zum Inhalt springen

Regionales Rechenzentrum (RRZK)

Was ist Spear-Phishing?

Was Phishing ist, davon haben die meisten bereits gehört: Eine (möglicherweise gefälschte) E-Mail, deren Inhalt darauf abzieht, dass Kriminelle versuchen, an Passwörter und Zugangsdaten zu kommen. Diese Art von E-Mail wird wahllos an viele Personen versendet. Dieses Phänomen ist schon viele Jahre alt, aber immer noch aktuell, da die Masche (aus Sicht der Angreifer) „gut funktioniert“. Viele lesen sich nur flüchtig den Inhalt der E-Mail durch oder fühlen sich vom Inhalt unter Druck gesetzt („Sie müssen sofort handeln, sonst wird Ihr Account gesperrt!“). Das führt dazu, dass sie auf die Nachricht reagieren und auf einer gefälschten Seite ihre Zugangsdaten eingeben. Dadurch kennen dann die Angreifer die Zugangsdaten des Opfers und können sich fortan überall elektronisch als diese Person ausgeben.

Als weitaus gefährlicheres Vorgehen entwickelt sich momentan das so genannte „Spear-Phishing“. Im Gegensatz zur Vielzahl von Mails beim „normalen“ Phishing werden beim Spear-Phishing nur E-Mails an einzelne, gut ausgesuchte Personen versendet. Beispielsweise wird eine Professorin von einem vermeintlichen Schüler angeschrieben, der sie bittet, seine Ergebnisse im Rahmen einer Facharbeit auf Brauchbarkeit oder Richtigkeit zu überprüfen. Klickt die Professorin auf den mitgesendeten Anhang, lädt im Hintergrund ein Schadcode nach, der ihren Rechner infiziert. Weitere Beispiele hat die TU München in einem Beitrag zusammengefasst und erläutert.

Warum kann die IT solche Spear-Phishing-Mails nicht automatisch filtern?

Täglich wird – ohne dass wir es mitbekommen – eine Vielzahl von Spam-Nachrichten und Phishing-Versuchen automatisiert erkannt und gelöscht. Bei Spear-Phishing greifen die Automatismen aber selten. Warum? Phishing- und Spam-Mails werden vor allem erkannt, weil sie massenhaft versendet werden. Bei Spear-Phishing-Mails werden diese E-Mails jedoch nur einzeln versandt, und sind daher nicht direkt als solche erkennbar. Zudem wechseln die Absendenden häufig ihre E-Mail-Adressen. So ist das Sperren einzelner Adressen nicht zielführend – verhindert wird ein solcher Phishing-Versuch damit erst recht nicht.

Insofern ist die sogenannte "Human Firewall" wichtig – seien Sie vorsichtig und beachten Sie unsere Verhaltenstipps im folgenden Abschnitt.

E-Mail-Verhaltenstipps

  • Schauen Sie genau hin: Von welcher E-Mail-Adresse stammt die E-Mail? Denken Sie daran: E-Mail-Adressen können gefälscht sein! Überprüfen Sie im Zweifelsfall, ob Sie den/die Absender*in kennen und fragen Sie gegebenenfalls persönlich nach, ob die E-Mail „echt“ ist.
  • Seien Sie wachsam: Öffnen Sie bei eingehenden Nachrichten keine Office- oder ZIP-Dateien, wenn Sie nicht absolut sicher sind, dass diese auch von der Person stammen, die vorgibt der Absender zu sein! Auch dann nicht, wenn:
    • die absendende Person Ihnen namentlich bekannt ist und
    • die Mail scheinbar eine Antwort auf bereits versendete Nachrichten ist!
  • Bewahren Sie Ruhe und warten Sie ggf. ein paar Tage ab.
    An der Universität zu Köln werden in Rundschreiben keine Fristen gesetzt, dass Sie Dinge „sofort“ oder „noch heute“ erledigen müssten. Echte Aufforderungen, deren Nichtbeachtung negative Konsequenzen haben könnte, werden rechtzeitig bekanntgegeben und enthalten eine angemessene Frist.
    Wenn Sie sich unsicher sind, ob eine per E-Mail empfangene Aufforderung, dass Sie etwas tun sollen, echt ist, schreiben Sie sich eine Notiz in Ihren Kalender und nehmen sich der Sache ein paar Tage später an statt jetzt sofort. Bis dahin hat sich in den allermeisten Fällen geklärt, ob es sich um eine betrügerische Mail handelte oder nicht und Sie können ggf. auf unseren Webseiten etwas darüber nachlesen.
  • Klicken Sie nicht „einfach so“ auf Links: Moderne Schadsoftware wie Emotet ist sehr wandlungsfähig und versteckt sich auch hinter präparierten Links! Sobald Sie auf solch einen Link klicken, nimmt das Unheil seinen Lauf.
    • Schauen Sie genau hin: Wohin leitet der Link? Zu einer Webseite der Uni Köln? Zu dubiosen Webseiten (wie "…weight-loss..." oder "...vir.ws...")? Wenn der Link nahezu ausschließlich aus für Menschen unlesbaren Begriffen besteht, ist die Gefahr, dass es sich um eine unseriöse Webseite handelt, besonders groß.
      (Die Umkehrung davon gilt nicht: Auch hinter einem Link, der aus gut lesbaren Begriffen aufgebaut ist, kann sich eine betrügerische Webseite verstecken. Aber wenn der Link schon kryptisch erscheint, ist die Wahrscheinlichkeit gering, dass dahinter eine seriöse Webseite steht.)
    • Nutzen Sie zuerst den für Sie ungefährlichen Online-Viruscheck: https://www.virustotal.com/gui/home/url (dieser Link sollte sicher sein) Hier können Sie zunächst überprüfen, ob einer oder mehrere Online-Virusscanner die URL für ungefährlich halten.
    • Nutzen Sie die Windows-Sandbox: Hierbei handelt es sich um ein abgeschottetes Betriebssystem im Betriebssystem, auf dem ein Virus nach derzeitigem Stand keinen Schaden anrichten kann.
  • Lernen Sie spielerisch die Merkmale kennen, wie sich gefälschte E-Mails von echten unterscheiden. Rufen Sie in einer freien Minute, als Vorbereitung auf zukünftige Bedrohungen, das Quiz auf zum Thema Phishing, das vom KIT bereitgestellt wird.
  • Aktivieren Sie die Spam-Filterung für Ihren E-Mail-Account, falls Sie das bisher noch nicht getan haben. Viele Phishing-E-Mails (leider aber nicht alle) werden auch von unseren E-Mail-Filtern erkannt, so dass Sie solche E-Mails automatisch aussortieren lassen können. Dann müssen Sie sich im Zweifelsfall gar nicht erst mit der Frage beschäftigen, ob eine bestimmte E-Mail riskant ist oder nicht.
  • Kontaktieren Sie im Zweifel (oder wenn Sie versehentlich auf einen Link geklickt oder einen Anhang geöffnet haben) Ihre IT-Betreuung, Ihre DV-Koordination oder den RRZK-Helpdesk und fragen Sie dort um Rat.

Aktuell:
Informationen zu Tools für kollaboratives Arbeiten im Homeoffice
Kontakt
Bei Fragen und für individuellen Support wenden Sie sich bitte an den RRZK-Helpdesk