Humboldt-Universität zu Berlin - Computer- und Medienservice

Humboldt-Universität zu Berlin | Computer- und Medienservice | Dienstleistungen | Kommunikation | E-Mail | Spam, Scam, Phishing und andere unerwünschte E-Mails

Spam, Scam, Phishing und andere unerwünschte E-Mails

Unerwünschte E-Mails werden oft allgemein als Spam bezeichnet, lassen sich jedoch je nach ihrer Intention in unterschiedliche Arten einteilen.

Spam bezieht sich dabei eher auf zumeist unschädliche, aber lästige Werbeinhalte verschiedenster Form.

Unter Scam versteht man E-Mails, die auf Betrug abzielen, bspw. durch Einfordern eines Lösegelds für angeblich erbeutete Daten.

Phishing soll Empfänger:innen dazu verleiten, ihre Zugangsdaten oder andere persönliche Informationen preiszugeben. Erbeutete Zugangsdaten können anschließend genutzt werden, um wiederum Schadmails zu verschicken oder auch andere Angriffe mit den neu erlangten Privilegien durchzuführen. Ein klassisches Beispiel sind E-Mails, die zur Bestätigung des eigenen Accounts auffordern, da dieser sonst gesperrt würde.

Eine trennscharfe Unterscheidung der Art von Schadmails ist nicht immer möglich. Zum Teil wird durch Identitätsdiebstahl versucht, Scam oder Phishing zu verschleiern und so für Empfänger:innen glaubhafter zu machen. Phishing-E-Mails werden zum Beispiel häufig im Namen eines mutmaßlichen IT-Supports verschickt.

Weiterhin können alle Arten unerwünschter E-Mails zusätzlich oder explizit auch zur Verbreitung von Viren und anderer Schadsoftware genutzt werden.

Die Motivation hinter unerwünschten Mails richtet sich im Allgemeinen nach ihrer Art, ist jedoch nicht immer ersichtlich. Im Falle von Phishing bieten Universitäten und andere Einrichtungen jedoch ein lohnendes Ziel, da mit erbeuteten Accounts die bestehende und zumeist gute Reputation und Internetanbindung ausgenutzt werden können.

Möglichkeiten zur Erkennung unerwünschter Mails

Spear Phishing und Social Engineering

Gegenmaßnahmen des CMS

Gegenmaßnahmen für Nutzer:innen

Vorgehen bei Preisgabe von Zugangsdaten

Folgen erfolgreicher Phishing-Angriffe

Ausnahmen von Filterregeln

Weiterführende Links

Wie erkennt man Phishing, Scam und andere gefährliche E-Mails?

Schadmails lassen sich anhand verschiedener Anhaltspunkte entlarven. Dazu zählen:

  • Absender, Empfänger, Antwort-Adresse bzw. Reply-To
  • Betreff
  • Inhalt
  • Links
  • Sprache und Ausdrucksweise
  • Erwartungshaltung
  • Kryptografische Signaturen

Es gibt zahlreiche Szenarien, in denen eine legitime Mail ein oder sogar mehrere der im Folgenden genannten Kriterien erfüllt, diese sollten daher jeweils nicht als alleinstehend gültige Kriterien angesehen werden. Vielmehr gilt es, anhand verschiedener Anhaltspunkte das "richtige" Bild zusammenzusetzen und so die Legitimität einer E-Mail einzuschätzen.

Im Zweifel können Sie sich bei Mails, die Sie an Ihren HU-Account erhalten haben, immer an die Benutzerberatung des CMS wenden. Schicken Sie dazu die fragliche E-Mail als Anhang mit bzw. leiten diese als Anhang weiter.

