Phishing und Schadsoftware – geschickte Fälschungen
Neben den bekannten Versuchen, Ihnen den HU-Account nebst Passwort zu entlocken, stellen wir eine zunehmende Anzahl von E-Mails fest, die Sie mit Fragen zu einer Rechnung oder Bestellung zum unüberlegten Öffnen von Anhängen oder Links verleiten sollen. Im Ergebnis würden Sie Schadsoftware auf Ihren Rechner laden.
Wir möchte Ihnen an zwei Beispielen die Problematik verdeutlichen und Hinweise geben, worauf Sie beim Betrachten einer E-Mail achten sollten, um solche trügerischen E-Mails leichter erkennen zu können.
Phishing
Das Ziel besteht darin, Ihnen den HU-Account nebst zugehörigem Passwort zu entlocken. Es wird entweder eine Antwort mit diesen Angaben abgefragt:
Email:
Benutzername:
Passwort:
Bestätige das Passwort:
oder ein Link angeboten, der auf eine Webseite mit dieser Abfrage führt. Diese ist etwas aufwendiger gestaltet und oft mit typischen Bestandteilen unserer HU-Webseiten verziert (u. a. HU-Logo).
Die Begründungen, mit der Sie zum Handeln aufgefordert werden, sind vielfältig:
- Die Mailbox ist fast voll oder überfüllt (Quota, Postfach-Kontingent).
- Die Benutzerdatenbank wurde aktualisiert oder gewartet.
- Das Mail-System wird aktualisiert.
- Eine Fremdbenutzung wurde festgestellt.
- Das E-Mail-Konto wird umgestellt.
- Das E-Mail-Konto wird geblockt.
- Der Mailserver muss wegen eines Virenangriffs einer Sicherheitsaktualisierung unterzogen werden.
Es werden vermeintliche Gründe angeführt, mit denen Ihnen die Notwendigkeit des sofortigen Handelns unter Drohung des Verlustes von E-Mails oder des E-Mail-Dienstes nahegelegt wird.
Das ist alles gelogen!
- Wir begrenzen das Datenvolumen Ihrer E-Mail-Box nicht.
- Wir drohen nicht mit dem Verlust Ihrer E-Mails.
- Wenn wir Wartungsarbeiten an unseren Mail-Servern durchführen, dann informieren wir Sie vorher auf der Störungsseite des CMS.
- Bei unerwarteten Störungen informieren wir Sie ebenfalls über unsere Störungsseite.
Wir bitten Sie lediglich darum, regelmäßig Ihr Passwort zu ändern. Dafür lassen wir Ihnen ausreichend Zeit und senden Ihnen bei Bedarf noch eine E-Mail zur Erinnerung. Selbst wenn Sie das verpassen, werden Ihnen E-Mails weiterhin zugestellt. Wir senden Ihnen auch keinen Link zu einer Webseite, sondern verweisen auf den A-Z-Index auf der CMS-Webseite. Wir fordern Sie niemals auf, Accounts und Passwörter zu nennen oder per E-Mail zu senden. In einer Phishing-E-Mail wird aber genau das von Ihnen verlangt!
Auf welche Indizien können Sie noch achten?
Untersuchen Sie den Absender. Dieser wird innerhalb der spitzen Klammern <…> angezeigt, die Angaben davor haben informativen Charakter und sollen Sie in Sicherheit wiegen, eine E-Mail von uns erhalten zu haben, z. B.:
- webmaster@cms.hu-berlin.de <maria.toth@forsterkozpont.hu>
- Technical Support Team <info@alert.com>
- Webmaster Computer- und Medienservice - Humboldt-Universität zu Berlin <emailvalidation.helpdesk01@gmail.com>
Keiner dieser Absender stammt von uns.
Wenn Sie aufgefordert werden, einem Link zu folgen, dann lassen Sie sich durch den auch hier angezeigten „Kommentar“ nicht irritieren. Fahren Sie mit dem Mauszeiger über den Link, um das tatsächliche Ziel erkennen zu können.
Gefälschte Rechnungs-E-Mails
Wir beobachten eine Zunahme dieser Art von E-Mails, deren Ziel die Installation von Schadsoftware ist. Dazu müssten Sie wieder lediglich dem Link folgen.
Zum Aufbau dieser Rechnungs-E-Mails:
Im Absender wird wieder mit Hilfe des Kommentars eine seriöse E-Mail-Adresse oder ein Firmenname genannt. Der „echte“ Absender in den spitzen Klammern passt meistens nicht dazu.
Von: vorname.nachname@hu-berlin.de <thuerling@effkm.de>
Leider zeigen nicht alle E-Mail-Programme sofort den tatsächlichen Absender an, sodass man dem „Kommentar“ vertraut.
An: mein.name@hu-berlin.de
Im Betreff wird eine fiktive Rechnungsnummer genannt und mit „AW“ oder „Re“ die Beantwortung einer E-Mail von Ihnen vorgetäuscht:
Betreff: AW: Rechnung 10/2017 1535809
Im Text wird formal auf eine Bestellung Bezug genommen oder über ein Problem mit der Rechnung informiert:
Guten Abend,
vielen Dank für Ihre Bestellung! Im Anhang dieser E-Mail finden Sie
Ihre Rechnung im DOC-Format.
http://sikakuweb.com/Dokumente/
Viele Grüße
vorname.nachname@hu-berlin.de
Neben der Verbindung, die zwischen Absender und Empfänger suggeriert wird oder auch tatsächlich bestehen kann, ist der Link der entscheidende Punkt. Praktisch könnte die Rechnung gleich als Anhang mitgeschickt werden, doch dann müsste sie den Virenscanner unerkannt passieren. Darum wird die Schadsoftware extern per Link zum Herunterladen bereitgestellt, weil die Erfolgsaussicht hierdurch verbessert werden könnten.
Fazit
Es geht immer lediglich darum, persönliche Daten auszuspähen. Account und Passwort werden verwendet, um unter Benutzung Ihres Absenders Phishing- und Spam-E-Mails zu versenden. Das hat in der Regel eine Beeinträchtigung des gesamten E-Mail-Verkehrs der Universität zur Folge, weil wir als „spammende Einrichtung“ von anderen E-Mail-Dienstleistern blockiert werden und unsere E-Mails nicht mehr versenden können.
Mit dem Account lassen sich zudem Ressourcen der Universität unberechtigt nutzen, Daten abgreifen, zerstören oder verschlüsseln. Auch Schadsoftware kann so zusätzlich installiert werden.
In unklaren Situationen wenden Sie Sich bitte an Ihren DV-Administrator vor Ort oder nehmen Sie zu unserer Benutzerberatung Kontakt auf.