HRZ-Blog ​​ ​​​​​​ ​​​​

                                                                                                                             Image: Pixabay / Ayesha Raheem

Phishing E-Mails haben eine neue Qualität

Phishing E-Mails in verschiedenen Varianten sind in den letzten Wochen gehäuft an der Goethe-Universität aufgetreten. Generell gehen Angreifer*innen bei Phishing E-Mails mittlerweile wesentlich professioneller vor als noch vor ein paar Jahren. 

Während solche E-Mails früher eine unpersönliche Anrede, zahlreiche sprachliche Fehler und fehlerhafte Formulierungen enthielten, sind es heute vielmehr Details, die stutzig machen sollten. Häufig werden sogar Unternehmens- oder Organisationsinformationen verwandt, um User von der vermeintlichen Seriosität der E-Mail zu überzeugen. So lohnt sich immer ein genauerer Blick auf die E-Mails. 

Insgesamt stellen Phishing E-Mails ein relevantes IT-Sicherheitsrisiko für jedes Unternehmen und jede Organisation dar. Jede*r in der Universität kann somit einen Beitrag zur IT-Sicherheit leisten.

Worauf aktuelle Phishing Angriffe abzielen

Besonders auffällig in den letzten Phishing Wellen an der Goethe-Universität war, dass Links zumeist auf sehr gut nachgebaute Webseiten führten, die große Ähnlichkeit mit den HRZ Login Portalen für verschiedene IT-Services wie z. B. den Webmail-Server hatten. Es ist von daher wichtig sich folgendes bewusst zu machen, das Einzige, was Angreifer*innen nicht fälschen können, ist die URL. Insofern hilft immer der Abgleich mit der Adresszeile des Browsers, um zu sehen, ob Sie wirklich auf einer offiziellen GU-Webseite mit "uni-frankfurt.de" gelandet sind.

In diesem Zusammenhang haben Angreifer*innen insbesondere versucht, per E-Mail Login und Passwort Daten der User abzugreifen. Das Problem dabei ist, dass viele Studierende und Mitarbeitende vermutlich im ersten Moment nicht daran denken, dass es sich hierbei um persönliche Daten wie z. B. die eigene private Adresse handelt - und diese Daten dann einfach schnell eingeben. Das HRZ fragt diese Daten aber niemals per E-Mail ab. 

Als weiterer zentraler Punkt sind falsch hinterlegte Links zu nennen. Das bedeutet, es wurden Phishing E-Mails versandt, die original Einladungen zu einer Zoom-Veranstaltung mit ausgetauschten Links enthielten oder Phishing Rundmails verbreitet und Themen zu Diensten oder Kampagnen aufgegriffen, die an der Goethe-Universität bereits offiziell versendet wurden (z. B. zur Impfkampagne). Insofern ist es wichtig, dass jede*r darauf achtet, Links vorher daraufhin zu überprüfen, ob Link-Text und Link übereinstimmen und tatsächlich zur Originalwebseite und dem entsprechenden Dienst weiterleiten. 

Allgemeine Tipps & Learnings zum Erkennen von Phishing E-Mails

Achten Sie generell auf folgende Punkte, wenn Ihnen E-Mails in bestimmter Form gesendet werden. 

1. Unstimmigkeiten beim E-Mail Absender: Bitte achten Sie auf den Absender der E-Mail und schauen Sie hier genauer hin. Während sich in der Vergangenheit hinter dem Namen einer Organisation zumeist eine andere E-Mail Adresse (z. B. gmail, gmx etc.) verbarg, die jede*r in Klammern dahinter erkennen konnte, fällt dieses Erkennungsmerkmal mittlerweile häufig weg. Das heißt, E-Mail Adressen können gefälscht werden, oder wenn sie bereits gehackt sind für weitere Phishing Angriffe genutzt werden. E-Mail Adressen per se sind somit keine Garantie für Authentizität. 
2. Verdächtiger Betreff: Wenn der Betreff sehr allgemein gehalten ist und Phrasen enthält, oder der Betreff direkt zum Handeln auffordert, sollten Sie vorsichtig sein.
3. Verfälschter Inhalt: Teilweise werden authentische Mailinhalte einer Organisation verwendet. Dazu beziehen sich die Phishing E-Mails oftmals auf aktuelle Themen, die gerade im Umlauf sind. 
4. Nachfrage nach sensiblen Daten und dringender Handlungsbedarf: Ein weiterer Hinweis für eine Phishing E-Mail ist, dass Sie unmittelbar zum Handeln aufgefordert werden, weil z. B. der Zugang zu einem bestimmten Service abgelaufen sei. Sie werden gebeten persönliche Daten weiterzugeben. 
5. Auffällige E-Mail Links und nachgebaute Portalseiten: Bleiben Sie insbesondere bei Links skeptisch und öffnen diese nicht einfach. Häufig verweisen verdächtige E-Mails auf gefälschte Webseiten. Die Links zu diesen Webseiten sehen dem Original-Link oft zum Verwechseln ähnlich. Ein weiteres Merkmal ist, dass Sie auf diesen gefälschten Webseiten und Anmeldemasken direkt zur Eingabe von sensiblen Daten aufgefordert werden. 
6. E-Mail Anhänge: Teilweise werden Sie auch zum dringenden Download einer Datei aufgefordert und haben damit bereits automatisch ein Computervirus heruntergeladen. Sie sollten deshalb auf keinen Fall den Anhang einer Phishing-Mail öffnen oder herunterladen, sondern die Phishing E-Mail direkt löschen!

Diese Tipps und weitere zum Erkennen von Phishing E-Mails werden detailliert beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und anderen bekannten IT-Portalen aufgelistet. Zudem finden Sie als Mitarbeitende und Studierende der Goethe-Universität auf unserer IT-Sicherheitswebseite Videos zum Thema E-Mail Sicherheit. Alle Links sind unten aufgelistet.

Was kann ich als Einzelne*r bei Phishing E-Mails machen?

Fazit, schauen Sie auf die Details bei Ihnen zugesendeten E-Mails und richten Sie sich einen Spamfilter bei Webmail ein. Dazu loggen Sie sich bitte mit Ihrem HRZ-Account (Login und Passwort) auf dem Webmail-Server ein und wählen dort den Menüpunkt "Weitere" → "HRZ", und anschließend den Punkt "Spamfilter". Ein Spamscore von 5 oder 4 ist noch relativ sicher gegenüber Fehlerkennungen und sortiert schon viel Spam aus. Weitere Informationen zum Spamfilter finden Sie außerdem auf den Webseiten des HRZ Mail-Teams unter "Spamschutz".

Sollten Ihnen Phishing E-Mails, Ihnen kompromittierte Accounts etc. auffallen, wenden Sie sich bitte an das IT-Sicherheitsteam des Hochschulrechenzentrums (HRZ): it-sicherheit@uni-frankfurt.de. Diese Informationen helfen uns an zentraler Stelle dabei, Gefahren frühzeitig zu erkennen, Warnungen zu versenden und unterstützen uns bei aktiven Gegenmaßnahmen.

Links mit mehr Informationen zu Phishing E-Mails: