Aktuelle Meldungen

Auf Initiative der TU Braunschweig werden vom 4. Oktober bis 12. November 2021 die IT-Security Awareness Days (IT-SAD) von mehreren deutschen Hochschulen gemeinsam veranstaltet.
Die IT-Security Awareness Days sind eine hochschulübergreifende, öffentliche Online-Veranstaltung (keine Anmeldung erforderlich) mit 24 Vorträgen rund um die Informationssicherheit meist für Nutzende ohne besondere Vorkenntnisse. Zwei Vorträge richten sich an vorwiegend an Administratoren.
Details: IT-Security Awareness Days Wintersemester 2021/2022 – GITZ Blog (tu-braunschweig.de)
Die Veranstaltungen finden online statt, meist im “Raum” 
tu-braunschweig.webex.com/tu-braunschweig/j.php
Beachten Sie aber bitte die Hinweise bei jedem Vortrag (ggf. anderer Zugangslink)!
Das Programm sieht folgende Vorträge vor – beachten Sie aber bitte eventuelle Änderungen!

Programm:
04.10., 14:00 Uhr: Informationssicherheit im Homeoffice (Arne Windeler, TU Braunschweig)
05.10., 10:00 Uhr: Cyber-Security-Escape-Room (Eric Lanfer, René-Maximilian Malsky, Uni Osnabrück)
06.10., 10:00 Uhr: Passwort Manager (René-Maximilian Malsky, Uni Osnabrück)
06.10., 13:00 Uhr: 2-Faktor-Authentifizierung in ein paar Minuten (Lars Kiesow, Uni Osnabrück)
08.10., 10:00 Uhr: Die 11 "Goldenen Regeln" der IT-Sicherheit (Christian Böttger, TU Braunschweig)
11.10., 14:00 Uhr: Guided Online Tours der Online Tools des GITZ (Leonard-Jari Zurek, TU Braunschweig)
13.10., 13:00 Uhr: Cyber-Security-Escape-Room (Eric Lanfer, René-Maximilian Malsky, Uni Osnabrück)
14.10., 10:00 Uhr: Sichere Passwörter (Christian Böttger, TU Braunschweig)
18.10., 14:00 Uhr: Tücken des Alltags (Bernhard Brandel, KU Eichstädt-Ingolstadt)
19.10., 10:00 Uhr: Wie schütze ich meine (Forschungs-) Daten? (Lukas Härter, Uni Marburg)
21.10., 10:00 Uhr: Emotet – Ein Fallbeispiel für Bedrohungen (Christian Böttger, TU Braunschweig)
26.10., 10:00 Uhr: APT aus Sicht des Angreifers (Marius Mertens, Uni Duisburg-Essen)
27.10., 14:00 Uhr: Sicheres Surfen - Best of Privacy AddOns (Irmgard Blomenkemper, Uni Köln)
02.11., 14:00 Uhr: Vorsicht Falle! Hacker, Diebe, Social Engineerer (Holger Beck, Universität Göttingen)
03.11., 14:00 Uhr: Sicherheit im WLAN (Steffen Klemer, GWDG)
04.11., 10:00 Uhr: Die 4x4 der verbreitesten IT-Sicherheitsirrtümer (Christian Böttger, TU Braunschweig)
05.11., 10:00 Uhr: S/MIME – Digitales Signieren für E-Mail und Dokumente (Jochen Becker, TU Darmstadt)
08.11., 14:00 Uhr: E-Mail-Sicherheit / Phishing (Christian Böttger, TU Braunschweig)
09.11., 11:00 Uhr: Messenger - Datenschutz und IT-Sicherheit (Holger Beck, Uni Göttingen/GWDG)
09.11., 14:00 Uhr: ge-cloud(e) Daten - Smartphones ohne Google und Apple (Leonard Jari Zurek, TU Braunschweig)
10.11., 10:00 Uhr: Nutzung von IOCs und Yara-Rules in der IT-Forensik (Florian Gottschalk, Uni Göttingen)
12.11., 10:00 Uhr: Offene Fragen- und Antwortenrunde
12.11., 11:00 Uhr: Podiumsdiskussion
tba., XX:XX Uhr: Backup and Restore (Susan Roesner, Uni Hildesheim)
tba., XX:XX Uhr: Sicherheit für Windows-Arbeitsplatzrechner (Susan Roesner, Uni Hildesheim)

Einige Nutzerinnen und Nutzer haben die unten stehende E-Mail erhalten. Es handelt sich um eine sogenannte Sextorsion Scam E-Mail, siehe hierzu auch: Ich werde erpresst: Sextortion | Safeonweb
Die Behauptungen in der E-Mail sind frei erfunden. Es wurden keine Systeme kompromittiert und der Erpresser verfügt auch nicht über irgendwelche abgegriffenen kompromittierenden Daten. Der völlig allgemein gehaltene Text, gibt keinen Anhaltspunkt, dass der Erpresser tatsächlich an irgendwelchen Daten auf den eigenen Systemen gelangt ist.
In manchen Fällen werden, um der Forderung Nachdruck zu verleihen, gestohlene Passwörter eingesetzt. Die mögliche eigene Betroffenheit kann man hier überprüfen: Have I Been Pwned: Check if your email has been compromised in a data breach
Aus diesem Grund sollten Sie niemals das Passwort des Uni-Accounts parallel irgendwo anders verwenden.
Da wir das aber nicht ausschließen oder technisch verhindern können, bestehen wir nach wie vor auf einen regelmäßigen Passwortwechsel. Ältere gestohlene Passwörter werden damit wertlos.
Den Forderungen einer entsprechenden E-Mail sollte niemals nachgekommen werden.
Ob man Anzeige bei der Polizei erstattet, muss man selbst entscheiden, man kann die E-Mail auch einfach ignorieren und löschen.
Vor der betreffenden E-Mail wird im Internet bereits gewarnt, beispielsweise hier:
"I have to share bad news with you" Blackmail Email Scam (malwaretips.com)

-----Ursprüngliche Nachricht-----
Von: Cardiochoc (noreply@cardiochoc.ca)
Betreff: Payment notification
Greetings!
I have to share bad news with you.
Approximately few months ago I have gained access to your devices, which you use for internet browsing.
After that, I have started tracking your internet activities.
Here is the sequence of events:
Some time ago I have purchased access to email accounts from hackers
(nowadays, it is quite simple to purchase such thing online).
Obviously, I have easily managed to log in to your email account
One week later, I have already installed Trojan virus to Operating Systems of
all the devices that you use to access your email.
In fact, it was not really hard at all (since you were following the links
from your inbox emails).
All ingenious is simple. =)
This software provides me with access to all the controllers of your devices (e.g., your microphone, video camera and keyboard).
I have downloaded all your information, data, photos, web browsing history to my servers.
I have access to all your messengers, social networks, emails, chat history and contacts list.
My virus continuously refreshes the signatures (it is driver-based), and hence remains invisible for antivirus software.
Likewise, I guess by now you understand why I have stayed undetected until this letter...
While gathering information about you, I have discovered that you are a big fan of adult websites.
You really love visiting porn websites and watching exciting videos, while enduring an enormous amount of pleasure.
Well, I have managed to record a number of your dirty scenes and montaged a few videos, which show the way you masturbate and reach orgasms.
If you have doubts, I can make a few clicks of my mouse and all your videos will be shared to your friends, colleagues and relatives.
I have also no issue at all to make them available for public access.
I guess, you really don't want that to happen, considering the specificity of the videos you like to watch, (you perfectly know what I mean) it will cause a true catastrophe for you.
Let's settle it this way:
You transfer $1500 USD to me (in bitcoin equivalent according to the exchange rate at the moment of funds transfer), and once the transfer is received, I will delete all this dirty stuff right away.
After that we will forget about each other. I also promise to deactivate and delete all the harmful software from your devices. Trust me, I keep my word.
This is a fair deal and the price is quite low, considering that I have been checking out your profile and traffic for some time by now.
In case, if you don't know how to purchase and transfer the bitcoins - you can use any modern search engine.
Here is my bitcoin wallet: 1H122x1WmMv8MERnfeupzxtxT4v1F3944Y
You have less than 48 hours from the moment you opened this email (precisely 2 days).
Things you need to avoid from doing:
*Do not reply me (I have created this email inside your inbox and generated the return address).
*Do not try to contact police and other security services. In addition, forget about telling this to you friends. If I discover that (as you can see, it is really not so hard, considering that I control all your systems) - your video will be shared to public right away.
*Don't try to find me - it is absolutely pointless. All the cryptocurrency transactions are anonymous.
*Don't try to reinstall the OS on your devices or throw them away. It is pointless as well, since all the videos have already been saved at remote servers.
Things you don't need to worry about:
*That I won't be able to receive your funds transfer.
- Don't worry, I will see it right away, once you complete the transfer, since
I continuously track all your activities (my trojan virus has got a remote-control feature, something like TeamViewer).
*That I will share your videos anyway after you complete the funds transfer.- Trust me, I have no point to continue creating troubles in your life. If I really wanted that, I would do it long time ago!
Everything will be done in a fair manner!
One more thing... Don't get caught in similar kind of situations anymore in future!
My advice - keep changing all your passwords on a frequent basis

