Hinweise zu Phishing-E-Mails: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
 
(60 dazwischenliegende Versionen von 11 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
 
|type=Anleitung
 
|type=Anleitung
 
|os=Alle
 
|os=Alle
|service=Meta:Exchange,Meta:MSOPB,Meta:Mail,Meta:Mailinglisten
+
|service=Service:Informationssicherheit, Service:Mailinglisten, Service:Mail, Service:Exchange
|targetgroup=Angestellte, Bereiche, Besucher, Gäste, Studierende
+
|targetgroup=Gäste, Angestellte, Bereiche, Besucher, Studierende
 +
|displaytitle=Hinweise zu Phishing-E-Mails
 
|hasdisambig=Nein
 
|hasdisambig=Nein
 
}}
 
}}
 +
<bootstrap_alert color="info">Please find the English version of this article on the page [[Hinweise_zu_Phishing-E-Mails/en | Notes on Phishing E-Mails]]
 +
</bootstrap_alert>
 +
 +
Leider werden immer wieder E-Mail-Adressen aus dem Namensraum der Universität zum Versenden von Spams und Phishing-Emails missbraucht. Bitte seien Sie misstrauisch, wenn Sie eine E-Mail erhalten, die Sie keinem Kontext zuordnen können.
 +
 +
===Was ist Phishing?===
 +
 +
Die sogenannten Phishing-Mails sind eine Angriffsmethode, um an Benutzernamen und Passwörter zu kommen. Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise das Konto zu plündern und den entsprechenden Personen zu schaden.
 +
 +
Darunter fallen durchaus auch gezielte Angriffe, die u.U. in Gesprächsverläufe eingebettet sein können. Daher sollten Sie die unten stehende Checkliste für jede E-Mail verwenden. Mit etwas Routine reichen schon wenige Sekunden, um immensen Schaden zu verhindern.
 +
 +
{{Mbox|text=Die Mitarbeiterinnen und Mitarbeiter des ZIM werden Sie '''NIE''' nach Ihrem Passwort fragen. Beantworten Sie Fragen diesbezüglich über Telefon oder E-Mail ''nicht!''}}
 +
 +
----
 +
 +
===Bin ich ein mögliches Ziel?===
 +
Die Antwort ist eigentlich immer, ja. Für einen Angreifer ist es wesentlich einfacher, über Phishing Zugriff auf Systeme zu bekommen als über Angriffe, die rein auf einem technischen Angriffsvektor basieren. Selbst wenn Sie keinen Zugriff auf wichtige Zugangsdaten für Infrastruktur haben, kann mit Ihren persönlichen Zugangsdaten dennoch erheblicher Schaden angerichtet werden. Allein schon der Zugriff auf Ihr E-Mail-Postfach kann einem Angreifer helfen, mehr Vertrauenswürdigkeit zu erwecken, da er nun Zugriff auf Gesprächsverläufe hat und außerdem u.U Ihre E-Mail-Adresse verwenden kann.
 +
 +
Phishing stellt eine erhebliche Gefahr dar. Indem Sie einmal mehr nachfragen oder einmal mehr einen Link oder eine Datei nicht öffnen, können Sie erheblichen Schaden verhindern.
  
  
<!-- Folgend der empfohlene Seitenaufbau -->
+
----
Leider werden immer wieder E-Mail-Adressen aus dem Namensraum der Universität zum Versenden von Spams und Phishing-Emails missbraucht. Bitte seien Sie misstrauisch, wenn Sie eine E-Mail erhalten, die Sie keinem Kontext zuordnen können.  
+
 +
 +
===Was tun, wenn ich getäuscht wurde?===
 +
 
 +
{| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 4px; "
 +
|  Wenn Sie die Login-Daten Ihres Uni-Accounts im Rahmen einer Phishing-Attacke preisgegeben haben, ändern Sie bitte umgehend Ihr Passwort. Eine Anleitung zum Passwortändern finden Sie im Artikel<br> [[Aenderung des Kennwortes|Änderung des Kennwortes]].
 +
|}
 +
 
 +
 
 +
Es ist wichtig, schon bei dem Verdacht durch eine Phishingnachricht getäuscht worden zu sein, eine Meldung zu machen. Die einzige Möglichkeit, möglichen Schaden zu begrenzen ist, dass unsere Experten so schnell wie möglich auf eine solche Situation reagieren können. Je schneller, desto besser.
 +
 
 +
Um eine solche Meldung zu machen, gibt es drei Möglichkeiten:
 +
*Falls Sie wissen, wer Ihre Infrastruktur betreut, wenden Sie sich an diese Person (am besten per Telefon)
 +
*Machen Sie eine [https://www.uni-paderborn.de/universitaet/informationssicherheit/informationssicherheitsvorfall/ Vorfallsmeldung] an [mailto:vorfall@upb.de vorfall@upb.de]
 +
*Sollten Sie sich unsicher sein, kontaktieren Sie die [https://imt.uni-paderborn.de/hotline-tel-e-mail ZIM-Hotline] unter (05251) 60-5544 oder unter [mailto:zim@uni-paderborn.de zim@uni-paderborn.de]
 +
 +
----
 +
 
