain. Bei an der HU betriebenen Mailinglisten wird als Envelope From abweichend ein für die Mailingliste spezifisches Envelope From genutzt.

Mögliche Anzeichen für Schadmails:

  • From und Envelope From stimmen nicht überein
  • Name und E-Mail-Adresse (bzw. Envelope From) des Absenders passen nicht zusammen
  • Envelope From ist leer
  • From und Envelope From nutzen unterschiedliche Domains/E-Mail-Anbieter
  • die E-Mail ist nicht an Sie adressiert
  • es ist ein Reply-To gesetzt, das keinen Bezug zum Kontext der E-Mail hat
  • Sie haben keinen Bezug zu Absender, Empfänger oder Reply-To
  • sehr große Anzahl von Empfängern
  • als Absender ist Ihre eigene E-Mail-Adresse aufgeführt
Betreff 🖉

In vielen Fällen kann man Schadmails bereits am Betreff erkennen. Mögliche Anzeichen sind

  • nicht aussagekräftige Betreffzeilen, wie z.B. "Update" oder "Information" ohne weiteren Kontext
  • Anrede im Betreff
  • Mails ohne Betreff bzw. nur ein "Re:" oder "Fwd:"
  • Ausdruck von Dringlichkeit
  • Emoji im Betreff
Inhalt 🖉

Wie eingangs beschrieben, versuchen Schadmails verschiedenste Szenarien vorzutäuschen, um ihre Empfänger zur Preisgabe von Zugangsdaten zu verleiten oder in anderer Weise auf Mails einzugehen. Der Inhalt bzw. die Absicht einer fraglichen Mail sollte immer zusammen mit der verwendeten Sprache gesehen und Ihrer Erwartungshaltung gegenübergestellt werden.

Beispiele für Phishing sind:

  • Speicherplatz bzw. Quota für den eigenen Mail-Account sind erschöpft
  • die E-Mail-Adresse oder der Account müssen verbessert werden oder benötigen ein Update/Upgrade
  • der Account muss "bestätigt" werden, um weiterhin genutzt werden zu können
  • es wird ein neues oder anderes System eingeführt oder "das System" wird aktualisiert
  • neue Sicherheitsverfahren werden eingeführt
  • es wurden "ungewöhnliche Aktivitäten" festgestellt
  • Mails werden zurückgehalten

Beispiele für Scam sind:

  • Ihr Gerät wurde angeblich gehackt
  • Sie haben eine ausstehende Zahlung
  • Fragen nach Verfügbarkeit durch Ihre:n vermeintliche:n Vorgesetzte:n
  • "Spenden" aus ominösen Quellen wie Hinterlassenschaften, Lotterien, oder andere Wohltätigkeitsspenden
  • zurückgehaltene oder nicht zugestellte Pakete
  • vermeintliche Antworten auf Mails, die Sie nie geschickt haben
  • Warnungen zu Themen, die nicht in Ihrer Verantwortung liegen
Links auf unbekannte Webseiten 🖉

Insbesondere Phishing-Mails enthalten üblicherweise Links auf Webseiten, die Ihre Zugangsdaten abfragen. Dort befindet sich dann eine mehr oder weniger gut gefälschte Login-Maske für z.B. eine Webmail-Anwendung oder gar eine Abfrage ohne jegliche Informationen. Sollten diese nicht sofort auffallen, können Sie prüfen, wo sich diese Webseite befindet.

Links bzw. URLs haben ein festes Schema. Am weitesten verbreitet ist die Form http://host/pfad bzw. https://host/pfad.

"host" bezeichnet dabei, auf welchem Server eine Webseite zu suchen ist. "pfad" beschreibt, wo auf diesem Server sich die zu öffnende Webseite befindet.