Zurzeit kursieren Fake-E-Mails, bei denen als Absendernamen die Namen von Professoren und Professorinnen der Bauhaus-Universität missbräuchlich verwendet werden. Durch die Verwendung eines Gmail-Accounts statt eines E-Mail-Accounts der Bauhaus-Universität ist die Fälschung leicht als solche zu erkennen.
E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel.
Der Absendername einer E-Mail besitzt grundsätzlich keinerlei Verlässlichkeit und kann leicht gefälscht werden. Hierzu wird keinerlei Spezialwissen benötigt und es muss auch kein E-Mail-Account kompromittiert werden.
Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.
Bei der Erstellung von Gmail- und anderen Freemailer-Accounts erfolgt keinerlei Identitätsfeststellung.
Somit lässt sich diese Missbrauchsform auch nicht verhindern.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
Um bei Google eine Sperrung des Mail-Accounts zu beantragen, muss mir die E-Mail mit kompletten E-Mail-Header vorliegen, siehe hierzu: https://hilfe.uni-paderborn.de/Mail_Header_anzeigen 
Ob ein entsprechenden Antrag überhaupt Erfolg hat ist fraglich, bisher gab es nie eine Rückmeldung seitens Google.

Weitere Indizien die für eine Fälschung sprechen:

• Es fehlt die persönliche Anrede.
• Es wird ein völlig nichtssagender Betreff verwendet.
• Es fehlt die an der Bauhaus-Universität übliche Text-Signatur.
• Die Nachfrage ist relativ sinnfrei. Will man mit jemanden sofort kommunizieren, bietet sich die Nutzung eines synchronen Kommunikationsmittels, wie dem Telefon, statt eines asynchronen Kommunikationsmittels, wie E-Mail an. Ich glaube kaum, das jemand eine ähnliche Bitte schon jemals in einem seriösen Kontext erhalten hat. Nutzt man E-Mail kann man auch gleich schreiben, worum es geht.
• Das flapsige BR (best regards) am Ende werden wohl die wenigsten Professoren und Professorinnen als Grußformel verwenden.

--
Von: [Vorname Name] (directord222@gmail.com)
Betreff: Available?
If you have a minute, could you please drop an email.
BR
Prof. [Vorname Name]

Zurzeit kursieren Fake-E-Mails, die eine Geldzahlung erwirken sollen. Die Fälschungsmasche gibt es schon länger, sie läuft immer nach dem gleichen Schema ab und so eigentlich sehr leicht zu entlarven. Als Absendername wird der Name einer Mitarbeiterin der Bauhaus-Universität missbräuchlich verwendet. Die E-Mail wurde statt von einem E-Mail-Account der Bauhaus-Universität von einem Gmail-Account versendet, dass sollte sofort auffallen.

E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel.

Der Absendername einer E-Mail besitzt grundsätzlich keinerlei Verlässlichkeit und kann leicht gefälscht werden. Hierzu wird keinerlei Spezialwissen benötigt und es muss auch kein E-Mail-Account kompromittiert werden.

Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.

Bei der Erstellung von Gmail- und anderen Freemailer-Accounts erfolgt keinerlei Identitätsfeststellung.

Durch die Verwendung einer Gmail-Absender-Adresse liegt die Fälschung hier auf der Hand und ist somit leicht erkennbar. Da die Empfängerin eine Rückfrage gestellt hat, liegen mir auch Folgemails des Angreifers vor (siehe unten, Name anonymisiert).

Für eine Fälschung sprechen weiterhin:

• Es fehlt die persönliche Anrede.
• Es wird ein völlig nichtssagender Betreff verwendet, der Handlungsdruck erzeugen soll. Hier sollte man immer hellhörig werden.
• Es fehlt die an der Bauhaus-Universität übliche Text-Signatur.
• Zahlungen sollten immer einem konkreten Vorgang zugeordnet werden können, das ist hier gar nicht möglich. Jede Rechnung im Geschäftsverkehr muss eine Rechnungsnummer enthalten, die in der Kommunikation angegeben wird. Als Verwendungszweck im Geschäftsverkehr lediglich „Beratung, Akquisitionen und Dienstleistungen“ zu nutzen, ist abwegig
• Ausweichende Aussagen auf Nachfragen (werde die Dokumentation später senden – merkwürdige Wortwahl, Rechnung wäre hier wohl treffender) sollten ebenfalls stutzig machen.
• Hatte man mit der vermeintlichen Absenderin bereits Mailkontakt sollten einem Abweichungen vom üblichen Schreibstil, dem Aufbau der E-Mail oder dem Vorgang an sich auffallen.
• Die Forderung nach Nachweis einer Zahlung ist ebenfalls abwegig, den Eingang einer Zahlung kann jede/r bei Geldeingang auf dem Konto selbst feststellen.

Hat man Zweifel an der Echtheit einer E-Mail empfiehlt es sich telefonisch beim vermeintlichen Absender nachzufragen, wobei die Telefonnummer einer seriösen Quelle zu entnehmen ist.

Auf eine entsprechende Mail sollte nicht reagiert werden, sie ist zu löschen.
--
Von: Vorname Name (buero.offices@gmail.com)
Betreff: Dringend
Wir müssen eine Zahlung von 43.650,17 Euro leisten. Können wir das heute tun?
Grüße,
Vorname Name
--
Betreff: Re: Dringend
Ok, ich werde die Dokumentation später senden, bitte bezahlen
Kontoname: International trading GmbH
Kontonummer:  0191016233
IBAN: DE11100500000191016233
BIC: BELADEBEXXX
Bankname: Landesbank Berlin
Bankadresse:Alexanderpl. 2, 10178 Berlin
Zweck: Beratung, Akquisitionen und Dienstleistungen
Senden Sie mir einen Zahlungsnachweis.
Grüße,
Vorname Name
--
Betreff: Re: Dringend
Wurde die Zahlung geleistet? Senden Sie mir den Zahlungsnachweis.
--
Betreff: Re: Dringend
Ist die Zahlung abgeschlossen?

Einige Nutzerinnen und Nutzer haben gefälschte Termineinladungen erhalten. Die Einladungen enthalten einen Link mit Schadpotential. Auf Grund des Formates der Termineinladungen werden diese in der Regel automatisch in Outlook oder andere Mailclients übernommen. Auf eine entsprechende Termin-Einladung sollte nicht reagiert werden (nicht annehmen, ablehnen etc.), die Eintragung kann per Rechtsklick und der Option Löschen aus dem Kalender entfernt werden. Auf keinen Fall sollte leichtfertig auf einen Link geklickt werden.

Weitere Informationen in der Warnung der Polizei:

Spam per Kalendereintrag aus Mail - RATGEBER INTERNETKRIMINALITÄT (polizei-praevention.de)

Als Absendeadresse wurden im unten stehenden Beispiel eine GMX-Adresse genutzt.