 +
== Checkliste zur Abgrenzung von Spam und Phishing-Nachrichten ==
 +
 
 +
# <font style="font-size:1.2em">'''Absender prüfen'''</font>
 +
#* Ist die E-Mail-Adresse wirklich vom erwarteten Absender?
 +
#** info@<span style="color: green;">uni-paderborn.de</span>
 +
#** info@<span style="color: red;">unl-paderborn.de</span>
 +
#*Können Sie die E-Mail-Adresse verifizieren?
 +
#**Durch Vergleichen mit einer bekannten E-Mail-Adresse
 +
#**Durch kontaktieren des Absenders (telefonisch oder über eine verifizierte E-Mail-Adresse)
 +
#*Ein legitimer Absender allein ist kein Zeichen für eine vertrauenswürdige E-Mail, da dessen E-Mail-Postfach von einem möglichen Angreifer kompromittiert sein kann.
 +
# <font style="font-size:1.2em">'''Inhalt prüfen (Kommt Ihnen der Inhalt verdächtig vor?)'''</font>
 +
#*Wird die Nachricht des Absenders erwartet?
 +
#*Signalisiert die E-Mail Handlungsbedarf oder Dringlichkeit?
 +
#*Gibt es Auffälligkeiten bei der Formatierung?
 +
#**Wird bei E-Mails des ZIM die [[Formatierung offizieller ZIM E-Mails]] eingehalten?
 +
#*Ist die Anrede unpersönlich formuliert?
 +
#*Fordert die E-Mail zu Eingabe von Passwörtern oder persönlichen Informationen auf?
 +
# <font style="font-size:1.2em">'''Links prüfen (Sind die angezeigten Links vertrauenswürdig?)'''</font>
 +
#*Welche Ziel-URL wird in der Statusleiste angezeigt, wenn Sie den Mauszeiger über den Link halten (ohne darauf zu klicken)?
 +
#*Passt der Wer-Bereich zu einer vertrauenswürdigen Nachricht?
 +
#**serviceportal.<span style="color: green;">uni-paderborn.de</span>
 +
#**uni-paderborn.<span style="color: red;">serviceportal.de</span>
 +
#*Ist der Wer-Bereich richtig geschrieben?
 +
#**serviceportal.<span style="color: green;">uni-paderborn.de</span>
 +
#**serviceportal.<span style="color: red;">uni-padreborn.de</span>
 +
# <font style="font-size:1.2em">'''Anhang prüfen'''</font>
 +
#*Öffnen Sie Dateien nur, wenn Sie diese für absolut vertrauenswürdig halten.
 +
#*Vorsicht vor Dateiformaten mit Endungen wie .exe oder .bat
 +
#**Rechnung-05-18-2021<span style="color: green;">.pdf</span>
 +
#**Rechnung-05-18-2021<span style="color: red;">.pdf.exe</span>
 +
#*Vermeiden Sie unbedingt das Aktivieren von Macros in Microsoft Office-Dokumenten
 +
#*Versichern Sie sich im Zweifel (z.B. auch schon bei einem “komischen Gefühl”) über einen alternativen Weg beim Absender, Beispielsweise per Telefon.
 +
 
 +
 
 +
{| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 4px; "
 +
|  Sollte auch nur einer der oben genannten Punkte Misstrauen erwecken, wenden Sie sich an den Absender oder löschen Sie die E-Mail. Wenn Sie sich unsicher sind, können Sie immer einen Kollegen oder eine Kollegin zu Rate ziehen.  
 +
|}
 +
 
 +
 +
----
  
== Fragen/Kriterien zur Abgrenzung von Spam und Phishing-Nachrichten ==
+
==Wer-Bereiche==
* Ist Ihnen der Absender bekannt?
+
Wohin ein Link führt, ist nicht immer offensichtlich. Daher hier einige Beispiele,
* Passen Absendername und Absenderadresse zueinander?
+
um das Erkennen des eigentlichen Ziels eines Links und die Identifizierung des
* Passt das Thema zum Absender?
+
eigentlichen Absenders zu vereinfachen.
* Ist die E-Mail sprachlich korrekt?
 
* Wenn Sie zur Eingabe von Anmeldedaten auf einer Webseite aufgefordert werden: Passen der angezeigte Link und das Linkziel (Mouse-Over) zueinander? (weitere Hinweise dazu weiter unten)
 
  
 +
Alle Zeichen, die im Wer-Bereich stehen, können von einem Angreifer nicht verändert werden. Das heißt, dass Sie nur am Wer-Bereich erkennen können, ob ein Link vertrauenswürdig ist oder nicht.
  
== Überprüfung Linkziel ==
+
Der Bereich, der nicht zum Wer-Bereich gehört, wird oftmals ausgenutzt, um den Anschein von
 +
Vertrauenswürdigkeit zu erwecken, da auch zum Beispiel der Text uni-paderborn.de
 +
in diesen Bereichen von einem Angreifer verwendet werden kann.
  
 +
Die am meisten verwendeten offiziellen Wer-Bereiche der Universität Paderborn sind '''upb.de''' und '''uni-paderborn.de.'''
  
