Phishing-E-Mails enthalten häufig mehrere der hier genannten Merkmale.

(Hinweis: der Fokus liegt hier auf Phishing-Angriffen, die sich explizit gegen die Bauhaus-Universität richten. Bei den Texten hinter den Aufzählungszeichen (Punkten) handelt es sich um Zitate aus realen Phishing-E-Mails.)

Hinweise zu aktuellen Pishing-E-Mails an der Bauhaus-Universität entnehmen Sie bitte der SCC-Pinnwand oder der Webseite "Aktuelle Meldungen".

Zweifelhafte oder als Phishing-Versuch erkannte E-Mails sollten sie immer an die SCC-Hotline weiterleiten, wenn es noch keinen entsprechenden Pinnwand-Eintrag auf der SCC-Pinnwand gibt. Bitte senden Sie uns die betreffende E-Mail möglichst mit dem vollständigen Mail-Header zu. Bei der Uni Paderborn finden Sie eine Hilfestellung, wie dieses zu bewerkstelligen ist: 

https://hilfe.uni-paderborn.de/Mail_Header_anzeigen

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für den Umgang mit empfangenen E-Mails den 3-Sekunden-Sicherheits-Check.

Viele Anbieter im Internet (Banken, Bezahldienste, Postdienstleister etc.) geben auf ihren Webseiten Hinweise wie gefälschte E-Mails, die angeblich von Ihnen stammen sollen, erkannt werden können.

Typische Betreffzeilen

  • Überprüfen und aktualisieren Sie ihre Bauhaus-Universität Webmail-Konto
  • Kontoverifizierung/ Account Verification
  • Warnung
  • confirm your account
  • UPDATE
  • Letzte Warnung!!!
  • Account Upgrade Alert!
  • Sehr geehrte Webmail-Konto Besitzer
  • Sie haben die Lagerung für Ihr Postfach überschritten

Die Betreffzeilen sollen Handlungsdruck erzeugen, sind aber häufig wenig aussagekräftig bis sinnfrei oder fehlerhaft.

(Dringende) Aufforderung eine Anmeldung vorzunehmen, häufig werden Sicherheitsargumente angeführt

  • Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund von ungewöhnlichen Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
  • Wenn Sie nicht in den nächsten 24 Stunden von Ihnen abgeholt werden, werden wir Ihr E-Mail-Konto bis nach ordnungsgemäßer Überprüfung herunterfahren, bevor Sie wieder auf Ihr E-Mail-Konto zugreifen können. Klicken Sie auf " Aktualisieren", um kostenlosen Speicherplatz von 20 GB hinzuzufügen. Ihr E-Mail-Konto wird geschlossen, wenn Sie die Speicherkapazität nicht erhöhen können. Klicken Sie auf Aktualisieren, um Ihre Speicherkapazität um 20,00 GB zu erhöhen ..
  • Ihr Benutzerkonto muss aktualisiert werden. Bitte loggen Sie sich an der Universität Weimar ein, um Ihr Passwort zu bestätigen

Abfrage von Login/ Passwort

Das SCC und andere Einrichtungen des Bauhaus-Universität werden Sie NIEMALS dazu auffordern ihm/ihnen die persönlichen Anmeldeinformationen (Login und Passwort) per E-Mail zuzusenden.

Bei einer E-Mail, die diese Informationen abfordert, handelt es sich um eine Fälschung. 

Abfrage von Daten die Absender bereits besitzt oder aber gar nicht kennen soll/ muss

Persönliche Nutzer-Passwörter interessieren keinen Dienstleister (SCC, Anbieter...) und werden niemals angefordert. Die Daten die der Dienstleister bereits erfasst hat, wird er bei Änderungen nicht erneut abfragen (selbst bei einem Crash der Datenbank wird ein Backup existieren).

In der E-Mail enthaltener externer Link soll angeklickt oder eine angefügte Datei soll geöffnet werden

Das SCC wird Sie niemals auffordern sensible Daten auf einer Webseite außerhalb unserer Domain uni-weimar.de einzugeben. Anhänge suspekter E-Mails sollten vor dem Öffnen wenigstens bei virustotal.com  hochgeladen und auf Schadsoftware geprüft werden.