Weitere Auffälligkeiten:

• Name mit Darstellungsfehler im Betreff
• Hi im Betreff
• Es wird ein anderen Name, als der des Empfängers/ der Empfängerin genannt.
• Der eigentlich nichtssagende Text in der Einladung, soll neugierig machen, ist aber auch ein starkes Indiz für eine Fälschung. Der enthaltene Link sollte auf keinen Fall angeklickt werden.
• Auch die abschließende Floskel Gute Zeit sollte stutzig machen.
• Bei Formulierungen in vertraulicher Art von einer fremden Person ist ebenfalls Skepsis angebracht.

Von: Harlan Angelino (harlanangelino3nij@gmx.de)
Betreff: Einladung: Markus M_ller:Hi am Di, 18.05.2021 (UTC+01:00), Ganztägig
Zeit: Dienstag, 18. Mai 2021 02:00 bis Mittwoch, 19. Mai 2021 02:00 (UTC+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien.
Ort:
Einladung
Harlan Angelino (harlanangelino3nij@gmx.de)  hat Sie zu einem Termin eingeladen:     
Markus M_ller:Hi
Markus M_ller:Gelingt es Ihnen zu widerstehen? ...ttps://bit.ly/3om8Bh... Gute Zeit

Einige unserer Nutzerinnen und Nutzer erhielten die unten stehende offensichtlich unseriöse E-Mail. Es gibt in der E-Mail keinerlei Bezug zur Bauhaus-Universität, somit sollte auch kein Anlass bestehen, diesen herzustellen. Es gibt überhaupt keinen Bezug zu irgendeinem E-Mail-Dienst oder Anbieter, auf wen oder was soll sich denn dann diese E-Mail beziehen?

Weitere Indizien für eine Fälschung sind:

• merkwürdiger, sprachlich völlig verquerer Absender-Name (Konten Administrativ),
• nichtssagende polnische Absendeadresse aus dem Bildungsbereich (ggf. gekaperter Account),
• fehlende persönliche Anrede, auch im Text bleibt man völlig unkonkret,
• der angebliche eingeschränkte E-Mail-Account wird nicht genannt (Soll es der hier angeschriebene sein, ist ja schon mal der Mailempfang nicht eingeschränkt, dass passt nicht so ganz.),
• unprofessionelles HTML-Layout,
• ominöser Link aus dem Vereinigten Königreich (.uk),
• gesteltzte Sprache soll Seriösität vermitteln, tut es aber nicht, sprachliche Fehler gibt es trotzdem (wie beispielsweise die Punkte hinter Grüße und Webs),
• flapsige Grußformel (Schöne Grüße),
• alberne Tätigkeitsbezeichnung (Webmaster des Webs),
• fehlende Text-Signatur.

Von: Konten Administrativ (mjanczak@ur.edu.pl)
Ihr Konto wurde eingeschränkt
Warum ist das passiert?
Ihr Konto ist eingeschränkt, da wir ein Verhalten festgestellt haben, das gegen unsere Nutzungsbedingungen zu verstoßen scheint. Weitere Informationen zu den Verhaltensweisen, die zu Einschränkungen führen können, finden Sie im Abschnitt "Was ist zulässig und was nicht zulässig" in unserer Benutzervereinbarung.
Was tun, wenn Sie der Meinung sind, dass diese Aktion ein Fehler war?
Wenn Sie der Meinung sind, dass Ihr Konto irrtümlich eingeschränkt wurde, können Sie Einspruch einlegen, indem Sie zunächst Ihre Identität bei uns überprüfen. Es wird empfohlen, dass Sie Ihr Konto aktualisieren und die Einschränkung jetzt aufheben.
Klicken Sie hier, um die Einschränkung zu aktualisieren und aufzuheben (...ttp://bermitntelnug.ucouuiodu.co.uk/Nachprüfung...)
Sobald wir Ihr E-Mail-Konto überprüft haben, überprüfen wir Ihr Konto, um festzustellen, ob es versehentlich eingeschränkt wurde. Wenn Sie sich qualifizieren, wird sich ein Kundendienstmitarbeiter mit Ihnen in Verbindung setzen, um Sie zu informieren, wenn die Kontobeschränkung aufgehoben wurde.
Bitte beachten Sie, dass Ihr Konto dauerhaft eingeschränkt wird, wenn Sie diese Nachricht ignorieren.
Schöne Grüße.
Konten Administrativ
Webmaster des Webs.
Copyright © 2021

Vor kurzem habe ich bereits vor ähnlichen E-Mails gewarnt.
Hier eine weitere leicht abgewandelte Variante.
Der vermeintliche Absender soll angeblich wieder ein Professor der Bauhaus-Universität sein.
Der Absendername wurde aber gefälscht.
Die E-Mail wurde statt von einem E-Mail-Account der Bauhaus-Universität von einem Gmail-Account versendet.
E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel.
Der Absendername einer E-Mail besitzt keinerlei Verlässlichkeit und kann leicht gefälscht werden.
Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.
Bei der Erstellung von Gmail- und anderen Freemailer-Accounts erfolgt keinerlei Identitätsfeststellung.

Durch die Verwendung einer Gmail-Absender-Adresse (die selber schon merkwürdig erscheinen sollte) liegt die Fälschung hier auf der Hand und ist somit leicht erkennbar.

Weitere Indizien die für eine Fälschung sprechen:

• nichtssagender, merkwürdig anmutender Betreff, der zudem mehrere sprachliche Fehler enthält
• keine persönliche Anrede,
• merkwürdige Anfrage, ohne einen Kontext sollen sie jemandem auf eine nichtssagende Mail antworten, wozu???
• Die an der Bauhaus-Universität übliche E-Mail-Signatur fehlt

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
---
Von: Prof. Dr.-Ing. habil. [Vorname Name] (chairmail2021@gmail.com)
Betreff: Areu Available?
Hello,
I need your assistance right now kindly email me back as soon as possible.
Best Regards
Prof. Dr.-Ing. habil. [Name Vorname]
Chair
Thanks
(...ttps://my-email-signature.link/signature.gif?u=1437962&e=152133838&v=facdad3cc7e754876402637aebeff03aa2bdc2e6e266c5a3a4ae7837a5...) 

Einige Nutzerinnen und Nutzer erhielten eine E-Mail, angeblich von einem Professor der Bauhaus-Universität.
Diese Absenderangabe wurde aber gefälscht.
Die E-Mail wurde statt von einem E-Mail-Account der Bauhaus-Universität von einem Gmail-Account versendet.
E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel.
Der Absendername einer E-Mail besitzt keinerlei Verlässlichkeit und kann leicht gefälscht werden.
Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.
Bei der Erstellung von Gmail- und anderen Freemailer-Accounts erfolgt keinerlei Identitätsfeststellung.
Durch die Verwendung einer Gmail-Absender-Adresse (die selber schon merkwürdig erscheinen sollte) liegt die Fälschung hier auf der Hand und sollte von jeder/jedem leicht erkannt werden können.
Weitere Indizien die für eine Fälschung sprechen:

• nichtssagender, merkwürdig anmutender Betreff, dazu noch komplett in Großbuchstaben,
• Schreibfehler,
• keine persönliche Anrede,
• merkwürdige Anfrage, ohne einen Kontext sollen sie jemandem eine Mail senden, wozu???

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
--
Fake-E-Mail [Detailangaben zum geälschten Absender entfernt]:

From: Prof. Dr.-Ing. [Vorname Nachname] (mtayo374@gmail.com)
Hello   
Your attention is required, Kindly email me back as soon as possible
Best Regards
Prof. Dr.-Ing. [Vorname Nachname]
Professorship of [...]
Institute for [...]
Faculty of [...]
Bauhaus University Weimar

Einige Nutzer/innen haben die untenstehenden E-Mails erhalten, die nicht vom angeblichen Absender stammen. Bei den E-Mails wurde der Absendername eines Professors der Bauhaus-Universität missbräuchlich verwendet.