Rufen Sie die Phishing-E-Mail auf und suchen Sie nach dem verlinkten Text
+
===Wer-Bereich eines Links===
 +
Der Wer-Bereich eines Links wird von Punkten . und Querstrichen / begrenzt.
 +
Wichtig sind die Zeichen vor und hinter dem letzten Punkt bis zum ersten Querstrich.
 +
Also für den Link <span style="color:
 +
gray;"><nowiki>https://serviceportal.</nowiki></span>'''uni-paderborn.de'''<span
 +
style="color: gray;">/web/portal/registrierung</span> ist der Wer-Bereich
 +
'''uni-paderborn.de'''.
  
 +
*<span style="color: gray;"><nowiki>https://serviceportal.</nowiki></span><span style="color: green;">uni-paderborn.de</span>
 +
*<span style="color: gray;"><nowiki>https://uni-paderborn.</nowiki></span><span style="color: red;">serviceportal.de</span>
 +
*<span style="color: gray;"><nowiki>http://</nowiki></span><span style="color: red;">dokumente.de</span><span style="color: gray;">/uni-paderborn.de/</span>
 +
*<span style="color: gray;"><nowiki>http://</nowiki></span><span style="color: red;">131.234.152.9</span><span style="color: gray;">/upb.de/</span>
  
[[Datei:Screenshot_Mail_Hinweise_zu_Phishing-E-Mails.png]]
 
  
 +
===Wer-Bereich einer E-Mail-Adresse===
 +
Der Wer-Bereich einer E-Mail Adresse, wird von Punkten und At-Zeichen @
 +
begrenzt. Wichtig sind wieder die Zeichen vor und hinter dem letzten Punkt.
 +
Also für die E-Mail-Adresse <span style="color:
 +
gray;">mustername.musternachname@mail.</span>'''uni-paderborn.de''' ist der Wer-Bereich
 +
'''uni-paderborn.de'''.
  
Anschließend mit einem Rechtsklick auf diesen Link und den "Link kopieren"
+
*<span style="color: gray;">mustername.musternachname@</span><span style="color: green;">uni-paderborn.de</span>
 +
*<span style="color: gray;">mustername.musternachname@uni-paderborn.</span><span style="color: red;">unimail.de</span>
 +
*<span style="color: gray;">uni-paderborn@</span><span style="color: red;">mustername.de</span>
  
  
[[Datei:Screenshot_Mail_Hinweise_zu_Phishing-E-Mails_1.png]]
+
== Überprüfung Änderungsprotokoll des Uni-Accounts ==
 +
Im Änderungsprotokoll können Sie prüfen, ob die Aussage einer Warnmail über die Sperrung Ihres Accounts der Wahrheit entspricht.
 +
<br clear=all>
 +
[[Datei:SP-Accountprotokoll-01.png|links|mini|ohne|605x605px]]
 +
<br>
 +
* Rufen Sie das Serviceportal auf: https://sp.uni-paderborn.de
 +
* Melden Sie sich mit Ihren Uni-Accountdaten an.
 +
* Wählen Sie im Menü "Benutzerverwaltung" den Punkt '''"Uni-Account Einstellungen"'''.
 +
<br clear=all>
  
 +
[[Datei:SP-Accountprotokoll-02.png|links|mini|ohne|605x605px]]
 +
<br>
 +
* Wählen Sie dann den Punkt '''"Protokoll anzeigen"''' und prüfen Sie das Protokoll auf Sperrvorgänge.
 +
<br clear=all>
  
Nun öffnen Sie in Ihrem Browser z.B. mit dem Tastaturkürzel STRG+T einen neuen "Tab" oder ein "neues Fenster"
+
== FAQ und erste Hilfe bei E-Mail-Phishing und anderem Datenabfluss ==
  
 +
Wenn Sie Opfer einer Phishing-Attacke geworden sind, sein könnten oder sensible Daten von Ihnen auf andere Weise preisgegeben wurden, könnten sich daraus Bedrohungen ergeben. In einem solchen Fall entstehen typischerweise viele Fragen und Emotionen bei Betroffenen. Die folgende Übersicht soll einige Antworten auf mögliche Fragen geben und Hinweise zum Umgang und zu erforderlichen Schritten geben.
  
[[Datei:Screenshot_Mail_Hinweise_zu_Phishing-E-Mails_2.png]]
+
== Welche Folgen kann der Abfluss von sensiblen Daten für mich haben?  ==
  
 +
Es ist denkbar, dass Dritte unter Zuhilfenahme von erbeuteten Daten versuchen könnten, diese für kriminelle Zwecke einzusetzen.
  
Nun in das Adressfeld einen Rechtsklick und den Link '''NUR''' einfügen '''OHNE''' die Eingabetaste!
+
==== Bei Abfluss von Kontaktinformationen (z.B. E-Mail-Adresse, Telefonnummer): ====
 +
Je mehr Informationen Angreifende über eine Person haben, so einfacher können sie sich als die betroffene Person ausgeben und deren Identität mit schadhafter Absicht „stehlen“. Daraus können z.B. nachgelagerte Phishing-Angriffe entstehen, bei denen Angreifende einen falschen Absender vortäuschen und so weitere Personen (Kolleg*innen, Geschäftspartner*innen, o.Ä.) zu einer Herausgabe sensibler Daten bewegen könnten.
  
 +
: '''Hinweis''': Die Uni-E-Mailadressen sind (vor allem bei Mitarbeitenden) häufig bereits über die Webseiten der Universität veröffentlicht und dadurch öffentlich bekannt.
  
[[Datei:Screenshot_Mail_Hinweise_zu_Phishing-E-Mails_3.png]]
+
==== Bei Abfluss von Login-Daten inkl. Passwörtern: ====
 +
* Dritte können sich an allen Diensten anmelden, die die abgeflossenen Login-Informationen nutzen (Uni-E-Mail, PAUL, PANDA, Netzwerkspeicher, Serviceportal, Personenmanager, Sharepoint usw.)
 +
** dadurch erhalten Dritte Zugriff auf weitere sensible Daten wie E-Mails, Dateien, Noten, ...
 +
* Weiterhin möglich sind dadurch die Manipulation von Daten, der Verlust der Vertraulichkeit von Daten, der Verstoß gegen Geheimhaltungsvereinbarungen (z.B. in Forschungsprojekten) sowie der Diebstahl von (Forschungs-) Daten
  
 +
== Was muss ich tun, wenn meine Login-Daten preisgegeben wurden (z.B. durch Phishing)? ==
  
Anhand des Links können Sie erkennen das diese nicht von ComDirect , der angeblichen Bank, kommt, da dieser Link auf eine ganz andere nicht erkennbare Adresse führt.
+
Siehe unter: [[Hinweise_zu_Phishing-E-Mails#Was_tun.2C_wenn_ich_get.C3.A4uscht_wurde.3F|"Was tun, wenn ich getäuscht wurde?"]]
  
 
== Beispiele für Phishing-Nachrichten ==
 
== Beispiele für Phishing-Nachrichten ==
  
 +
<bootstrap_accordion>
 +
<bootstrap_panel heading="Beispiel falscher Hinweis auf Update" >
 
<pre>
 
<pre>
Von: Universitat Paderborn [mailto:noreply@upb.de]
+
Von: Universität Paderborn [mailto:noreply@upb.de]
Gesendet: Freitag, 23. Oktober 2015 00:51
+
Gesendet: Montag, 18. Juli 2022 00:51
 
An: winner
 
An: winner
 
Betreff: AKTUALISIERUNG!!!
 
Betreff: AKTUALISIERUNG!!!
  
Universität Paderborn hat eine neue Version web-Mail, die Edition 2015 freigegeben.
+
Universität Paderborn hat eine neue Version web-Mail, die Edition 2022 freigegeben.
 
   
 
   
 
Diese neueste Web-Mail-Version kommt mit neuen und erweiterten Funktionen gesichert und Anti-Spam-Schutz.
 
Diese neueste Web-Mail-Version kommt mit neuen und erweiterten Funktionen gesichert und Anti-Spam-Schutz.
Zeile 63: Zeile 181:
 
   
 
   
 
Mit freundlichen Grüßen,
 
Mit freundlichen Grüßen,
© 2015 Informatikdienst.
+
© 2022 Informatikdienst.
 
</pre>
 
</pre>
  
 +
# Absender
 +
#* Wer-Bereich des Absenders korrekt
 +
#* Derartige E-Mails des ZIM kommen meist von zim@uni-paderborn.de
 +
# Inhalt
 +
#* Unerwartete E-Mail
 +
#* Es wird Handlungsbedarf suggeriert, um Sie zu einer schnellen und unüberlegten Handlung zu drängen
 +
#* Unübliche Formatierung (offizielle Formatierung nicht eingehalten)
 +
#* Unpersönliche Anrede
 +
# Links
 +
#* Der nächste Schritt wäre hier den angegebenen Link zu prüfen (Das wahre Ziel des Links wird Ihnen nur in der Statuszeile ihres E-Mail Programms angezeigt).
 +
 +
</bootstrap_panel>
 +
<bootstrap_panel heading ="Beispiel Kundenservice">
 
<pre>
 
<pre>
 
+
       Datum: Mon, 18 Jul 2022 19:10:23 +0100
       Datum: Mon, 10 Nov 2014 19:10:23 +0100
 
 
         Von: Telekom Leiter Kundenservice <werbung@mmgarten.com>
 
         Von: Telekom Leiter Kundenservice <werbung@mmgarten.com>
     Betreff: RechnungOnline Monat November 2014 (Buchungskonto: 5405293552)
+
     Betreff: RechnungOnline Monat Juli 2022 (Buchungskonto: 5405293552)
 
         An: rza@mail.uni-paderborn.de
 
         An: rza@mail.uni-paderborn.de
  
Zeile 82: Zeile 212:
  
 
     mit dieser E-Mail erhalten Sie Ihre aktuelle
 
     mit dieser E-Mail erhalten Sie Ihre aktuelle
Rechnung. Die Gesamtsumme im Monat November 2014 beträgt: 166,92 EURO.
+
Rechnung. Die Gesamtsumme im Monat Juli 2022 beträgt: 166,92 EURO.
  
 
Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
 
Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
RechnungOnline für November 2014. Ihre Rechnung für November 2014[1]
+
RechnungOnline für Juli 2022. Ihre Rechnung für Juli 2022[1]
 
- (PDF-Dokument).
 