"host" besteht dabei ausschließlich aus Buchstaben, Ziffern, Minus-Zeichen und Punkten. Schrägstriche ('/') sind keine gültigen Zeichen für Hostnamen, d.h., der erste Schrägstrich hinter dem Hostnamen bildet das Trennzeichen zwischen Host und Pfad. Im Pfad sind auch weitere Sonderzeichen sowie Schrägstriche erlaubt. Weiterhin folgen Hostnamen der hierarchischen Struktur des Domain Name System (DNS). Der Punkt bildet hierbei das Trennzeichen zwischen den einzelnen Ebenen in dieser Hierarchie. Die Ebenen wiederum sind von spezifisch nach allgemein sortiert. Ganz links im Hostnamen steht die tiefste bzw. spezifischste Ebene. Die allgemeinste Ebene steht ganz rechts und damit vor dem ersten Schrägstrich bzw. dem Beginn des Pfades.

An der HU verwenden wir die Domain hu-berlin.de, die an der HU verwendeten Subdomains und Hostnamen enden also auf hu-berlin.de. Die HU wird Sie niemals auffordern, Ihre Zugangsdaten auf einer Webseite außerhalb von hu-berlin.de einzugeben oder Ihre Zugangsdaten anderweitig preiszugeben!

Beispiel für eine korrekte URL:

  • https://webmail.cms.hu-berlin.de/roundcubemail/

Beispiele für falsche bzw. Phishing-URLs:

  • https://webmail-cms-hu-berlin.de/roundcubemail/
  • https://webmail.cms-hu-berlin.de/roundcubemail/
  • https://webmail.cms.hu-berlin.de.example.com/roundcubemail/
  • https://example.com/webmail.cms.hu-berlin.de/roundcubemail/

In HTML-E-Mails kann es sein, dass fragwürdige URLs "getarnt" werden, indem eine andere URL angezeigt wird. In den meisten E-Mail-Clients und Webbrowsern bekommen Sie die tatsächliche URL angezeigt, wenn Sie mit der Maus über den entsprechenden Link fahren. Zusätzlich heben aktuelle Webbrowser die Domain in der Adresszeile hervor, sodass Sie diese besser erkennen können.

Sprache/Ausdrucksweise 🖉

Schadmails fallen häufig durch schlechte Sprache oder auch ungewöhnliche Ausdrucksweisen auf. Zum Teil werden diese auch in für offizielle Mails an der HU nicht üblichen Fremdsprachen verfasst.

Insbesondere Scam und Phishing versuchen oft, einen gezielten Handlungsdruck aufzubauen. Dies äußert sich einerseits durch die Formulierung von Mails, sowie durch sehr knappe Fristen von meist nur wenigen Tagen. Diese Dringlichkeit geht mit der Androhung kurzfristiger Konsequenzen einher und soll zu unüberlegtem Handeln ermutigen.

Weitere Anzeichen sind:

  • unkonkrete oder nebulös gehaltene Formulierungen
  • fehlende oder kaputte Umlaute
  • für die verwendete Sprache nicht übliche Sonderzeichen
  • inkonsistente Formatierung
  • unüberlegt wirkendes Gesamtbild einer vermeintlich offiziellen Mail
Erwartungshaltung: Erwarten Sie eine solche E-Mail? 🖉

Eines der wichtigsten Kriterien zur Identifizierung von Schadmails ist die Frage, ob Sie diese überhaupt bekommen sollten, wenn sie denn legitim wäre.

Typische Szenarien für Mails, die Sie nicht bekommen sollten:

  • Benachrichtigungen zu Diensten bzw. Software, die wir an der HU nicht einsetzen bzw. anbieten
  • Benachrichtigungen, dass Ihr Postfach das Quota überschritten hat
  • Benachrichtigungen über "zurückgehaltene" E-Mails bzw. E-Mails in Quarantäne
  • Benachrichtigungen über abgelaufene oder "ausstehende" Domains
  • Benachrichtigungen über ausstehende Zahlungen
  • Benachrichtigungen über "zurückgehaltene" Pakete
  • E-Mails von Diensteanbietern (z.B. Banken), bei denen Sie kein Kunde sind
  • E-Mails von Diensteanbietern an Ihren HU-Account, obwohl Sie dort mit ihrer privaten E-Mail-Adresse registriert sind
Kryptografische Signaturen 🖉

Hat ein Absender eine E-Mail signiert, so können Sie anhand einer korrekten Signatur sowohl die Authentizität wie auch die Integrität dieser E-Mail verifizieren. Genauere Informationen dazu finden Sie in der FAQ der HU-PKI.