Hierzu sollte man wissen, dass der Absendername einer E-Mail grundsätzlich keinerlei Verlässlichkeit besitzt und beliebig gefälscht werden kann. Hierzu wird keinerlei Spezialwissen benötigt und der E-Mail-Account des vermeintlichen Absenders muss auch nicht kompromittiert werden. Bei so genannten Free-Mailern, wie Gmail, Outlook-E-Mail etc., erfolgt bei der Vergabe von E-Mail-Adressen keinerlei persönliche Identifikation. Der Nachweis der Authentizität des Absenders kann nur durch den Einsatz digitaler Signaturen gewährleistet werden. Das Missbrauchsszenario selbst lässt sich damit aber nicht verhindern. Es ist angeraten bei der E-Mail-Nutzung grundsätzlich vorsichtig zu agieren. Insbesondere bei ungewöhnlichen Anfragen, sollte man skeptisch werden.

Indizien für eine Fälschung der unten stehenden E-Mail:

• Absenderadresse passt nicht zum Absendernamen
• Verwendung von Vorname Nachname als Betreff
• Fehlen der an der Bauhaus-Universität üblichen E-Mail-Signatur
• ungewöhnliches Anliegen
• Schreibfehler
• fehlende (persönliche) Anrede
• AW: im Betreff kennzeichnet eine Antwort, zu der es aber erstmal eine Anfrage geben müsste.
• Die Zusendung der Gutscheinkarte soll nicht an die E-Mail-Adresse der Bauhaus-Universität erfolgen.
• Wechsel zwischen Du und Sie innerhalb der E-Mail-Konversation.

Auf die E-Mails sollte nicht reagiert werden, sie sind zu löschen.

Fake-E-Mails (gefälschter Absendername wurde anonymisiert).
---------------
Von: Vorname Nachname [nachträglich anonymisiert]
Betreff: AW: Vorname Nachname
Können Sie Apple iTunes Geschenkkarten an der Tankstelle und im
nächstgelegenen Geschäft oder Supermarkt kaufen, und wie schnell
können Sie es tun? Es ist dringend.
grüße
Vorname Nachname
---
nach Nachfrage der Empfängerin:

Von: Vorname Nachname [nachträglich anonymisiert]
Betreff: AW: Vorname Nachname
Kannst du mir online eine Karte kaufen?
---
nach weiterer Nachfrage:

Von: Vorname Nachname (konsernsjefprivat@gmail.com)
Betreff: AW: Vorname Nachname
Kaufen Sie 100 EUR senden an vorname.nachname@outlook.com.

Einige Nutzerinnen und Nutzer erhielten eine E-Mail, angeblich von einem Mitarbeiter der Bauhaus-Universität. Diese Absenderangabe wurde aber gefälscht. Die E-Mail wurde statt von einem E-Mail-Account der Bauhaus-Universität von einem Gmail-Account versendet.

E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel.
Der Absendername einer E-Mail besitzt keinerlei Verlässlichkeit und kann leicht gefälscht werden.
Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.
Bei der Erstellung von Gmail- und anderen Freemailer-Accounts erfolgt keinerlei Identitätsfeststellung.
Durch die Verwendung einer Gmail-Absender-Adresse (die selber schon merkwürdig erscheinen sollte) liegt die Fälschung hier auf der Hand und sollte von jeder/jedem leicht erkannt werden können.

Weitere Indizien die für eine Fälschung sprechen:

• nichtssagender, merkwürdig anmutender Betreff
• Schreibfehler
• Warum sollte ein deutscher Mitarbeiter anderen deutschen Uni-Angehörigen Mails in Englisch schreiben?
• keine persönliche Anrede
• Die an der Universität übliche E-Mail-Signatur fehlt.
• merkwürdige Anfrage, ohne einen Kontext sollen sie jemandem eine Mail senden, wozu???

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Fake-E-Mail:
--------------
[gefälschter Akad. Grad Vorname Name] (direktormail4451@gmail.com)
  Hello
When you get a minute could you please drop me an email.
Regards
[ gefälschter Akad. Grad Vorname Nachname]
Director

Einige Nutzerinnen haben die untenstehende oder ähnliche E-Mail erhalten die nicht von den angeblichen Absendern (Professoren) stammen. Bei den E-Mails wurde der Absendername eines Professors der Bauhaus-Universität missbräuchlich verwendet. Hierzu sollte man wissen, dass der Absendername einer E-Mail grundsätzlich keinerlei Verlässlichkeit besitzt, und beliebig gefälscht werden kann. Hierzu wird keinerlei Spezialwissen benötigt und der E-Mail-Account des vermeintlichen Absenders muss auch nicht kompromittiert werden. Bei so genannten Free-Mailern, wie Gmail, erfolgt bei der Vergabe von E-Mail-Adressen keinerlei persönliche Identifikation. Der Nachweis der Authentizität des Absenders kann nur durch den Einsatz digitaler Signaturen gewährleistet werden. Dass Missbrauchsszenario selbst lässt sich damit aber nicht verhindern. Da der tatsächliche Absender den Missbrauch in keiner Weise verhindern kann, sein Mailaccount in der Regel nicht gehackt wurde und er auch den Kreis der potentiellen Empfänger nicht kennt, macht eine Information desjenigen eigentlich wenig Sinn. Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Erkennen lässt sich die Fälschung an folgenden Merkmalen:

• Verwendung einer Gmail, statt eine Uni-E-Mail-Adresse.
• Es wird keine persönliche Anrede verwendet.
• Warum sollten zwei Muttersprachler (Deutsche) in einer Fremdsprache (Englisch) miteinander kommunizieren?
• Wird eine E-Mail als Spam gekennzeichnet, besteht eine hohe Wahrscheinlichkeit, dass dem auch so ist.
• Betreff und Text sind völlig unbestimmt, warum sollte man das tun?
• Großschreibung in Mails gehört nicht zum guten Ton.
• Kenn man den Kommunikationspartner sollten einem Unterschiede zu der bisherigen Kommunikation auffallen.
• Die an der Bauhaus-Universität übliche E-Mail-Signatur fehlt.

--Fake-Mail--

Von: Prof. Dr.-Ing. Vorname Name (professormailbox13@gmail.com)
Betreff: [SPAM] ARE YOU AVAILABLE
Hello
I need a favor from you right now kindly email me back as soon as possible. 
Regards,Prof. Dr.-Ing. Vorname Name Sent from my iPad
(Name wurde anonymisiert)

Einige Nutzerinnen und Nutzer haben eine E-Mail erhalten, bei der es sich mutmaßlich um einen Fake handelt. Da es in der E-Mail keinerlei Bezug zur Bauhaus-Universität Weimar gibt, sollte auch keinerlei Veranlassung bestehen diesen herzustellen und deshalb dem Link in der E-Mail zu folgen.

• Die Absendeadresse gehört nicht zur Bauhaus-Uni.
• Wir verwenden die offiziellen Bezeichnungen, die Bezeichnung IT-Service Support nutzen wir nicht.
• Wir verwenden möglichst aussagekräftige Betreffs und ganz sicher nicht nur IT-Service-Support.
• Unsere E-Mails enthalten immer eine (persönliche) Anrede.
• Sollten Upgrades einmal tatsächlich Nutzerinteraktionen erfordern, kündigen wir diese rechtzeitig über die SCC Pinnwand an. Auch Umstellungen im IT-Bereich werden immer vorab angekündigt.
• Für interne Services verwenden wir keine ominösen externen Links.
• Eine komplette Mail-Konto-Deaktivierung/-schließung wegen nicht erfolgter Reaktion ist für den Beteich der Bauhaus-Uni absoluter Nonsens.
• Wir verwenden als Absenderbezeichnung niemals einfach Systemadministrator, sondern nutzen die an der Bauhaus-Uni üblich Mail-Signatur.

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen
--
Von: Pamela Wagner (pwagner@nuevaschool.org)
Betreff: IT-Service-Support
Wir führen derzeit ein Upgrade für alle aktiven Konten durch. Um das Upgrade automatisch abzuschließen, müssen Sie das Upgrade manuell initiieren, indem Sie das OUTLOOK-WEBPORTAL <...ttps://c0hcq143.caspio.com/dp/59ca8000cb106d149f7f4d7....>  besuchen. Das Upgrade wird vom 9. bis 11. November 2020 wirksam.
Alle Outlook-Konten, die innerhalb dieses Zeitraums nicht aktualisiert wurden, werden als inaktiv eingestuft. Dies kann zur Deaktivierung / Schließung des Kontos führen.
Freundliche Grüße,
Systemadministrator.

