Humboldt-Universität zu Berlin - Computer- und Medienservice

Phishing E-Mails

Der Begriff Phishing wird als Umschreibung für Versuche benutzt, unberechtigterweise persönliche Daten von Personen zu erlangen. Wenn man per E-Mail zur Preisgabe von Informationen aufgefordert wird, dann spricht man von einer Phishing-E-Mail. Im Umfeld "Universität" sind hauptsächlich die persönlichen Zugangsdaten zum E-Mail-Dienst von Interesse, also das Benutzerkennzeichen (Account) mit dem Passwort.

Warum sind Angehörige der Universität Ziel des Phishings?

  • Universitäten haben eine permanente und hochwertige Verbindung zum Internet.
  • Universitäten betreiben eine eigene Mail-Infrastruktur, über die große Mengen von E-Mails verschickt werden können.
  • Phisher (Kriminelle) finden hier "hervorragende" Arbeitsbedingungen vor, um weiterhin Phishing- und Spam-E-Mails massenhaft verschicken zu können.

Fadenscheinige Begründungen für die Abfrage der Daten sind:

  • der Speicherbereich für E-Mails (quota, webmailquota) ist erschöpft,
  • die Benutzerdatenbank wird einer Revision unterzogen,
  • anonyme Registrierungen müssen erneuert werden,
  • die letzte Verbindung kam von einer unbekannten IP-Adresse,
  • die E-Mail-Adresse muss verbessert werden/benötigt ein Update,
  • der Account muss bestätigt werden für die zukünftige Nutzung

Handlungsdruck wird gezielt aufgebaut

  • Es wird ein rasches Handeln angemahnt, weil man ansonsten seinen Account, die E-Mailadresse oder die Mailbox nicht mehr benutzen kann.
  • Die Löschung der Mailbox mit allen E-Mails wird angedroht.

Sprache und Ausdruck

Die häufig automatisch ins Deutsche übersetzten Texte sind grottenschlecht, ja nahezu zusammenhanglos. "Bessere" englische und holländische Texte sind auch bekannt. Der Anteil „verständlicher“ deutscher Texte nimmt aber zu.

Warum werden Phishing-E-Mails trotzdem befolgt?

  • Ich möchte nichts falsch machen, ich möchte nichts verlieren.
  • Gar nichts machen ist bestimmt falsch.
  • Reizworte wie E-Mail, Konto, Account, Update, Registrierung usw. werden als zutreffend empfunden (ja, benutze ich), auch wenn sie im Text nahezu zusammenhanglos verwendet werden.
  • Leider befolgen auch deutsche Muttersprachler solche Phishing-E-Mails.
  • Die per "Antworten" abgeforderten Daten wie
    • Kontoname: ...
    • Passwort: ...
    sind verständlich und schnell verschickt.
  • Sofern eine URL zum "Klicken" mit dabei ist, steigt die Neugierde. Das dort zu findende Formular sieht gut aus und ist einfach auszufüllen - fertig. Solche Formulare lassen sich sehr einfach aufbauen und mit Merkmalen der eigenen Einrichtung versehen, so dass die gefälschte Seite vom Original nicht zu unterscheiden ist. Man muss schon genau nachsehen, ob man sich auf einem Webserver der HU oder einem fremden befindet.

Die Folgen

Ein einziger preisgegebener Account nebst Passwort ist ausreichend, um nach weniger Minuten eine neue Phishing- oder Spam-Welle zu starten. Die Folge ist eine Störung des E-Mail-Verkehrs für die gesamte Universität über viele Tage, weil sich die Reputation unserer Server, die die E-Mails verschicken, signifikant verschlechtert. Dadurch sind viele E-Mails nicht mehr zustellbar.

Nebeneffekt

Der Phisher hat mit diesem ergatterten Account und dem Passwort natürlich Zugriff auf Ihre komplette Mailbox, auf Ihre Daten sowie Zugang zu Portalen (z. B. Agnes, aber u.U. auch Zugang zu universitätsfremden, privat genutzten Portalen).