Spear Phishing und Social Engineering

Die meisten Phishing-Angriffe sind eher allgemein gehalten und an einen unbestimmten Personenkreis gerichtet. Spear Phishing ist gezielt auf bestimmte Empfänger:innen zugeschnitten und greift auf spezifischere Informationen zurück, um den Eindruck eines legitimen Anliegens zu verstärken.

Social Engineering bezeichnet manipulatives Verhalten mit dem Ziel, vertrauliche Informationen zu erlangen oder eine Person zu bestimmten Handlungen zu überreden. Letzteres kann ebenfalls die Herausgabe vertraulicher Informationen sein oder auch das Erteilen von Berechtigungen, über die Angreifer sonst nicht verfügen.

Beides ist u.U. nicht unmittelbar zu erkennen, sondern fällt ggf. erst auf, wenn ein Angreifer sein Ziel bereits erreicht hat. Spear Phishing und Social Engineering sind daher schwer durch technische Maßnahmen zu erkennen bzw. zu verhindern.

Gegenmaßnahmen des CMS

Als Teil des Mailbetriebs an der HU sind verschiedene Maßnahmen gegen unerwünschte E-Mails implementiert, darunter

  • konventionelle Blocklisten
  • Reputationsdatenbanken
  • Virenfilter
  • Spam-Erkennung und -Einstufung
  • Filterung auf bekannte Phishing-Kampagnen

Je nach Einstufung werden eingehende E-Mails dabei von uns

  • bereits vor der Annahme auf dem Server abgelehnt
  • verworfen und eine Warnung über gefundene Schadsoftware an die Zieladresse geschickt
  • als Anhang einer Phishing-Warnung zugestellt
  • als Spam markiert und zugestellt

Als unbedenklich eingestufte Nachrichten werden ebenfalls zugestellt.

Blocklisten und Reputationsdatenbanken 🖉

Bei jedem Verbindungsaufbau eines externen Mailservers zur HU wird die IP-Adresse des sich verbindenden Servers geprüft. Wird die Adresse auf einer der eingesetzten Blocklisten geführt, wird die Verbindung abgelehnt, noch bevor Absender und Empfänger einer eventuell zu verschickenden Nachricht bekannt sind. Ist die Reputation eines Servers zu schlecht, wird der Verbindungsaufbau ebenfalls abgelehnt. In beiden Fällen schickt der Mailserver der Gegenseite eine Delivery Status Notification (die genaue Bezeichnung hängt vom Mailserver ab) an den Absender, die diesen über den Grund der Nichtzustellung informiert.

Hat der einliefernde Mailserver eine schlechte -- aber nicht zu schlechte -- Reputation, wird das angenommene Mailvolumen limitiert. Bei Überschreiten des Limits werden weitere Verbindungen temporär abgelehnt, d.h., die Zustellung kann zu einem späteren Zeitpunkt erneut versucht werden.

Analog werden auch die IP-Adressen der HU-Mailserver geprüft, wenn eine E-Mail aus der HU an einen externen Anbieter verschickt wird. Sollte also die HU auf einer Blockliste eingetragen werden oder eine schlechte Reputation zugewiesen bekommen, wird die Kommunikation mit anderen Einrichtungen deutlich erschwert.

Blocklisten wie auch Reputationdatenbanken werden dynamisch verwaltet, sodass sich ihre Inhalte stets ändern. Es kann also passieren, dass der Mailverkehr mit einer anderen Einrichtung kurzfristig zum Erliegen kommt. Üblicherweise hält dies jedoch nur wenige Tage an.

Virenfilter 🖉

Der Virenfilter der HU unterscheidet zwischen E-Mails, die von außerhalb an die HU versandt werden und solchen, die durch die Nutzer:innen an der HU verschickt werden.