- (PDF-Dokument).
 
     Die vorliegende Nachricht wurde automatisch
 
     Die vorliegende Nachricht wurde automatisch
Zeile 95: Zeile 225:
 
Leiter Kundenservice
 
Leiter Kundenservice
  
     © Telekom Leiter Kundenservice 2014 | Hilfe |
+
     © Telekom Leiter Kundenservice 2022 | Hilfe |
 
Kontakt | Datenschutz | AGB | Impressum
 
Kontakt | Datenschutz | AGB | Impressum
 
     Sie haben eine Frage an den Kundenservice? Dann
 
     Sie haben eine Frage an den Kundenservice? Dann
Zeile 108: Zeile 238:
 
</pre>
 
</pre>
  
 +
# Absender
 +
#* Der Wer-Bereich des Absenders ist auffällig für eine E-Mail, die vermeintlich von der Telekom kommen soll.
 +
#* ggf. bei der Telekom über einen selbst recherchierte Kontaktdaten nachfragen
 +
# Inhalt
 +
#* Unpersönliche Anrede
 +
# Links
 +
#* Wer-Bereich des angegebenen Links (hostomanXXXX.net) passt nicht zu einer E-Mail der Telekom
 +
# Anhang
 +
#* Mit den oben beschriebenen Auffälligkeiten sollten Sie den Anhang dieser E-Mail nicht oder nur nach sehr gründlicher Rücksprache (über einen alternativen Kommunikationsweg) öffnen.
 +
</bootstrap_panel>
  
 +
<bootstrap_panel heading ="Beispiel falsche Mail-Warnung">
 
<pre>
 
<pre>
  
Zeile 117: Zeile 258:
 
Antwort an: noreply@upb.de
 
Antwort an: noreply@upb.de
 
   
 
   
Sehr geehrter Nutzer
+
Sehr geehrter Nutzer,
 
   
 
   
 
Sie erhalten diese Nachricht aus dem webmailservice@upb.de. Ihre E-Mail-Konto wurde
 
Sie erhalten diese Nachricht aus dem webmailservice@upb.de. Ihre E-Mail-Konto wurde
Zeile 132: Zeile 273:
  
 
</pre>
 
</pre>
 +
<br clear=all>
 +
 +
# Absender
 +
#* Wer-Bereich des Absenders korrekt
 +
#* Derartige E-Mails des ZIM kommen meist von zim@uni-paderborn.de
 +
# Inhalt
 +
#* Unerwartete E-Mail
 +
#* Es wird Handlungsbedarf suggeriert, um Sie zu einer schnellen und unüberlegten Handlung zu drängen
 +
#* Unübliche Formatierung (offizielle Formatierung nicht eingehalten)
 +
#* Unpersönliche Anrede
 +
# Links
 +
#* Der Text in der E-Mail kann beliebig gewählt sein (hier <nowiki>http:/upb.de/correo/Konto</nowiki>) nur der in der Statuszeile angezeigte Link ist das wahre Ziel.
 +
</bootstrap_panel>
 +
</bootstrap_accordion>
 +
 +
== Erkennen Sie die Phishing-Mails? ==
 +
Testen Sie Ihr IT-Sicherheitsbewusstsein über die Angebote der Forschungsgruppe SECUSO (Security Usability und Society) des KIT:
 +
* Welchen Score erreichen Sie im Phishing-Master Spiel?
 +
** https://phishing-master.secuso.org/
 +
* Können Sie alle betrügerischen E-Mails im NoPhish Quiz erkennen?
 +
** https://nophish-quiz.secuso.org/
  
 
== Siehe auch ==
 
== Siehe auch ==
[[Schützen_Sie_Ihr_Passwort]]
+
* [[Informationssicherheit]] - Übersicht aller Artikel
 +
* [[Formatierung offizieller ZIM E-Mails]] - So sind offizielle E-Mails aus dem ZIM gekennzeichnet
 +
* [[Aenderung des Kennwortes]] - Im Verdachtsfall die schnelle Vorsorge: das eigene Kennwort ändern
 +
<br clear=all>

Aktuelle Version vom 28. Oktober 2024, 10:59 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceExchange, Informationssicherheit und Mail
Interessant fürGäste, Angestellte, Bereiche, Besucher und Studierende
HilfeWiki des ZIM der Uni Paderborn

set displaytitle to Hinweise zu Phishing-E-Mails

Leider werden immer wieder E-Mail-Adressen aus dem Namensraum der Universität zum Versenden von Spams und Phishing-Emails missbraucht. Bitte seien Sie misstrauisch, wenn Sie eine E-Mail erhalten, die Sie keinem Kontext zuordnen können.

Was ist Phishing?[Bearbeiten | Quelltext bearbeiten]

Die sogenannten Phishing-Mails sind eine Angriffsmethode, um an Benutzernamen und Passwörter zu kommen. Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise das Konto zu plündern und den entsprechenden Personen zu schaden.

Darunter fallen durchaus auch gezielte Angriffe, die u.U. in Gesprächsverläufe eingebettet sein können. Daher sollten Sie die unten stehende Checkliste für jede E-Mail verwenden. Mit etwas Routine reichen schon wenige Sekunden, um immensen Schaden zu verhindern.


Bin ich ein mögliches Ziel?[Bearbeiten | Quelltext bearbeiten]

Die Antwort ist eigentlich immer, ja. Für einen Angreifer ist es wesentlich einfacher, über Phishing Zugriff auf Systeme zu bekommen als über Angriffe, die rein auf einem technischen Angriffsvektor basieren. Selbst wenn Sie keinen Zugriff auf wichtige Zugangsdaten für Infrastruktur haben, kann mit Ihren persönlichen Zugangsdaten dennoch erheblicher Schaden angerichtet werden. Allein schon der Zugriff auf Ihr E-Mail-Postfach kann einem Angreifer helfen, mehr Vertrauenswürdigkeit zu erwecken, da er nun Zugriff auf Gesprächsverläufe hat und außerdem u.U Ihre E-Mail-Adresse verwenden kann.

Phishing stellt eine erhebliche Gefahr dar. Indem Sie einmal mehr nachfragen oder einmal mehr einen Link oder eine Datei nicht öffnen, können Sie erheblichen Schaden verhindern.




Was tun, wenn ich getäuscht wurde?[Bearbeiten | Quelltext bearbeiten]

Wenn Sie die Login-Daten Ihres Uni-Accounts im Rahmen einer Phishing-Attacke preisgegeben haben, ändern Sie bitte umgehend Ihr Passwort. Eine Anleitung zum Passwortändern finden Sie im Artikel
Änderung des Kennwortes.


Es ist wichtig, schon bei dem Verdacht durch eine Phishingnachricht getäuscht worden zu sein, eine Meldung zu machen. Die einzige Möglichkeit, möglichen Schaden zu begrenzen ist, dass unsere Experten so schnell wie möglich auf eine solche Situation reagieren können. Je schneller, desto besser.

Um eine solche Meldung zu machen, gibt es drei Möglichkeiten:


Checkliste zur Abgrenzung von Spam und Phishing-Nachrichten[Bearbeiten | Quelltext bearbeiten]

  1. Absender prüfen
    • Ist die E-Mail-Adresse wirklich vom erwarteten Absender?
      • info@uni-paderborn.de
      • info@unl-paderborn.de
    • Können Sie die E-Mail-Adresse verifizieren?
      • Durch Vergleichen mit einer bekannten E-Mail-Adresse
      • Durch kontaktieren des Absenders (telefonisch oder über eine verifizierte E-Mail-Adresse)
    • Ein legitimer Absender allein ist kein Zeichen für eine vertrauenswürdige E-Mail, da dessen E-Mail-Postfach von einem möglichen Angreifer kompromittiert sein kann.
  2. Inhalt prüfen (Kommt Ihnen der Inhalt verdächtig vor?)
    • Wird die Nachricht des Absenders erwartet?
    • Signalisiert die E-Mail Handlungsbedarf oder Dringlichkeit?
    • Gibt es Auffälligkeiten bei der Formatierung?
    • Ist die Anrede unpersönlich formuliert?
    • Fordert die E-Mail zu Eingabe von Passwörtern oder persönlichen Informationen auf?
  3. Links prüfen (Sind die angezeigten Links vertrauenswürdig?)
    • Welche Ziel-URL wird in der Statusleiste angezeigt, wenn Sie den Mauszeiger über den Link halten (ohne darauf zu klicken)?
    • Passt der Wer-Bereich zu einer vertrauenswürdigen Nachricht?
      • serviceportal.uni-paderborn.de
      • uni-paderborn.serviceportal.de
    • Ist der Wer-Bereich richtig geschrieben?
      • serviceportal.uni-paderborn.de
      • serviceportal.uni-padreborn.de
  4. Anhang prüfen
    • Öffnen Sie Dateien nur, wenn Sie diese für absolut vertrauenswürdig halten.
    • Vorsicht vor Dateiformaten mit Endungen wie .exe oder .bat
      • Rechnung-05-18-2021.pdf
      • Rechnung-05-18-2021.pdf.exe
    • Vermeiden Sie unbedingt das Aktivieren von Macros in Microsoft Office-Dokumenten
    • Versichern Sie sich im Zweifel (z.B. auch schon bei einem “komischen Gefühl”) über einen alternativen Weg beim Absender, Beispielsweise per Telefon.


Sollte auch nur einer der oben genannten Punkte Misstrauen erwecken, wenden Sie sich an den Absender oder löschen Sie die E-Mail. Wenn Sie sich unsicher sind, können Sie immer einen Kollegen oder eine Kollegin zu Rate ziehen.



Wer-Bereiche[Bearbeiten | Quelltext bearbeiten]

Wohin ein Link führt, ist nicht immer offensichtlich. Daher hier einige Beispiele, um das Erkennen des eigentlichen Ziels eines Links und die Identifizierung des eigentlichen Absenders zu vereinfachen.

Alle Zeichen, die im Wer-Bereich stehen, können von einem Angreifer nicht verändert werden. Das heißt, dass Sie nur am Wer-Bereich erkennen können, ob ein Link vertrauenswürdig ist oder nicht.