Einige unserer Nutzerinnen und Nutzer habe eine E-Mail erhalten, die nicht - wie vorgegeben - von der Bauhaus-Universität Weimar stammt. Auf die E-Mail sollte nicht reagiert werden. Dem enthaltenen Link sollte nicht gefolgt werden. Die E-Mail ist zu löschen.

Die Fälschung kann an folgenden Merkmalen erkannt werden:

• Wir verwenden keinen nichtssagenden Betreff, wie - Sie haben {1} neue wichtige Nachricht -.
• Wir versenden E-Mails nur über interne E-Mail-Adressen und nicht gmail.com.
• Wir verwenden eine persönliche Anrede.
• Interne Dienste werden über unsere Domain uni-weimar.de angeboten. Nur weil in einer URL uni-weimar enthalten ist, gehört diese Adresse noch lange nicht zur Bauhaus-Universität. Weebly.com nutzen wir nicht für unsere Dienste.
• Wir verwenden bei Warnungs- und Info-E-Mails kein HTML.
• Wir verschleiern Links in E-Mails nicht über KLICKE HIER.
• Wir verwenden eine abschließende Grußformel.
• Wir verwenden die an der Bauhaus-Universität übliche E-Mail-Signatur.
• Wir verwenden die offiziellen Bezeichnungen, das Management Team gibt es im SCC nicht und auch die Bezeichnung IT Helpdesk nutzen wir nicht.
• Inhaltlich macht die E-Mail keinen Sinn. Bei gravierenden Sicherheitsproblemen wird der Uni-Account, nicht nur der E-Mail-Account, gesperrt. Eine Entsperrung über einen Link wird es nicht geben, sie müssen sich immer persönlich bei der SCC Hotline melden. Auch die Aussage, dass das Mail-Konto vorübergehend deaktiviert wurde, da einige Informationen nicht überprüft wurden, ist abwegig. Auch andere Formulierungen sind Nonsens, wie die Androhung der vollständigen Löschung wegen nicht erfolgter Reaktion. 

Von: IT Helpdek (mailto:abigailanitafinance(at)gmail.com)
Sehr geehrter E-Mail-Account-Benutzer der Bauhaus-Universität Weimar
Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund ungewöhnlicher Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
KLICKE HIER (...ttps://uni--weimar-de.weebly.co...)
Möglicherweise finden Sie diese Nachricht aufgrund ungewöhnlicher Aktivitäten in Ihrem Junk-Ordner. Wechseln Sie bitte in Ihren Posteingang und klicken Sie auf den obigen Link. Wenn Sie dies nicht tun, wird Ihr E-Mail-Konto vollständig gesperrt und Ihre E-Mail wird vom Mailserver gelöscht. Ignorieren Sie diese Benachrichtigung nicht. Sehr dringend behandeln
Datenschutzerklärung | © 2020 Bauhaus-Universität Weimar. Alle Rechte vorbehalten Management Team

Einige Nutzerinnen und Nutzer erhielten eine E-Mail, angeblich von einer Mitarbeiterin der Bauhaus-Universität versendet wurde. Diese Absenderangabe ist gefälscht. E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel. Der Absendername einer E-Mail besitzt grundsätzlich keinerlei Verlässlichkeit und kann leicht gefälscht werden. Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.

Der in der E-Mail enthaltene Link soll Schadsoftware auf das System schleusen. Der Sophos Schadsoftwareschutz erkennt und eliminiert die Bedrohung. Trotzdem sollte niemals leichtfertig ein Anhang geöffnet oder einem Link gefolgt werden.

Die Fake-E-Mail lässt sich leicht als Fälschung entlarven:

• externe Absendeadresse statt der Uni-E-Mail-Adresse,
• fehlende Anrede,
• im Text wird von einem Anhang gesprochen, die E-Mail enthält dann aber nur einen Link,
• sprachliche Fehler sind ein Indiz für eine Fälschung,
• Inhalte, die im verwendeten Kontext keinen Sinn machen (Gebührenfreien Rufnummer (dazu noch fehlerhaft, Verweis auf AGBs...),
• insgesamt wirrer Inhalt und Betreff, der sich so ganz sicher keinem realen Vorgang zuordnen lässt,
• ominöser Link zu einer chilenischen Webseite, bei internen Verwaltungsprozessen komplett abwegig,
• ein Witte-Reisch Stefanie Team gibt es ganz sicher nicht (hier outet sich ein Nicht-Muttersprachler).

Beim Empfang einer E-Mail, deren Inhalt sich einem nicht erschließt oder der maßgeblich von den normalerweise empfangenen E-Mails abweicht ist erhöhte Vorsicht geboten

Fake-E-Mail
-------------
Von: Witte-Reisch Stefanie (televendas10@bigmotos.com.br
)Alle wesentlichen Informationen finden Sie in der im Anhang.
...ttps://www.altopropiedades.cl/fonts/pv-a0gwr-8001...
Es gelten unsere Allgemeinen Geschäftsbedingungen!
Lieben Dank
Ihr Witte-Reisch Stefanie Team
Gebührenfreien Rufnummer 0800 896 967 5
Gesendet mit meinem Nokia

Einige Nutzerinnen und Nutzer erhielten eine E-Mail, angeblich vom Präsidenten der Bauhaus-Universität. Diese Absenderangabe wurde aber gefälscht. E-Mail war, ist und bleibt ein unsicheres Kommunikationsmittel. Der Absendername einer E-Mail besitzt keinerlei Verlässlichkeit und kann leicht gefälscht werden. Nur der Einsatz digitaler Signaturen ermöglicht eine verlässliche Verifikation des Absenders.

Durch die Verwendung einer Gmail-Absender-Adresse liegt die Fälschung hier auf der Hand und sollte von jeder/jedem leicht erkannt werden können.

Weitere Indizien die für eine Fälschung sprechen:

• nichtssagender Betreff in Englisch bei einem rein deutschen Mailtext,
• die (persönliche) Anrede fehlt,
• merkwürdige Anfrage, ohne einen Kontext sollen Sie dem Präsidenten eine Mail senden, wozu???

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Fake-E-Mail:

Von: Winfried Speitkamp (jessjames485@gmail.com)
Betreff: Request
Wenn Sie eine Minute Zeit haben, schreiben Sie mir bitte eine E-Mail.
Mit bestem Gruß
Winfried Speitkamp
President of Bauhaus-universität Weimar

Einige Nutzerinnen und Nutzer haben folgende Phishing-E-Mail empfangen. In der gesamten E-Mail gibt es nicht den kleinsten Hinweis auf eine Verbindung zur Bauhaus-Universität, somit ist es hochgradig abwegig hier eine Verbindung herzustellen und die Zugangsdaten Preiszugeben.

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Auf eine Fälschung deuten folgende Merkmale hin:

• Der Zugriff auf ein E-Mail-Konto mit wechselnden IP-Adressen ist völlig normal und keinesfalls ein Grund für eine Sperrung. E-Mail-Adressen für den ausschließlich internen Gebrauch gibt es bei uns nicht.
• Welches Mail-Konto soll den eigentlich betroffen sein? Es wird kein konkretes genannt.
• Die (persönliche) Anrede fehlt.
• Die abschließende Grußformel fehlt. Lediglich Administrator ist ein wenig dürftig.
• Es gibt keine E-Mail Signatur mit Absenderangaben.
• Sinnlose Floskeln wie "Alle Rechte vorbehalten" würden wir nicht verwenden.
• Sprachliche Fehler sind ein Indiz für eine Fälschung (was nun >Ihr< oder >unser< Konto... ?)
• Dienste des kostenlosen Website Builders weebly.com nutzen wir nicht.
• Als Absendername würden wir niemals nur Admin verwenden.
• Der Absender nutzt eine philippinische E-Mail-Adresse, merkwürdig, oder?
• Wir garnieren unsere E-Mails nicht mir irgendwelchen Schadsoftwarescan-Infos, wozu auch?
• Wenn wir ihr Konto sperren, würde für eine Entsperrung keinesfalls die Eingabe der eigenen Zugangsdaten auf irgendeiner Webseite ausreichen. Sie müssten sich schon persönlich bei der Hotline SCC melden.