Wird in einer von außen eingehenden Mail Schadsoftware erkannt, wird die E-Mail verworfen (d.h. nicht zugestellt) und es wird eine Nachricht an die Zieladresse generiert, die über die gefundene Schadsoftware und die damit verbundene Nichtzustellung informiert. Da Absenderadressen häufig gefälscht werden, erfolgt hier keine Information.

Wird in einer aus der HU verschickten Mail Schadsoftware erkannt, wird die E-Mail ebenfalls verworfen, jedoch der Absender darüber informiert.

Spamfilter 🖉
E-Mails, die nicht bereits vorher aufgehalten wurden, durchlaufen den Spamfilter. Wird eine E-Mail als Spam klassifiziert, wird eine zusätzliche Kopfzeile "X-Spam-Flag: YES" eingefügt. Mit einem Spam-Flag markierte Nachrichten können automatisch in einen separaten Ordner Ihrer Mailbox sortiert werden.
Da eine eindeutige Unterscheidung zwischen Spam und legitimen und erwünschten Mails nicht immer möglich ist, kann es passieren, dass E-Mails fälschlicherweise als Spam klassifiziert werden.
Phishing-Filter 🖉

Zusätzlich zum Spamfilter werden E-Mails auf Basis verschiedener Kriterien auf bekannte Phishing-Kampagnen und -Muster überprüft. Dies inkludiert insbesondere auch bekannte Absender und Betreffzeilen. Als Phishing eingestufte E-Mails werden in Form einer Warnmail an Empfänger zugestellt. Die eigentliche Mail wird dabei als Anhang an die Warnung mitgeschickt.

Wird eine aus der HU verschickte Nachricht als Phishing eingestuft, so erfolgt eine Warnung an den Absender, die Mail selbst wird jedoch nicht weiter verarbeitet.

Da Phishing-Mails versuchen, legitime Mails zu imitieren, passiert es auch, dass eigentlich legitime Mails als Phishing markiert werden. Je nach Absender und Kontext haben wir nicht immer eine sinnvolle Möglichkeit, echte E-Mails von Phishing-Mails zu unterscheiden.

Neben der Filterung von E-Mails blockieren wir innerhalb des HU-Netzes den Aufruf von für Phishing genutzten Webseiten. Stattdessen erfolgt eine Umleitung auf eine Warnseite.

Gegenmaßnahmen für Nutzer:innen

Auch als Nutzer:in können Sie aktiv werden, um sich selbst und auch alle anderen Angehörigen der HU vor unerwünschten Mails zu schützen.

Der erste und einfachste Schritt ist die Aktivierung des automatischen Spamfilters. Dieser bewirkt, dass bereits als Spam markierte E-Mails automatisch in den Ordner AutoCleanSpam zugestellt werden. Sie sollten diesen Ordner dennoch regelmäßig prüfen, um u.U. falsch einsortierte Mails nicht zu übersehen.

Die wichtigste Maßnahme für Sie als Nutzer:in ist das aufmerksame Lesen von E-Mails anhand der zuvor genannten Kriterien. Sollten Sie sich einmal nicht sicher sein, können Sie immer Kontakt zur Benutzerberatung des CMS aufnehmen.

Gleiches gilt auch, wenn Sie Spam oder Phishing erhalten. Leiten Sie uns gerne die betreffenden Nachrichten weiter und wir versuchen, unsere Filtermaßnahmen zu verbessern. Wie bei der Erkennung gibt es jedoch leider auch hier keine Garantie, dass zukünftige ähnliche Mails ausbleiben, da auch die Absender unerwünschter Mails ihre Kampagnen stetig weiterentwickeln.

Wenn Sie per E-Mail zur Preisgabe Ihres Accounts und des Passwortes und möglicherweise weiterer persönlicher Daten aufgefordert werden, dann ignorieren Sie diese Aufforderung!

Sind Sie unsicher, nehmen Sie Kontakt zu unserer Benutzerberatung auf. Bestärken Sie bitte auch Personen in Ihrem Umfeld in dieser Auffassung!