Der Bereich, der nicht zum Wer-Bereich gehört, wird oftmals ausgenutzt, um den Anschein von Vertrauenswürdigkeit zu erwecken, da auch zum Beispiel der Text uni-paderborn.de in diesen Bereichen von einem Angreifer verwendet werden kann.

Die am meisten verwendeten offiziellen Wer-Bereiche der Universität Paderborn sind upb.de und uni-paderborn.de.

Wer-Bereich eines Links[Bearbeiten | Quelltext bearbeiten]

Der Wer-Bereich eines Links wird von Punkten . und Querstrichen / begrenzt. Wichtig sind die Zeichen vor und hinter dem letzten Punkt bis zum ersten Querstrich. Also für den Link https://serviceportal.uni-paderborn.de/web/portal/registrierung ist der Wer-Bereich uni-paderborn.de.

  • https://serviceportal.uni-paderborn.de
  • https://uni-paderborn.serviceportal.de
  • http://dokumente.de/uni-paderborn.de/
  • http://131.234.152.9/upb.de/


Wer-Bereich einer E-Mail-Adresse[Bearbeiten | Quelltext bearbeiten]

Der Wer-Bereich einer E-Mail Adresse, wird von Punkten und At-Zeichen @ begrenzt. Wichtig sind wieder die Zeichen vor und hinter dem letzten Punkt. Also für die E-Mail-Adresse mustername.musternachname@mail.uni-paderborn.de ist der Wer-Bereich uni-paderborn.de.

  • mustername.musternachname@uni-paderborn.de
  • mustername.musternachname@uni-paderborn.unimail.de
  • uni-paderborn@mustername.de


Überprüfung Änderungsprotokoll des Uni-Accounts[Bearbeiten | Quelltext bearbeiten]

Im Änderungsprotokoll können Sie prüfen, ob die Aussage einer Warnmail über die Sperrung Ihres Accounts der Wahrheit entspricht.

SP-Accountprotokoll-01.png


  • Rufen Sie das Serviceportal auf: https://sp.uni-paderborn.de
  • Melden Sie sich mit Ihren Uni-Accountdaten an.
  • Wählen Sie im Menü "Benutzerverwaltung" den Punkt "Uni-Account Einstellungen".


SP-Accountprotokoll-02.png


  • Wählen Sie dann den Punkt "Protokoll anzeigen" und prüfen Sie das Protokoll auf Sperrvorgänge.


FAQ und erste Hilfe bei E-Mail-Phishing und anderem Datenabfluss[Bearbeiten | Quelltext bearbeiten]

Wenn Sie Opfer einer Phishing-Attacke geworden sind, sein könnten oder sensible Daten von Ihnen auf andere Weise preisgegeben wurden, könnten sich daraus Bedrohungen ergeben. In einem solchen Fall entstehen typischerweise viele Fragen und Emotionen bei Betroffenen. Die folgende Übersicht soll einige Antworten auf mögliche Fragen geben und Hinweise zum Umgang und zu erforderlichen Schritten geben.

Welche Folgen kann der Abfluss von sensiblen Daten für mich haben?[Bearbeiten | Quelltext bearbeiten]

Es ist denkbar, dass Dritte unter Zuhilfenahme von erbeuteten Daten versuchen könnten, diese für kriminelle Zwecke einzusetzen.

Bei Abfluss von Kontaktinformationen (z.B. E-Mail-Adresse, Telefonnummer):[Bearbeiten | Quelltext bearbeiten]

Je mehr Informationen Angreifende über eine Person haben, so einfacher können sie sich als die betroffene Person ausgeben und deren Identität mit schadhafter Absicht „stehlen“. Daraus können z.B. nachgelagerte Phishing-Angriffe entstehen, bei denen Angreifende einen falschen Absender vortäuschen und so weitere Personen (Kolleg*innen, Geschäftspartner*innen, o.Ä.) zu einer Herausgabe sensibler Daten bewegen könnten.

Hinweis: Die Uni-E-Mailadressen sind (vor allem bei Mitarbeitenden) häufig bereits über die Webseiten der Universität veröffentlicht und dadurch öffentlich bekannt.

Bei Abfluss von Login-Daten inkl. Passwörtern:[Bearbeiten | Quelltext bearbeiten]

  • Dritte können sich an allen Diensten anmelden, die die abgeflossenen Login-Informationen nutzen (Uni-E-Mail, PAUL, PANDA, Netzwerkspeicher, Serviceportal, Personenmanager, Sharepoint usw.)
    • dadurch erhalten Dritte Zugriff auf weitere sensible Daten wie E-Mails, Dateien, Noten, ...
  • Weiterhin möglich sind dadurch die Manipulation von Daten, der Verlust der Vertraulichkeit von Daten, der Verstoß gegen Geheimhaltungsvereinbarungen (z.B. in Forschungsprojekten) sowie der Diebstahl von (Forschungs-) Daten

Was muss ich tun, wenn meine Login-Daten preisgegeben wurden (z.B. durch Phishing)?[Bearbeiten | Quelltext bearbeiten]

Siehe unter: "Was tun, wenn ich getäuscht wurde?"

Beispiele für Phishing-Nachrichten[Bearbeiten | Quelltext bearbeiten]

Von: Universität Paderborn [mailto:noreply@upb.de]
Gesendet: Montag, 18. Juli 2022 00:51
An: winner
Betreff: AKTUALISIERUNG!!!