Häufige Drohung mit negativen Konsequenzen (Account-Sperrung) bei Nichtbefolgen der Aufforderungen

  • Anderenfalls kann die Stornierung Ihres Webmail-Kontos führen.

Mailadresse passt nicht zum angeblichen Absender

  • webmaster@uni-weimar.de (fsshaffer@verizon.net)
  • Webmaster (mariae.lopez@odontologia.unt.edu.ar)
  • Mail System Administrator (Xavier.De.Ghellinck@ulb.ac.be)

Offizielle E-Mails versendet das SCC ausschließlich über Uni-interne E-Mail-Accounts.

Achtung: Der angezeigte Absendername und die angezeigte Absenderadresse von E-Mails besitzen keinerlei Verlässlichkeit (entwicklungsbedingte Schwäche der E-Mail-Kommunikation). Ein Absender lässt sich ausschließlich durch die Verwendung digitaler Signaturen zweifelsfrei verifizieren.

Betreff passt nicht zum Inhalt der E-Mail

  • Betreff: Gesetzentwurf: 10795497, Inhalt: Rechnung

Betreff in einer von uns nicht verwendeten Sprache

Das SCC versendet E-Mails in der Regel in Deutsch, ggf. in Englisch. Alle anderen Sprachen verwenden wir nicht, weder im Betreff, noch im Text.

Fehlende persönliche Ansprache

Einem Dienstanbieter sind die Namen seiner Kunden/ Clienten oder wichtige Vertragsdaten bekannt. Das SCC wird sie immer persönlich ansprechen.

aber auch neuer Trend: Spear Phishing

Verwendung unüblicher Bezeichnungen

Bezeichnungen/ Stellen, die an der Bauhaus-Universität Weimar/ dem SCC nicht existieren/ nicht verwendet werden:

  • Bauhaus-Universität Webmail Management
  • Bauhaus-Universität Webmail-Mitteilungszentrale
  • The Webmail team
  • Webmail Verifikationszentrum
  • IT-Service-Center
  • The Help Desk Admin
  • Support-Team
  • Mailer Sicherheitsdienst
  • Admin Help Desk

Zu allgemeine Bezeichnungen:

  • system administrator
  • Systemadministrator

Falsche Zuordnung Stelle und Service:

  • (Web)-Mail zu Webmaster

„Gestelzte, lässige“ oder „holprige“ unübliche Sprachwahl:

  • Herunterfahren Ihres Kontos, in den nächsten 12 Stunden!
  • Danke, und sorry für die Unannehmlichkeiten
  • Wir sind ganz dankbar für die Ausnutzung unserer Dienste.
  • ... haben wir Grund zu der Annahme, dass Ihr E-mail-Konto von einem Dritten zugegriffen wurde
  • Guten Tag, Sie sollen jetzt ganz glücklich sein, denn Sie haben...
  • Die Sicherheit Ihres E-mail-Kontos ist unser Hauptanliegen.
  • Die ganze Summe können Sie in der Datei rechnung516.cab herunterladen
  • ... dass Sie das Blatt abdrucken...
  • Dadurch wird verhindert, dass Ihre E-Mail von abgeschlossen während dieser Übung.
  • Sie sind verpflichtet, zu überprüfen und aktualisieren Sie Ihre E-Mail mit der Bestätigung Ihrer E-Mail-Identität sofort.Sie sind verpflichtet, zu überprüfen und aktualisieren Sie Ihre E-Mail mit der Bestätigung Ihrer E-Mail-Identität sofort.
  • Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten…
  • Wir bitten Sie, um das System richtig laufen zu lassen, die Form der zusätzlichen Autorisation auszufüllen
  • Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters geworden sind…
  • Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze!
  • Wir schätzen Ihr Business ein. Für uns ist eine große Ehre, Sie zu bedienen.

