Was ist Phishing?
Als Phishing bezeichnet man den illegalen Versuch, an Passwörter und Zugangsdaten anderer Personen zu kommen. Meist geschieht dies per E-Mail. Häufig werden in diesem Zusammenhang E-Mail-Adressen gefälscht. E-Mails und E-Mail-Adressen zu fälschen ist so einfach wie das Schreiben und Versenden eines Briefs unter fremdem Namen.
Häufig wird den betroffenen Personen vorgetäuscht, es bestehe dringender Handlungsbedarf. Gleichzeitig wird mit Konsequenzen gedroht. Die Opfer sollen in eine Drucksituation gebracht werden, so dass sie glauben, sie müssten sofort handeln. Viele fallen darauf herein.
Dies ist eine der Grundsätze des sogennanten Social Engineerings, auf dessen Basis Menschen so manipuliert werden sollen, dass sie Dinge tun, die sie in Normalsituationen nicht tun würden, wie beispielsweise sensible Informationen wie Kontodaten, Passwörter, Interna preiszugeben. Dieses Ausnutzen der "Schwachstelle Mensch", wie sie in Fachkreisen genannt wird, ist jedoch nur der erste Schritt: Die auf diese Weise erbeuteten Daten (wie Zugangsdaten und ähnliches) sind die Grundlage für einen Hackingangriff auf eine Einrichtung, ein Unternehmen – oder eine Hochschule. Der Angriff selbst folgt im Anschluss und zielt nicht auf Personen, sondern auf die Infrastruktur. Darum ist es wichtig, dass nicht nur "die IT" auf sichere Systeme achtet, sondern dass die Menschen, die IT nutzen, ebenso aufmerksam und vorsichtig sind.
Phishing: Fragen und Antworten
Wie sieht eine Phishing-Mail aus?
Ich habe eine Mail von meiner eigenen E-Mail-Adresse erhalten. Bin ich gehackt worden?
Wie soll ich auf eine Phishing-Mail reagieren?
Ich bin unsicher, ob ich eine Phishing-Mail erhalten habe. Wo kann ich um Unterstützung bitten?
E-Mail-Verhaltenstipps
- Schauen Sie genau hin: Von welcher E-Mail-Adresse stammt die E-Mail? Denken Sie daran: E-Mail-Adressen können gefälscht sein! Überprüfen Sie im Zweifelsfall, ob Sie den/die Absender*in kennen und fragen Sie gegebenenfalls persönlich nach, ob die E-Mail „echt“ ist.
- Seien Sie wachsam: Öffnen Sie bei eingehenden Nachrichten keine Office- oder ZIP-Dateien, wenn Sie nicht absolut sicher sind, dass diese auch von der Person stammen, die vorgibt der Absender zu sein! Auch dann nicht, wenn:
- die absendende Person Ihnen namentlich bekannt ist und
- die Mail scheinbar eine Antwort auf bereits versendete Nachrichten ist!
- Bewahren Sie Ruhe und warten Sie ggf. ein paar Tage ab.
An der Universität zu Köln werden in Rundschreiben keine Fristen gesetzt, dass Sie Dinge „sofort“ oder „noch heute“ erledigen müssten. Echte Aufforderungen, deren Nichtbeachtung negative Konsequenzen haben könnte, werden rechtzeitig bekanntgegeben und enthalten eine angemessene Frist.
Wenn Sie sich unsicher sind, ob eine per E-Mail empfangene Aufforderung, dass Sie etwas tun sollen, echt ist, schreiben Sie sich eine Notiz in Ihren Kalender und nehmen sich der Sache ein paar Tage später an statt jetzt sofort. Bis dahin hat sich in den allermeisten Fällen geklärt, ob es sich um eine betrügerische Mail handelte oder nicht und Sie können ggf. auf unseren Webseiten etwas darüber nachlesen. - Klicken Sie nicht „einfach so“ auf Links: Moderne Schadsoftware wie Emotet ist sehr wandlungsfähig und versteckt sich auch hinter präparierten Links! Sobald Sie auf solch einen Link klicken, nimmt das Unheil seinen Lauf.
- Schauen Sie genau hin: Wohin leitet der Link? Zu einer Webseite der Uni Köln? Zu dubiosen Webseiten (wie "…weight-loss..." oder "...vir.ws...")? Wenn der Link nahezu ausschließlich aus für Menschen unlesbaren Begriffen besteht, ist die Gefahr, dass es sich um eine unseriöse Webseite handelt, besonders groß.
(Die Umkehrung davon gilt nicht: Auch hinter einem Link, der aus gut lesbaren Begriffen aufgebaut ist, kann sich eine betrügerische Webseite verstecken. Aber wenn der Link schon kryptisch erscheint, ist die Wahrscheinlichkeit gering, dass dahinter eine seriöse Webseite steht.) - Nutzen Sie zuerst den für Sie ungefährlichen Online-Viruscheck: https://www.virustotal.com/gui/home/url (dieser Link sollte sicher sein) Hier können Sie zunächst überprüfen, ob einer oder mehrere Online-Virusscanner die URL für ungefährlich halten.