Universität Paderborn hat eine neue Version web-Mail, die Edition 2022 freigegeben.
 
Diese neueste Web-Mail-Version kommt mit neuen und erweiterten Funktionen gesichert und Anti-Spam-Schutz.
 
Es wird empfohlen, bitte  klicken Sie hier heute zu migrieren und den erweiterten Sicherheitsfunktionen zu aktivieren.
 
Mit freundlichen Grüßen,
© 2022 Informatikdienst.
  1. Absender
    • Wer-Bereich des Absenders korrekt
    • Derartige E-Mails des ZIM kommen meist von zim@uni-paderborn.de
  2. Inhalt
    • Unerwartete E-Mail
    • Es wird Handlungsbedarf suggeriert, um Sie zu einer schnellen und unüberlegten Handlung zu drängen
    • Unübliche Formatierung (offizielle Formatierung nicht eingehalten)
    • Unpersönliche Anrede
  3. Links
    • Der nächste Schritt wäre hier den angegebenen Link zu prüfen (Das wahre Ziel des Links wird Ihnen nur in der Statuszeile ihres E-Mail Programms angezeigt).


      Datum: Mon, 18 Jul 2022 19:10:23 +0100
        Von: Telekom Leiter Kundenservice <werbung@mmgarten.com>
    Betreff: RechnungOnline Monat Juli 2022 (Buchungskonto: 5405293552)
         An: rza@mail.uni-paderborn.de

    TELEKOM - ERLEBEN, WAS VERBINDET.

     Telekom Leiter Kundenservice

     Ihre Rechnung für November 2014

Guten Tag,

     mit dieser E-Mail erhalten Sie Ihre aktuelle
Rechnung. Die Gesamtsumme im Monat Juli 2022 beträgt: 166,92 EURO.

Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
RechnungOnline für Juli 2022. Ihre Rechnung für Juli 2022[1]
- (PDF-Dokument).
     Die vorliegende Nachricht wurde automatisch
versandt. Bitte antworten Sie nicht an die Adresse des Absenders.

    Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

    © Telekom Leiter Kundenservice 2022 | Hilfe |
Kontakt | Datenschutz | AGB | Impressum
    Sie haben eine Frage an den Kundenservice? Dann
nutzen Sie bitte unser E-Mail Kontaktformular.



Links:
------
[1] http://hostomanXXXX.net/XXXXXX (verändert)

  1. Absender
    • Der Wer-Bereich des Absenders ist auffällig für eine E-Mail, die vermeintlich von der Telekom kommen soll.
    • ggf. bei der Telekom über einen selbst recherchierte Kontaktdaten nachfragen
  2. Inhalt
    • Unpersönliche Anrede
  3. Links
    • Wer-Bereich des angegebenen Links (hostomanXXXX.net) passt nicht zu einer E-Mail der Telekom
  4. Anhang
    • Mit den oben beschriebenen Auffälligkeiten sollten Sie den Anhang dieser E-Mail nicht oder nur nach sehr gründlicher Rücksprache (über einen alternativen Kommunikationsweg) öffnen.

Von: Universitat Paderborn <noreply@upb.de>
Betreff: Dringende Benachrichtigung!!!
Datum: 12. Mai 2014 02:35:18 MESZ
An: Recipients <noreply@upb.de>
Antwort an: noreply@upb.de
 
Sehr geehrter Nutzer,
 
Sie erhalten diese Nachricht aus dem webmailservice@upb.de. Ihre E-Mail-Konto wurde
gehackt / kompromittiert und für verschiedene Spam / Phishing-Aktivitäten genutzt Bitte
klicken Sie oder die universelle folgenden Link kopieren und ändern Sie Ihre Kontodaten, 
 
http:/upb.de/correo/Konto
 
 
Bitte beachten Sie, dass dies versäumt, so gilt für die Kündigung Ihres Kontos führen. 
  
Webmail-Team



  1. Absender
    • Wer-Bereich des Absenders korrekt
    • Derartige E-Mails des ZIM kommen meist von zim@uni-paderborn.de
  2. Inhalt
    • Unerwartete E-Mail
    • Es wird Handlungsbedarf suggeriert, um Sie zu einer schnellen und unüberlegten Handlung zu drängen
    • Unübliche Formatierung (offizielle Formatierung nicht eingehalten)
    • Unpersönliche Anrede
  3. Links
    • Der Text in der E-Mail kann beliebig gewählt sein (hier http:/upb.de/correo/Konto) nur der in der Statuszeile angezeigte Link ist das wahre Ziel.

Erkennen Sie die Phishing-Mails?[Bearbeiten | Quelltext bearbeiten]

Testen Sie Ihr IT-Sicherheitsbewusstsein über die Angebote der Forschungsgruppe SECUSO (Security Usability und Society) des KIT:

Siehe auch[Bearbeiten | Quelltext bearbeiten]



Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo Di - Fr
Vor-Ort-Support Geschlossen Über die Feiertage geschlossen
Telefonsupport 08:30 - 13:00 Über die Feiertage geschlossen


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo Di - Fr
08:00 - 16:00 Über die Feiertage geschlossen


Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.