Von: Admin <rababasoro@namria.gov.ph>
Wir haben festgestellt, dass auf Ihr Konto von einer anderen IP aus zugegriffen wurde.
Bitte melden Sie sich jetzt an und bestätigen Sie Ihre Adresse, um unser Konto weiterhin nutzen zu können!
KLICKE HIER (...ttps://email-up.weebly.com/)
Administrator.
Alle Rechte vorbehalten.
***** The information contained in this communication is privileged and confidential and intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it.  If you are not the intended recipient, you must not disclose or use the information contained in it.  If you have received this email in error, please notify us immediately.  You may contact us at (+632) 8884-2877 or email us at gictd@namria.gov.ph.  *****
Scanned by Trustwave SEG - Trustwave's comprehensive email content security solution. Download a free evaluation of Trustwave SEG at www.trustwave.com

Verschiedene Studierende haben gefälschte E-Mails erhalten, die angeblich von Professoren/ Professorinnen der Bauhaus-Universität stammen. Auf die E-Mails sollte nicht reagiert werden, sie sind zu löschen. Da in einem Fall erst fälschlicherweise auf die Fake-Mail geantwortet wurde, können wir einen Teil der E-Mail-Kommunikation hier darstellen und Hinweise zur Erkennung der Fälschung geben.

• Nur weil in einer Absender-E-Mail-Adresse uni-weimar.de auftaucht, muss die E-Mail nach lange nicht von der Bauhaus-Universität stammen. Wir verwenden die Domain uni-weimar.de in den Fake-Mails wird die Domain my.com genutzt. E-Mail-Adressen der Bauhaus-Universität haben das Format vorname.nachname@uni-weimar.de in der Fake-Mail wird das Format vorname.nachname.uni-weimar.de@my.com verwendet.
• In der ersten Fake-E-Mail fehlt die abschließende Grußformel. Es wird eine sehr lockere, vertrauliche, sicher so nicht immer übliche Sprache verwendet.
• Es werden komische Formulierungen, wie bist Du verfügbar verwendet bzw. ein an sich merkwürdige Frage.
• In den weiteren E-Mails werden umständliche, unübliche Formulierungen verwendet.
• In der zweiten E-Mail werden nur merkwürdige Andeutungen gemacht.
• Werden Dinge verlangt, die völlig unüblich sind, sollte man immer misstrauisch sein.
• In der dritten E-Mail wird zwischen Du und Sie gewechselt, auch das ein Indiz für eine Fälschung, Hier gibt es dazu sprachliche Fehler die insbesondere einer Professorin/einem Professor garantiert nicht passieren würden. >Sie müssen mir helfen, Geschenkkarten aus jedem Geschäft zu bekommen.<
• In der sechsten E-Mail macht der Satz >Ich bestelle bereits online, aber es muss noch geliefert werden.< auch keinen Sinn. Wozu dann das Ganze?
• Es sollen Geschenkkarten gekauft, freigerubbelt werden (damit sieht man den Code den man zum Einlösen braucht und dann an eine andere E-Mail-Adresse senden. Das Vorgehen ist doch sehr abwegig. Wer das tut, wäre sein Geld los. Der Angreifer könnte die Geschenkkarten sofort einsetzen. Ich kann mir nicht vorstellen, dass ein Professor/ eine Professorin so etwas jemals von einem Studierenden/ einer Studierenden verlangen würde. Das ist doch alles sehr abwegig.

Vorname Nachname (vorname.nachname.uni-weimar.de@my.com) wrote:

Hallo Vorname!  Bist du verfügbar ?
Vorname Nachname
Professor und Studiendekan
Architektur und Städtebau
Bauhaus Universität, Weimar
Belvederer Allee 5
99423 Weimar
----
Okay, du musst eine Aufgabe für mich diskret erledigen.‌
Ich bin jetzt in einer Besprechung.‌
Anrufe sind verboten, daher kann ich Sie nur per E-Mail kontaktieren.
Ich habe keine Ahnung, wann wir die Dinge hier erledigen werden.
Ich brauche jedoch wirklich Ihre Hilfe bei etwas, das meine dringende Aufmerksamkeit erfordert.
----
Sie müssen mir helfen, Geschenkkarten aus jedem Geschäft zu bekommen.
Ich werde Sie erstatten, wenn ich im Büro bin. 
Ich muss es an einen Kollegen senden und es ist sehr wichtig, weil ich noch am Meeting bin und es so schnell wie möglich erhalten muss. 
Kannst du das bitte für mich tun?
----
Bitte helfen Sie mir, vier Amazon-Geschenkkarten im Wert von 100 € in einem beliebigen Geschäft zu erhalten. 
Das sind insgesamt 400 €. 
Ich werde es dir erstatten, sobald ich im Büro bin. 
Ich brauche physische Karten, also hilfst du mir, sie aus dem Laden zu holen. 
Wenn Sie sie erhalten, kratzen Sie einfach, machen Sie ein Foto der Karten mit Quittung, hängen Sie sie an die E-Mail an und senden Sie sie an seine E-Mail michaeltacom@gmail.com. Vielen Dank
----
Ich muss es ihm so schnell wie möglich schicken und das ist das einzige Mittel, das schneller geht. 
Ich werde die physische Karte nach dem Treffen abholen und Ihnen die Kosten erstatten. 
Aber ich muss ihm die Karten per E-Mail schicken. 
Kannst du das bitte für mich tun?
----
Ich bestelle bereits online, aber es muss noch geliefert werden.
Aus diesem Grund müssen Sie mir helfen, physische Karten aus einem Geschäft zu erhalten und an ihn zu senden. 
Auf diese Weise ist es viel schneller. 
Vielen Dank
----
Okay, bitte helfen Sie mir, die Geschenkkarte zu kratzen, machen Sie ein Foto von der Rubbelkarte und senden Sie es an die E-Mail, die ich Ihnen mit Quittung gesendet habe. 
Ich werde Sie nach dem Treffen erstatten.
Vielen Dank
----
Hallo Vorname, danke, dass du mit den Geschenkkarten geholfen hast. 
Bitte helfen Sie mir, es zu kratzen und an die E-Mail zu senden, die ich Ihnen gesendet habe, oder senden Sie es mir hier, damit ich es ihm direkt hier senden kann. 
Bitte helfen Sie mir so schnell wie möglich zu senden. 
Vielen Dank 

Folgende E-Mail mit wechselnden Betreffs wurde an einige E-Mail-Adressen der Bauhaus-Universität Weimar versendet. Alles was darin steht ist frei erfunden, diese Art von Erpressungsmails nennt man Sextortion, es handelt sich also um ein bereits bekanntes Angriffsszenario, was beispielsweise hier gut erklärt wird:

www.expertiger.de/blog/erpressermail-konto-gehackt/ 

Auch wenn die E-Mail Ihre E-Mail-Adresse als Absendeadresse anzeigt, heißt das noch lange nicht, dass der Account gehackt wurde, sondern, dass E-Mail eben ein unsicheres Kommunikationsmittel ist. Das Fälschen der Absenderangaben nennt man Mail-Spoofing. Da auch E-Mail-Adressen angeschrieben wurden, die gar keinen hackbaren Account repräsentieren, kann hier von einem Fake ausgegangen werden. Es schadet natürlich nichts das persönliche Passwort zu ändern, eine Notwendigkeit dazu ist aber nicht gegeben.