Fehlerhafte Zeichensatzdarstellung:

  • Summe: ?200.81
  • "Von unseren Spezialisten wurden sowohl die Protokolle der Informationsьbertragung, als auch die Methoden der Kodierung der ьbertragenen Daten neu gestaltet."
  • "Administration der Stadtsparkasse M&# 252;chen "

Grammatik- und Rechtschreib-Fehler:

  • Betreff: Bestellen 31516959959 (statt Bestellung)
  • Ihre Bestellung #31516959959 wird 20-06-2014 abgesendet werden.
  • Ihr Postfach hat die Speichergrenze überschritten von 2.GB Gegründet durch den Administrator ist derzeit 2,30 GB, kann nicht Senden oder Empfangen von neuen Nachrichten, bis Sie wieder bestätigen Sie Ihre E-Mail Klicken Sie auf den Link unten, um Ihre E-Mail-Validierung
  • Dies ist, um alle Webmail-Account-Benutzer, der Admin Webmail ist derzeit Verstopfte mitteilen, so dass wir Löschen inaktive Konten.
  • Beachten Sie, dass Ihre E-mail Konto den Speichergrenzwert festlegen, indem der Administrator/Datenbank überschritten hat, Sie derzeit aus dem Zusammenhang gerissen laufen und Sie können möglicherweise nicht zum Senden oder empfangen von neue Post, bis Ihr Konto erneut zu bestätigen. Ihres e-Mail-Kontos zu vermeiden von wurden geschlossen, klicken hier
  • Dies ist um Sie zu benachrichtigen, dass Sie die Speichergrenze für Ihr Postfach überschritten.
  • Ihr Postfach hat die Speichergrenze überschritten, wie von der Standard-Administrator, Sie derzeit niedrig ist und Sie nicht in der Lage zu senden oder zu empfangen neue E-Mail, bis Sie erneut validieren Ihr Postfach sein.

Sprachenmix (englisch-deutsch etc.):

  • Diese Nachricht ist von the Admin Help Desk.
  • Aufgrund unserer neuesten IP-Sicherheit party-Upgrades...
  • Email Alert-Benutzer
  • WICHTIG: dear-Mail-Konto Benutzer
  • UNIVERSITÄT Webmail Security Alert

Unverständlicher Inhalt

Durch eine komplett/ weitgehend unverständliche E-Mail soll der Empfänger zu einer Reaktion, wie einer Nachfrage, einer Antwort o.ä. animiert werden.

  • Ivgtqcrpnte9n2mrjgrnationaeyzl Saqehles
    Ja16mgckowpertkywnla Mklxold Co., ta5bbLigmci8td Wtorvipfcpebwxrncxfvqhwwc1gidv4km.joyrqlstawaqn9.c4xckl3om
    Note: - If you are not interested then you can reply with a simple \"NO\",We will never contact you again.

    Hinweis: Antwortet man mit "NO" wird man vermutlich nicht von weiterem Spam verschont, ganz im Gegenteil. Zusätzlich verrät man dem Spammer möglicherweise noch weitere Details durch die Informationen in der persönlichen E-Mail-Signatur (Text).

Link in der E-Mail verweist auf Adresse die nicht zum Adressbereich des Absenders gehört.

nicht anklicken, Mauszeiger auf den Link schieben genügt, um Daten im Browser anzuzeigen

Falls der Link doch benutzt wurde: Erkennungsmerkmale von Phishing-Webseiten

Inhalt widerspricht realen Gegebenheiten

An der Bauhaus-Universität Weimar gibt es bezüglich der E-Mail-Nutzung keine Limitierungen, also kann auch keine Speichergrenze überschritten werden.