Absender, Empfänger, Reply-To 🖉
Betreff 🖉
Inhalt 🖉
Links auf unbekannte Webseiten 🖉
Sprache/Ausdrucksweise 🖉
Erwartungshaltung: Erwarten Sie eine solche E-Mail? 🖉
Kryptografische Signaturen 🖉
Spear Phishing und Social Engineering

Die meisten Phishing-Angriffe sind eher allgemein gehalten und an einen unbestimmten Personenkreis gerichtet. Spear Phishing ist gezielt auf bestimmte Empfänger:innen zugeschnitten und greift auf spezifischere Informationen zurück, um den Eindruck eines legitimen Anliegens zu verstärken.

Social Engineering bezeichnet manipulatives Verhalten mit dem Ziel, vertrauliche Informationen zu erlangen oder eine Person zu bestimmten Handlungen zu überreden. Letzteres kann ebenfalls die Herausgabe vertraulicher Informationen sein oder auch das Erteilen von Berechtigungen, über die Angreifer sonst nicht verfügen.

Beides ist u.U. nicht unmittelbar zu erkennen, sondern fällt ggf. erst auf, wenn ein Angreifer sein Ziel bereits erreicht hat. Spear Phishing und Social Engineering sind daher schwer durch technische Maßnahmen zu erkennen bzw. zu verhindern.

Gegenmaßnahmen des CMS

Als Teil des Mailbetriebs an der HU sind verschiedene Maßnahmen gegen unerwünschte E-Mails implementiert, darunter

  • konventionelle Blocklisten
  • Reputationsdatenbanken
  • Virenfilter
  • Spam-Erkennung und -Einstufung
  • Filterung auf bekannte Phishing-Kampagnen

Je nach Einstufung werden eingehende E-Mails dabei von uns

  • bereits vor der Annahme auf dem Server abgelehnt
  • verworfen und eine Warnung über gefundene Schadsoftware an die Zieladresse geschickt
  • als Anhang einer Phishing-Warnung zugestellt
  • als Spam markiert und zugestellt

Als unbedenklich eingestufte Nachrichten werden ebenfalls zugestellt.

Blocklisten und Reputationsdatenbanken 🖉
Virenfilter 🖉
Spamfilter 🖉
Phishing-Filter 🖉
Gegenmaßnahmen für Nutzer:innen

Auch als Nutzer:in können Sie aktiv werden, um sich selbst und auch alle anderen Angehörigen der HU vor unerwünschten Mails zu schützen.

Der erste und einfachste Schritt ist die Aktivierung des automatischen Spamfilters. Dieser bewirkt, dass bereits als Spam markierte E-Mails automatisch in den Ordner AutoCleanSpam zugestellt werden. Sie sollten diesen Ordner dennoch regelmäßig prüfen, um u.U. falsch einsortierte Mails nicht zu übersehen.

Die wichtigste Maßnahme für Sie als Nutzer:in ist das aufmerksame Lesen von E-Mails anhand der zuvor genannten Kriterien. Sollten Sie sich einmal nicht sicher sein, können Sie immer Kontakt zur Benutzerberatung des CMS aufnehmen.

Gleiches gilt auch, wenn Sie Spam oder Phishing erhalten. Leiten Sie uns gerne die betreffenden Nachrichten weiter und wir versuchen, unsere Filtermaßnahmen zu verbessern. Wie bei der Erkennung gibt es jedoch leider auch hier keine Garantie, dass zukünftige ähnliche Mails ausbleiben, da auch die Absender unerwünschter Mails ihre Kampagnen stetig weiterentwickeln.

Wenn Sie per E-Mail zur Preisgabe Ihres Accounts und des Passwortes und möglicherweise weiterer persönlicher Daten aufgefordert werden, dann ignorieren Sie diese Aufforderung!

Sind Sie unsicher, nehmen Sie Kontakt zu unserer Benutzerberatung auf. Bestärken Sie bitte auch Personen in Ihrem Umfeld in dieser Auffassung!