Wie schützen Sie sich und damit uns alle?

Wenn Sie per E-Mail zur Preisgabe Ihres Accounts und des Passwortes und möglicherweise weiterer persönlicher Daten aufgefordert werden, dann ignorieren Sie diese Aufforderung! Sind Sie unsicher, nehmen Sie Kontakt zu unserer Benutzerberatung. Bestärken Sie bitte auch Personen in Ihrem "Umkreis" in dieser Auffassung!
Der einzige Grund für eine persönliche E-Mail ähnlichen Inhalts von uns an Sie ist der Hinweis zum zeitlichen Ablauf der Gültigkeit Ihres Passwortes. Dieser Termin ist Ihnen auch im Vorhinein bekannt, da Ihr Passwort stets ein Jahr lang gültig ist. Die Aufforderung zur Erneuerung des Passwortes erhalten Sie 4 Wochen vor dem Ablaufdatum und zusätzlich eine Erinnerung 1 Woche vor dem Termin. In dieser E-Mail werden Sie nicht aufgefordert, uns Ihr Passwort zuzuschicken. Diese E-Mail enthält keinen direkten Link auf unsere Webseite zum Passwortändern. Und selbst wenn Sie dieser echten Aufforderung nicht nachkommen, geht Ihnen nichts verloren - Ihre Daten werden nicht gelöscht und auch E-Mails werden weiterhin zugestellt! Sie können mit uns (Benutzerberatung) weiterhin in Verbindung treten und den Account wieder aktivieren lassen.

Unsere Gegenmaßnahmen

Phishing-E-Mails werden oft nicht als "Spam" durch unsere eingesetzte Software erkannt, weil hier formal keine kommerziellen Interessen sondern "nur" das Requirieren von Accounts als Arbeitsgrundlage für weitere Spam-Aktionen der Phisher und Spammer im Vordergrund steht. Dank Ihrer Mithilfe und der Auswertung eigener E-Mails kennen wir typische Formulierungen in den Betreff-Zeilen, die uns in die Lage versetzen, nachfolgende gleichartige E-Mails mit der Warnung "Phishing-Verdacht" im Betreff zu markieren.
Wird lediglich eine Antwort per "Reply" erwartet, kann die Zieladresse von uns blockiert werden, sobald wir davon, mit Ihrer Hilfe, Kenntnis erlangen. Sie würden bei Beantwortung der E-Mail eine Fehlernachricht von uns erhalten.
Schwieriger gestaltet sich der Umgang mit URLs in den E-Mails, wenn Phishing-Formulare z.B. bei docs.google.com verwendet werden. Reguläre Nutzer und Phisher benutzen hier das gleiche Werkzeug, um sich "ihre" Formulare aufzubauen, die dann mit einer solchen URL beschrieben werden:
https://docs.google.com/spreadsheet/viewform?formkey=xyz
Lediglich das xyz am Ende der URL unterscheidet verschiedene Formulare voneinander, so dass eine qualifizierte Bewertung prinzipiell nicht möglich ist.
Aufgrund der Gefahr, die durch eine einzige erfolgreiche Phishing-Aktion entstehen kann, markieren wir aktuell alle E-Mails, die eine derartige URL enthalten, mit der Warnung "Phishing-Verdacht" im Betreff. Das Verschicken solcher E-Mails blockieren wir derzeit ebenfalls. Bitte nehmen Sie zu uns Kontakt auf, wenn Sie davon betroffen sind.

Unsere Hoffnung

Mit der Markierung verdächtiger E-Mails und mit der von uns beigefügten Erklärung verbinden wir die Hoffnung, dass wir Sie für die Phishing-Problematik sensibilisieren können und letztlich insgesamt unsere Mail-Infrastruktur vor Missbrauch noch besser schützen können.