Unrealisitischer Inhalt

Wenn etwas zu schön klingt, um wahr zu sein, handelt es sich meist auch um eine Fälschung:

  • angeblicher (Lotto-)Gewinn, obwohl man gar nicht mitgespielt hat
  • angebliche hohe Erbschaft von einem Unbekannten (aus dem Ausland)

Dubiose Mailanhänge und unübliche Dateiformate

Phishing Mails besitzen häufig Anhänge, die anstelle einer vermeintlichen Rechnung Schadsoftware, wie Trojanische Pferde etc. enthalten.  Seriöse Unternehmen nutzen hier in der Regel das Format pdf und niemals ausführbare Dateien (.exe) oder  Archive  (.zip), untypisch ist auch die Verwendung von .cab-Dateien. In jüngster Vergangenheit wird verstärkt versucht über JS (JavaScript) Schadsoftware auf IT-Systeme zu schleusen. JavaScript ist kein Format für Office-Dokumente (!) sondern ausführbarer Code, somit werden sie auch niemals eine Rechnung oder ähnliches in diesem Format von einem seriösen Absender erhalten.

Achten Sie bei der  Benutzung von Windows darauf, dass die Anzeige von Erweiterungen bekannter Dateitypen nicht deaktiviert wurde, da Ihnen sonst durch die Angabe einer doppelten Erweiterung (dateixy.pdf.exe) eine ausführbare Datei untergeschoben werden kann.

  • In der Anlage erhalten Sie Ihre dazugehörige Rechnung als JS-Dokument.
    gescanntes Dokument:
    ...ttp://jemsonline.co.uk/gescanntes-Dokument-017283593...

Verwendung von Makros in Office-Dokumenten

Häufig wird durch Angreifer versucht Schadsoftware über Makros in Office-Dokumenten (beispielsweise Word-Dateien) auf das IT-System zu schleusen. Die Makrofunktionaltät sollte deshalb standardmäßig deaktiviert sein und möglichst auch bleiben. Eine temporäre Aktivierung sollte nur dann erfolgen, wenn zweifelfrei fest steht, dass das Dokument ein Makro enthält, welches keinen Schadcode enthält. Besser beim vermeintlichen Absender über einen bekannten alternativen Kommunikationsweg (wie dem Telefon, Achtung: Telenummer niemals einer suspekten E-Mail entnehmen!) nachfragen.

Fehlende üblicherweise genutzte Angaben/ elektronische Signaturen

Erhält man von bekannten Absendern plötzlich E-Mails ohne Impressum, obwohl diese dieses sonst immer verwenden oder plötzlich unsignierte E-Mails obwohl zuvor immer eine elektronische Signatur verwendet wurde, sollte man hellhörig werden. Bei Fälschungen fehlt dieses häufig. Möglich ist aber auch die Nutzung mobiler Devices wie Smartphones. Die Empfehlung lautet hier entsprechende Anpassungen vorzunehmen, damit Empfänger nicht durch unterschiedliches Aussehen und fehlende Merkmale irritiert werden. Elektronische Signaturen sind die einzige Möglichkeit den Absender einer E-Mail zweifelsfrei als solchen identifizieren zu können.

Bei geschäftsmäßigen E-Mails besteht in Deutschland eine gesetzliche Pflicht E-Mail-Signaturen zu verwenden. Fehlen die Pflichtangaben in einer vermeintlichen geschäftsmäßigen E-Mail kann mit sehr hoher Wahrscheinlichtkeit von einer Fälschung ausgegangen werden. Details dazu: externer Link

Logo wird extern gehostet

Ein in der Phishing-E-Mail verwendetes Firmen- oder Organisationslogo wird missbräuchlich bei einem externen Speicherdienst und nicht bei der betreffenden Firma- oder Organisation gehostet und ggf. eine irreführende Bezeichnung zur Verschleierung des Missbrauchs verwendet:

  • Betreff: Paypal: Aktualisierung unsere AGBs
    <https://abload.de/img/mixtapev6lon.png>
    Sehr geehrter Herr ...

E-Mail wird durch unsere Anti-Spamlösung abgefangen und als solche gekennzeichnet

Wird eine E-Mail durch den Spamfilter als solche erkannt und gekennzeichnet, ist die Wahrscheinlichkeit sehr hoch, dass es sich um gefälschte, kompromittierte, unerwünschte oder schadhafte E-Mail handelt. Eine Freigabe sollte nur in dem Fall erfolgen, wo eine fehlerhafte Klassifizierung zweifelsfrei fest steht.

  • [SPAM] gescanntes Dokument 62304401722
Nach oben