Der einzige Grund für eine persönliche E-Mail ähnlichen Inhalts vom CMS an Sie ist der Hinweis zum zeitlichen Ablauf der Gültigkeit Ihres Passwortes. Da Ihr Passwort stets ein Jahr lang gültig ist, können Sie den zu erwartenden Termin immer Anhand Ihrer letzten Passwort-Änderung abschätzen. Sie erhalten diese Aufforderung vier Wochen vor dem Ablaufdatum und zusätzlich eine Woche vor dem Termin. Wir fordern Sie in dieser E-Mail nicht dazu auf, uns Ihr Passwort zu schicken. Weiterhin enthalten diese E-Mails keinen direkten Link auf das Formular zur Passwort-Änderung.

Die Gültigkeit des Passworts kann auch über die Accountinfo eingesehen werden.

Sollten Sie dieser echten Aufforderung einmal nicht nachkommen, geht Ihnen nichts verloren: Ihre Daten werden nicht gelöscht und auch E-Mails werden weiterhin zugestellt. Sie können mit uns (Benutzerberatung) weiterhin in Verbindung treten und den Account wieder aktivieren lassen.

Vorgehen bei Preisgabe von Zugangsdaten

Auf Phishing- oder andere Schadmails "hereinzufallen" kann verschiedenste Gründe haben. Insbesondere auch in stressigen Situationen können solche E-Mails schwer zu erkennen sein.

Sollten Sie einmal in diese Situation geraten, denken Sie immer daran: Jeder macht Fehler und Sie müssen sich damit nicht verstecken. Sollten Sie feststellen, dass Sie die Zugangsdaten Ihres HU-Accounts auf einer Phishing-Webseite eingetragen oder anderweitig geteilt haben, ändern Sie bitte umgehend Ihr Passwort! Kommen Sie außerdem gerne auf uns (Benutzerberatung) zu und wir unterstützen Sie beim weiteren Vorgehen und geben Ihnen Hinweise zum Umgang mit zukünftigen Phishing-Versuchen mit.

Folgen erfolgreicher Phishing-Angriffe

Ein einziger preisgegebener Account nebst Passwort ist ausreichend, um binnen weniger Minuten eine neue Phishing- oder Spam-Welle zu starten. Die Folge ist eine Störung des E-Mail-Verkehrs für die gesamte Universität. Im schlimmsten Fall kann sich diese über viele Tage ziehen, weil sich die Reputation unserer Server, über die die E-Mails verschickt werden, signifikant verschlechtert. Legitime und zuvor problemlos versendete E-Mails sind dann nicht mehr zustellbar, sodass die Kommunikation mit anderen Einrichtungen und Institutionen erheblich erschwert wird.

Als Nebeneffekt haben Phisher mit einem übernommenen Account und dem Passwort Zugriff auf die komplette Mailbox, alle mit dem Account verknüpften Daten, sowie Zugang zu Portalen, wie z.B. Agnes oder Moodle, u.U. aber auch universitätsfremden, privat genutzten Portalen. In den meisten Fällen bedeutet dies auch eine unerlaubte Weitergabe personenbezogener Informationen und damit einen Datenschutzverstoß.

Ausnahmen von Filterregeln

Grundsätzlich ist es möglich, Ausnahmen von Filterregeln zu definieren, wir versuchen jedoch, deren Umfang möglichst gering zu halten.

Eine definierte Filterregel dient immer dazu, alle Angehörigen der HU vor unerwünschten Mails zu schützen. Ausnahmen davon beziehen sich in der Regel nur auf einen oder wenige Absender und Empfänger und sind damit im Vergleich unverhältnismäßig. In den meisten Fällen falsch erkannter Spam- oder Phishing-Mails sind auch nur einzelne E-Mails oder ein bestimmter Verlauf betroffen und nicht "der Absender".

Kriterien für Ausnahmen sind z.B.:

  • es sind viele Empfänger betroffen
  • die fehlerhafte Klassifikation lässt sich reproduzieren
  • es gibt ein sinnvolles Muster für Ausnahmen

Da E-Mail-Absender leicht gefälscht werden können, erteilen wir im Normalfall keine Freigaben für einzelne Adressen.

Weiterführende Links