- Nutzen Sie die Windows-Sandbox: Hierbei handelt es sich um ein abgeschottetes Betriebssystem im Betriebssystem, auf dem ein Virus nach derzeitigem Stand keinen Schaden anrichten kann.
- Schauen Sie genau hin: Wohin leitet der Link? Zu einer Webseite der Uni Köln? Zu dubiosen Webseiten (wie "…weight-loss..." oder "...vir.ws...")? Wenn der Link nahezu ausschließlich aus für Menschen unlesbaren Begriffen besteht, ist die Gefahr, dass es sich um eine unseriöse Webseite handelt, besonders groß.
- Wenn Sie ein Formular ausfüllen, in dem Passwörter eingetragen werden sollen, schauen Sie genau hin:
- Handelt es sich um ein Formular, das tatsächlich von der Uni Köln bereitgestellt wird? Prüfen Sie die Internetadresse, die vom Browser angezeigt wird.
- Sind Rechtschreibung und Grammatik bei der Beschriftung der Felder „normal“? Sonderzeichen wie z. B. ñ statt n sollten Sie stutzig machen. Wenn ein Eingabefeld beispielsweise mit Kenñwort oder Pásšwørt beschriftet ist, handelt es sich vermutlich um eine betrügerische Webseite. Das gilt natürlich auch für andere Formen der Verschleierung von Wörtern.
- Werden in dem für die Eingabe des Passworts vorgesehenen Feld ohne Ihr Zutun unmittelbar die von Ihnen eingetippten Buchstaben angezeigt (anstelle von Sternchen bzw. Punkten), verlassen Sie sofort die Webseite. Es handelt es sich in dem Fall eindeutig um eine betrügerische Webseite.
- Lernen Sie spielerisch die Merkmale kennen, wie sich gefälschte E-Mails von echten unterscheiden. Rufen Sie in einer freien Minute, als Vorbereitung auf zukünftige Bedrohungen, das Quiz auf zum Thema Phishing, das vom KIT bereitgestellt wird.
- Aktivieren Sie die Spam-Filterung für Ihren E-Mail-Account, falls Sie das bisher noch nicht getan haben. Viele Phishing-E-Mails (leider aber nicht alle) werden auch von unseren E-Mail-Filtern erkannt, so dass Sie solche E-Mails automatisch aussortieren lassen können. Dann müssen Sie sich im Zweifelsfall gar nicht erst mit der Frage beschäftigen, ob eine bestimmte E-Mail riskant ist oder nicht.
- Kontaktieren Sie im Zweifel (oder wenn Sie versehentlich auf einen Link geklickt oder einen Anhang geöffnet haben) Ihre IT-Betreuung, Ihre DV-Koordination oder den RRZK-Helpdesk und fragen Sie dort um Rat.
Weitere Arten von Angriffen per E-Mail
Spear-Phishing
Während bei einer gewöhnlichen Phishing-Attacke viele hundert bis mehrere tausend Personen gleichzeitig betroffen sind, gibt es eine weitere, sehr spezielle und gefährliche Form des Phishings: Beim so genannten Spear-Phishing werden persönlich auf die Opfer zugeschnittene E-Mails versandt, die auch bei genauerer Betrachtung täuschend echt wirken. Wir haben Ihnen hier weitere Informationen über Spear-Phishing zusammengestellt.
Erpressungs-E-Mails
"Hilfe, da schreibt jemand, ich sei gehackt worden und er hätte kompromittierende Aufzeichnungen von mir! Ich solle Lösegeld zahlen, sonst versendet er diese Aufnahmen an meine Verwandten und Bekannten!" Meist erfolgt diese Droh-Mail aber ohne die Lieferung von Beweisen. Hier haben wir alle Informationen dazu zusammengestellt.
Giftcard-Spam/-Scam
Beim Giftcard-Scam versuchen Angreifende, einzelne Personen im Namen des/der Vorgesetzten (Professor:in, Geschäftsführung) von einer externen Adresse (Gmail, Yahoo) anzuschreiben. Unter dem Vorwand, dass es sehr dringend sei, werden die Opfer unter Druck gesetzt und dazu überredet, Geschenkkarten zu kaufen und die Codes herauszugeben.
Auf unserer Webseite hier finden Sie weitere Erläuterungen zu Giftcard-Scam.
Aktuell:
Informationen zu Tools für kollaboratives Arbeiten im Homeoffice
Kontakt
Bei Fragen und für individuellen Support wenden Sie sich bitte an den
RRZK-Helpdesk