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Folgende Merkmale deuten auf eine Fälschung hin:

• Die E-Mail ist sehr unprofessionell gehalten (zu viel Text, zu viel blabla, keine Details, inhaltlich Unstimmiges, megaschlechtes Deutsch...), ob der Angreifer hacken kann ist fraglich, bei der Bedienung eines Übersetzungsprogramms hat er/sie jedenfalls erhebliche Defizite.
• Der Konsum von Pornographie auf dienstlichen Rechnern, denn das meinen die verklausulierten Formulierungen wohl, ist doch eher abwegig.
• Hat ihr System keine Webcam oder ist diese abgedeckt, sind Videoaufnahmen schon mal nicht möglich.
• Besitzt das System eine Webcam, ist diese meist auf die eigene Person vor dem Bildschirm und nicht auf den Bildschirm selbst gerichtet, wie soll sie dann den Inhalt der besuchten Webseiten aufzeichnen?
• Bei einem kompromittierten Rechner benötigt man natürlich keine Webcam um Bildschirminhalte abzugreifen.
• Sie werden nicht persönlich angesprochen, obwohl Ihr Account angeblich kompromittiert wurde.
• Wenn man keine Messenger oder Soziale Netzwerke (welche denn? worum nicht genannt?) nutzt, können auch davon keine Daten abgegriffen werden.
• Der Erpresser droht damit das angebliche kompromittierende Material an alle Freunde und Verwandten zu senden, woher will er aber die Kontaktdaten haben, wenn es sich um einen dienstlichen Rechner handelt?
• Der Angreifer vertritt angeblich eine bekannte internationale Gruppe von Hackern, die ist vermutlich so geheim, dass es sie natürlich nicht nennen kann, komplett abwegig.
• Für einen Erpresser bleibt der Absender m.E. viel zu vage. Mit mehr persönlichen Details (die er ja tatsächlich nicht besitzt) wäre die Erpressung sicher erfolgversprechender. 

Geben Sie markante Textteile der E-Mail wie - Ich vertrete eine bekannte internationale Gruppe von Hackern - in eine Suchmaschine ein, erhalten Sie bereits sehr viele Hinweise auf den Fake.

-----Ursprüngliche Nachricht-----

Von: ihrvorname.ihrnachname@uni-weimar.de <ihrvorname.ihrnachname@uni-weimar.de>
Betreff: Ihr geheimes Leben
oder
Betreff: Ihr Benutzerkonto wurde gehackt
Hallo!
Wie Sie sich schon vorstellen können, ist Ihr Benutzerkonto (ihrvorname.ihrnachname@uni-weimar.de) gesprengt, denn ich Ihnen diese Meldung von gesandt habe. :(
Ich vertrete eine bekannte internationale Gruppe von Hackern In der Zeit vom 23.01.2020 bis zum 10.04.2020 wurden Sie mit dem von uns erstellten Virus auf der Webseite für Erwachsene die Sie besucht haben angesteckt.
Derzeit haben wir den Zutritt auf alle Ihre Korrespondenz, soziale Netzwerke und Messengerdienste.
Außerdem, haben wir komplette Speicherauszüge dieser Informationen.
Wir sind im Bilde aller Ihrer Geheimnisse, ja, ja... Sie haben ein ganz geheimes Leben.
Wir haben gesehen und aufgezeichnet, wie Sie sich auf die Porno-Seiten unterhalten hatten. Lieber Himmel, was für Geschmack und Leidenshaften haben Sie... :)
Aber die interessanteste Sache ist, dass wir Sie periodenweise auf der Webcam Ihres Gerät aufgenommen haben. Die Web-Kamera wurde mit dem synchronisiert, was Sie gerade sich angesehen haben!
Ich denke, dass Sie nicht wollen, dass Ihre Freunde und Verwandten all Ihre Geheimnisse sehen, und freilich die Person, die Ihre Liebste ist.
Schicken Sie $986 auf unsere Kryptowährung Bitcoin Wallet: bc1qg664a8tqr6x3typ5kssxpgr583c8u08rgkqz2q
Ich gebe mein Wort, dass wir in diesem Fall alle Ihre Heimlichkeiten löschen werden!
Ab dem Zeitpunkt, in dem dieser Bericht gelesen wird, funktioniert der Timer!
Sie haben 48 Stunden, um den obernannten Betrag zu bezahlen.
Sobald dieses Geld auf unserem Konto ist, löschen wir alle kompromittierende Materiale!
Falls Geld nicht da ist, werden alle Ihre Korrespondenz und das von uns aufgenommene Video automatisch an alle Kontakte gesendet, die in der Zeit der Infektion in Ihrem System verfügbar waren! Es tut mir Leid, Sie sollen über ihre Sicherheit nachdenken!
Hoffentlich, diese Situation lehr Ihnen, mehr um Ihre Sicherheit kümmern.
Passen Sie auf sich auf!

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist leicht als Fälschung zu entlarven (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, die E-Mail ist zu löschen.

• Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
• Der angezeigte Absender-Name eine E-Mail besitzt grundsätzlich keinerlei Verlässlichkeit und lässt sich leicht fälschen.
• Wir nutzen die vollständige an der Bauhaus-Universität übliche Signatur
• Eine Copyright-Vermerk setzen wir nicht ein.
• Das E-Mail-System generiert keine E-Mails, die vor ablaufenden Passwörtern warnen, denn es gibt bei uns keine speziellen E-Mail-Passwörter.
• Wir versenden in der Regel keine nicht-personalisierten Massen-Mails an unsere Nutzer.
• Wir verwenden die offiziellen Bezeichnungen, den Begriff Helpdesk gebrauchen wir nicht.
• Als Absenderangabe nutzen wir entweder vollständige Namen (Personen) oder die offiziellen Bezeichnungen (Bereich/ Stelle), aber nicht einfach Bauhaus-Universität Weimar.
• Wir fragen Sie NIEMALS nach ihrem persönlichen Passwort.
• Sprachliche Unsauberkeiten (unnötige Wiederholungen, unübliche Wortwahl) können ein weiteres Indiz für eine Fälschung sein.
• Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
• Irgendwelche E-Mail-Konto-Validierungen gab es bei uns noch nie und wird es nie geben. Somit sind alle E-Mails, die sich auf so etwas beziehen, immer eine Fälschung.
• Unsere E-Mails sind gegendert, wir würden also zumindest geehrte(r) anstatt nur geehrter schreiben.

Von: Bauhaus-Universität Weimar (flavio@itagro.ag)
Sehr geehrter Webmail-Benutzer,
Ihr Passwort läuft innerhalb von 24 Stunden ab. Damit Ihr Passwort funktioniert und validiert wird,
Geben Sie Ihren Benutzernamen / Ihre E-Mail-Adresse und Ihr Passwort ein, damit Ihr Konto funktioniert und validiert wird.
Um Ihr Konto validiert zu halten, klicken Sie unten:
KLICKE HIER (...ttps://www.formlets.com/forms/6MvnupqMSLcQ987...)
Ihre Mailbox wird geschlossen, wenn Sie Ihr Webmail-Konto nicht validieren können.
Freundliche Grüße,
Bauhaus-Universität Weimar.
© 2020 uni-weimar.de <http://uni-weimar.de/>  Helpdesk.

-----Ursprüngliche Nachricht-----
Von: BAUHAUS-UNIVERSITÄT WEIMAR (mboul@uth.gr)
BAUHAUS-UNIVERSITÄT WEIMAR
Lieber Nutzer:
Wir schließen seit dem 26. März alle alten kompletten Universitäts Postfächer.
Bitte folgen Sie dem Link unten, um Ihr Konto zu aktualisieren:
Klicke hier  Neu Version (...ttps://docs.google.com/forms/d/e/1FAIpQLSfpf1PnwxOvsmOvs4hmNJymzFzvHmMP581c...)
Danke.
Bitte antworten Sie nicht auf diese Nachricht. Die an diese Adresse gesendete Nachricht kann nicht beantwortet werden. 

Bei folgender E-Mail handelt es sich um eine Fälschung.

ACHTUNG: DER ANHANG DARF AUF KEINEN FALL GEÖFFNET WERDEN!!!
Er enthält Schadsoftware, die von unserem zentralen Schadsoftwareschutz noch nicht erkannt wird. Die Datei wurde zum Hersteller gesendet, damit umgehend eine Virensignatur erstellt und verteilt werden kann. [Update: mittlerweile liegt die Virensignatur vor]

Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.

