Wie erkenne ich einen Phishing-Versuch?
Phishing-Mail erkennen leicht gemacht
- Trauen Sie dem angezeigten Absender nicht! Evtl. sehen Sie nur den Anzeigenamen, nicht die Mailadresse selber. Und auch eine @uni-koblenz.de-Adresse muss nicht zwingend vertrauenswürdig sein.
- Klicken Sie keinen Link innerhalb einer Mail, bei deren Authentizität sie sich nicht zu 100% sicher sind.
- Überprüfen Sie, ob angezeigter Link und das Ziel des Links übereinstimmen: Fahren Sie mit der Maus über den Link und warten einen Augenblick ("mouseover"). Beide Ziele sollten identisch sein und auf ein "plausibles" Ziel verweisen.
Überprüfen Sie den "mouseover" check mit folgendem Link: https://uni-koblenz.de/infos . Sehen Sie das Ziel dieses Links (ohne darauf zu klicken)? Dieser Link zeigt tatsächlich nicht auf eine uni-koblenz.de-Webseite.
- Laden Sie auf keinen Fall virenanfällige Dateien herunter, dazu zählen .doc, .xls, .ppt und auch .zip-Dateien.
- Bevor Sie Ihr Uni-Passwort auf einer Seite eingeben, überprüfen Sie den sog. "Wer-Bereich" der Webadresse: Der Wer-Bereich besteht aus den beiden Begriffen, die durch einen Punkt getrennt sind und sich vor dem ersten alleinstehenden Schrägstrich „/“ befinden. Ihr Uni-Passwort geben Sie bitte ausschließlich auf Seiten ein, wo der Wer-Bereich auf "uni-koblenz.de/" oder "uni-ko.de/" endet.
- Suchen Sie in der Sammlung des ZIMT mit bestätigten Phishing-Versuchen nach dem Absender und/oder dem Betreff der fraglichen Mail.
Was ist Phishing?
Wikipedia bietet eine sehr gute und detaillierte Erklärung an. Etwas besser illustriert finden Sie eine Info-Grafik bei http://www.betrugstest.com/phishing/. Kurz zusammengefasst kann man sagen, dass Phishing der Versuch ist, mit Hilfe gefälschter Mails an Kennworte zu gelangen, die man für verschiedene Zwecke missbrauchen kann. Innerhalb der Uni wird mittels Phishing am meisten Schaden angerichtet, indem gephischte Passworte wiederum zum Versand von Spam- oder weiteren Phishing-Mails über den Uni-Mailserver genutzt werden. Das ist automatisch quasi nicht zu verhindern, führt aber u.U. dazu, dass unser Mailserver als "spammend" erkannt wird und weltweit keine Mails mehr zustellen kann. So kann eine kleine Unachtsamkeit eines Benutzers dazu führen, dass ca. 10.000 Benutzer keine Mails mehr versenden können -- sehr ärgerlich.
Wie erkenne ich eine Phishing-Mail?
In der Regel wird in einer Phishing-Mail zunächst versucht, Unsicherheit oder Panik beim Empfänger zu schüren. Dazu werden Themen verwendet, die viele Leute weltweit betreffen: "Ihr Konto wurde geknackt", "Ihr Mailquota ist voll" etc. Dann wird darauf hingewiesen, dass Sie schnell handeln müssen und auf eine Webseite verwiesen, auf der Sie - unter Angabe Ihrer Nutzerdaten - das Problem aus der Welt schaffen können sollen. Sehr gut erklärte und per Video unterstützte Hinweise finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Folgende Hinweise können Sie bei der Erkennung unterstützen, ob es sich z.B. um eine echte Warnmail des ZIMT oder um eine Phishing-Mail handelt:
Grundsätzlich ist der Absender einer Mail leicht zu fälschen. Wie bei der guten alten Briefpost kann als Absender eine beliebige Adresse angegeben sein. Wichtig ist hier: Zeigen Sie immer auch die Mailadresse des Absenders an, nicht nur den Anzeigennamen. Richtige Einstellung für Thunderbird.
Überprüfen Sie, ob die Mail inhaltlich tatsächlich passen kann. Wenn beispielsweise auf ein volles Postfach verwiesen wird, checken Sie zunächst, ob Ihr Postfach wirklich voll ist. Nutzen Sie dazu aber auf keinen Fall einen in der Mail angegebenen Link.
Schauen Sie auf die Absenderadresse. Wir (das ZIMT) werden Ihnen niemals eine Mail von einer Adresse außerhalb der Uni senden. Allerdings können Sie sich wegen der leicht zu fälschenden Absenderadressen (siehe 1) nicht sicher sein, dass es sich bei Mails mit bekannten Absenderadressen nicht doch um Phishing handelt.
Wenn der angegebene Link auf eine Adresse außerhalb der Uni verweist, Finger weg!
Klicken Sie niemals einfach auf einen angegebenen Link, selbst wenn die Adresse "uni-koblenz.de" enthält. Stattdessen tippen Sie die Adresse selber ins Adressfeld Ihres Browsers. Die angezeigte Adresse und die tatsächlich angeklickte Adresse sind leicht fälschbar!
Wir werden Sie niemals auffordern, uns Ihr Kennwort per Mail zu schicken!
Anhänge, die auf .zip enden sind - wenn Sie sie nicht von diesem Absender erwarten - in der Regel Angriffe über das Windows-Archivierungsprogramm. Beim Auspacken des Archivs wird ein Trojaner oder ein Wurm installiert. Öffnen Sie solche Anhänge niemals!
Allgemein gilt für Anhänge: Überprüfen Sie mit gesundem Menschenverstand, ob der mitgelieferte Anhang plausibel ist! So wird Ihnen beispielsweise keine Firma der Welt eine Rechnung als Word-Dokument (.doc) senden. Sie wären ja in der Lage, die Rechnung zu ändern ... das macht keinen Sinn, sagen Sie? Richtig! Auch ausführbare Programme (.exe) oder JavaScript-Code (.js) machen in der Regel keinen Sinn -- es sei denn, Sie haben die Sendung dieses Anhangs vorher mit dem Sender abgesprochen.
Da viele Phishing-Versuche mit Absenderadressen der großen Internetanbieter versendet werden (Paypal, DHL, Deutsche Bahn, Telekom, Amazon ...) und in der Regel auch recht gut gemacht sind, so dass der Inhalt plausibel erscheint: Klicken Sie dennoch nicht auf den in der Mail angegebenen Link, sondern starten Sie Ihren Browser und rufen manuell die Webseite des entsprechenden Anbieters auf. Sollte es ein ernstes Problem geben, wird man Sie dort sicherlich darauf hinweisen.
Alle diese Hinweise sind nicht eindeutig, alle Kennzeichen sind fälschbar und werden teilweise sehr geschickt ausgenutzt. Aber 95% aller Phishings sind aufgrund dieser Hinweise einfach zu erkennen.
Torpedo-Plugin für Thunderbird
Das Plugin TORPEDO für Thunderbird könnte hilfreich zur Erkennung von gefälschten und gefährlichen Links in Mail sein. Es überprüft z.B. auf schwer erkennbare "Tippfehler" und Unterschiede zwischen dem Text eines Links und dessen Ziel. Sehr hilfreich zur vorbeugenden Erkennung von gefährdenden Links innerhalb von Mails!