Der einzige Grund für eine persönliche E-Mail ähnlichen Inhalts vom CMS an Sie ist der Hinweis zum zeitlichen Ablauf der Gültigkeit Ihres Passwortes. Da Ihr Passwort stets ein Jahr lang gültig ist, können Sie den zu erwartenden Termin immer Anhand Ihrer letzten Passwort-Änderung abschätzen. Sie erhalten diese Aufforderung vier Wochen vor dem Ablaufdatum und zusätzlich eine Woche vor dem Termin. Wir fordern Sie in dieser E-Mail nicht dazu auf, uns Ihr Passwort zu schicken. Weiterhin enthalten diese E-Mails keinen direkten Link auf das Formular zur Passwort-Änderung.

Die Gültigkeit des Passworts kann auch über die Accountinfo eingesehen werden.

Sollten Sie dieser echten Aufforderung einmal nicht nachkommen, geht Ihnen nichts verloren: Ihre Daten werden nicht gelöscht und auch E-Mails werden weiterhin zugestellt. Sie können mit uns (Benutzerberatung) weiterhin in Verbindung treten und den Account wieder aktivieren lassen.

Vorgehen bei Preisgabe von Zugangsdaten

Auf Phishing- oder andere Schadmails "hereinzufallen" kann verschiedenste Gründe haben. Insbesondere auch in stressigen Situationen können solche E-Mails schwer zu erkennen sein.

Sollten Sie einmal in diese Situation geraten, denken Sie immer daran: Jeder macht Fehler und Sie müssen sich damit nicht verstecken. Sollten Sie feststellen, dass Sie die Zugangsdaten Ihres HU-Accounts auf einer Phishing-Webseite eingetragen oder anderweitig geteilt haben, ändern Sie bitte umgehend Ihr Passwort! Kommen Sie außerdem gerne auf uns (Benutzerberatung) zu und wir unterstützen Sie beim weiteren Vorgehen und geben Ihnen Hinweise zum Umgang mit zukünftigen Phishing-Versuchen mit.

Folgen erfolgreicher Phishing-Angriffe

Ein einziger preisgegebener Account nebst Passwort ist ausreichend, um binnen weniger Minuten eine neue Phishing- oder Spam-Welle zu starten. Die Folge ist eine Störung des E-Mail-Verkehrs für die gesamte Universität. Im schlimmsten Fall kann sich diese über viele Tage ziehen, weil sich die Reputation unserer Server, über die die E-Mails verschickt werden, signifikant verschlechtert. Legitime und zuvor problemlos versendete E-Mails sind dann nicht mehr zustellbar, sodass die Kommunikation mit anderen Einrichtungen und Institutionen erheblich erschwert wird.

Als Nebeneffekt haben Phisher mit einem übernommenen Account und dem Passwort Zugriff auf die komplette Mailbox, alle mit dem Account verknüpften Daten, sowie Zugang zu Portalen, wie z.B. Agnes oder Moodle, u.U. aber auch universitätsfremden, privat genutzten Portalen. In den meisten Fällen bedeutet dies auch eine unerlaubte Weitergabe personenbezogener Informationen und damit einen Datenschutzverstoß.

Ausnahmen von Filterregeln

Grundsätzlich ist es möglich, Ausnahmen von Filterregeln zu definieren, wir versuchen jedoch, deren Umfang möglichst gering zu halten.

Eine definierte Filterregel dient immer dazu, alle Angehörigen der HU vor unerwünschten Mails zu schützen. Ausnahmen davon beziehen sich in der Regel nur auf einen oder wenige Absender und Empfänger und sind damit im Vergleich unverhältnismäßig. In den meisten Fällen falsch erkannter Spam- oder Phishing-Mails sind auch nur einzelne E-Mails oder ein bestimmter Verlauf betroffen und nicht "der Absender".

Kriterien für Ausnahmen sind z.B.:

  • es sind viele Empfänger betroffen
  • die fehlerhafte Klassifikation lässt sich reproduzieren
  • es gibt ein sinnvolles Muster für Ausnahmen

Da E-Mail-Absender leicht gefälscht werden können, erteilen wir im Normalfall keine Freigaben für einzelne Adressen.

Weiterführende Links