Die E-Mail kann Anhand mehrerer Indizien als Fälschung entlarvt werden:

• Lässt sich die E-Mail keinem realen Vorgang zuordnen, ist eine Fälschung sehr wahrscheinlich.
• Das Format IMG des Anhangs ist eine so genannte Datenträgerabbilddatei (gebräuchlich bei CDS und DVDs). Dieses Format wird in seriösen E-Mails bei Anhängen, die Rechnungen, Kaufverträge oder ähnliche Dokumente enthalten, niemals verwendet.
• Absendername und Absender-E-Mailadresse passen nicht zusammen.
• Es fehlt die persönliche Anrede.
• Die Dopplung bei der abschließenden Grußformel - Mit freundlichen Grüßen
• Freundliche Grüße - ist ein weiteres Indiz für eine Fälschung.
• Umgangssprachliche Floskeln wie hallo sind in der geschäftlichen Kommunikation unüblich.
• Die Nummer im Betreff und Anhang sind nicht identisch.
• Der Absendername im Text und der Name der Absender-Mail-Adressen sind verschieden.
• Der angebliche Absender die DKV EURO SERVICE GmbH + Co. KG nutzt bei E-Mails ihre eigene Domain dkv-euroservice.com und nicht lieferanten-marktplatz.de.

im Anhang der unterschriebene Kaufvertrag und anbei erhalten Sie ein Zahlungsavis für die im Anhang ersichtlichen Zahlungsvorgänge.
Mit freundlichen Grüßen
Freundliche Grüße,
Sven Göke
Gesendet mit der GMX Mail App
DKV EURO SERVICE GmbH + Co. KG
Balcke-Dürr-Allee 3, D-40882 Ratingen
Fon: +49 (0) 2102 5518-0,
Fax: +49 (0) 2102 5518-192
www.dkv-euroservice.com

--Fake-Mail:
Von: EGGERMONT Léa (lea.eggermont.9192@he-ferrer.eu)
Sehr geehrter E-Mail-Benutzer
Ihr Webmail-Kontingent hat das Kontingent von 20 GB überschritten und Sie verwenden derzeit 22,9 GB.
Klicken Sie auf den folgenden Link, um Ihr Webmail-Kontingent zu reaktivieren und zu erhöhen.
uni-de.paperform.co
Wenn Sie dies nicht tun, wird Ihre Webmail möglicherweise beendet
Danke und Entschuldigung für die Störung
Universitäts Wartung
Attention : notre adresse email a changé de nom et s'appelle désormais brucity.education. Merci de bien vouloir remplacer dans votre carnet d'adresses les adresses @brunette.brucity.be par des adresses @brucity.education. Exception : Les adresses @he-ferrer.eu et @arba-esa.be ne sont pas concernées par cette notification.
Opgelet: ons e-mail adres is van naam veranderd en is nu brucity.education. Gelieve in uw adresboek de domeinnaam @brunette.brucity.be door @brucity.education te vervangen. Uitzondering : de adressen voor @he-ferrer.eu en @arba-esa.be zijn door deze notificatie niet betrokken.

--Fake-Mail:
Griet Proost (Griet.Proost@azherentals.be) writes:
Sehr geehrter Mitarbeiter, Mitarbeiter.
Wir migrieren alle Mitarbeiter-E-Mail-Konten in Outlook 2020-Office-E-Mails für Mitarbeiter. Daher müssen alle aktiven Mitarbeiter und Mitarbeiter überprüfen und sich anmelden, damit dieses Upgrade und die Migration wirksam werden.
Dies geschieht, um die Sicherheit und Effizienz aufgrund der zuletzt eingegangenen Spam-Mails zu verbessern.
Bitte alle Mitarbeiter und Mitarbeiter hier klicken Wechseln Sie zu
Outlook Webmail 2020 für Mitarbeiter ...ttps://malteseror.weebly.co...
Beachten Sie, dass dieses Einschalten von Outlook für alle E-Mail-Benutzer dieses Dienstes gilt.
Innerhalb der nächsten 24 Stunden werden nicht bestätigte und inaktive E-Mail-Konten unverzüglich deaktiviert und gelöscht.
BITTE NACH OBEN ANGABEN.
Grüße,
Externer E-Mail-Administrator,
Outlook Service für Mitarbeiter und Internet Service Copyright2020.
________________________________
AZ Herentals | Nederrij 133 | 2200 Herentals | www.azherentals.be

Beispiel-Fake-Mail:

Von: Name Vorname (cbenard926@gmail.com) 
Betreff: Request
Hello
I need a favor from you kindly email me back soon as possible.
Regards
Dr. Vorname Nachname
Head 

Fake-Mail:

From:     CAMPS Mercedes (mercedes.CAMPS@univ-amu.fr)

Sehr geehrte Bauhaus-Universität Weimar
Ihre letzte Anfrage zur Deaktivierung Ihrer E-Mail wird in Kürze
bearbeitet. Wenn diese Anfrage versehentlich gestellt wurde und Sie dies
wissen, müssen Sie die erforderliche Deaktivierung des Systems
abbrechen. KLICKEN SIE HIER /...ttp://itcs.webc.space/...ww.google.com/url.
Deaktivierungsanfrage abbrechen
Wenn Sie diese Anfrage jedoch nicht stornieren, wird Ihr Konto
deaktiviert und alle Ihre E-Mail-Daten gehen verloren.
Mit freundlichen Grüßen.
E-Mail-Administrator
Hinweis: Bitte validieren Sie Ihre E-Mail innerhalb von 24 Stunden nach
Erhalt dieser Benachrichtigung, um eine Unterbrechung des
E-Mail-Dienstes (ESI) zu vermeiden.
E-Mail-Administrator
-------------------------------------------
Produkt: Normaler Briefkasten
Benutzer:Bauhaus-Universität Weimar
Fälligkeitsdatum: 28.01.2020
Grund für die Sperrliste: Richtlinienverstoß 

Fake-Mail:
Absender: Ebel Reina (ereina@cosapi.com.pe)
Betreff: E-Mail-Benachrichtigung (Dringend behandeln)
Beachtung:
Ihr E-Mail-Konto wurde kürzlich an einem unbekannten Ort angemeldet.
Bitte klicken Sie hier zur Bestätigung, um die Schließung Ihres E-Mail-Kontos zu vermeiden (...ttps://candacef.formstack.com/forms/unsere_unterst_tzung_)
Um diese Überprüfung abzuschließen, klicken Sie einfach hier (...ttps://candacef.formstack.com/forms/unsere_unterst_tzung_)
Mit freundlichen Grüßen,
Email Unterstützung (...ttps://candacef.formstack.com/forms/unsere_unterst_tzung)
__________________________________________________________________________________
Aviso de Confidencialidad:
Toda la informacion contenida en este mensaje es confidencial y de uso exclusivo de COSAPI S.A. su divulgacion, copia, adulteracion o cualquier otro tipo de accion estan prohibidas y solo debe ser conocida por la persona a quien se dirige este mensaje.

Si Ud. ha recibido este mensaje por error por favor proceda a eliminarlo y notificar al remitente.

-----Ursprüngliche Nachricht-----
Von: sekretariat@uni-weimar.de (stephensedge@stephensedge.com)
Betreff: [SPAM] sekretariat@uni-weimar.de
Anhang: @uni-weimar.de.html
Mitteilungsnummer für Personal- und Gehaltsabrechnungsstatus: 0000039752
Der Anhang ist eine Kopie einer kürzlich vorgenommenen Änderung Ihrer Beschäftigungsinformationen und Ihrer Gehaltsabrechnung. Klicken Sie im Anhang auf Anstellungs- und Gehaltsabrechnungsanfragen.
sekretariat@uni-weimar.de
© Copyright 2020 Alle Rechte vorbehalten.

 Der enthaltene Link wurde in der Sophos Web Protection gesperrt.

-----Ursprüngliche Nachricht (verwendete Namen entfernt) -----
Von: Vorname Nachname veraltet (recycling@conferenceera.com)
Das fasziniert mich einfach! ....ttps://ponglopdimu1976.blogspot.cz...
Für Dich und alle Deine Lieben habe ich diese Zeilen geschrieben, eine Frohe Weihnacht aus der Ferne wünsche ich und habe euch alle gerne.
___
Mit ganz lieben Grüßen
Vorname Nachname veraltet
--
1/14/2020 4:03:35 AM