Phishing- bzw. Fake-E-Mails enthalten häufig mehrere der hier genannten Merkmale. Das Wissen um diese Merkmale und die Sensibilisierung für derartige Angriffsversuche schützen vor dem ungewollten Zugriff auf Daten der Universität und persönliche Informationen oder Zugangsdaten.
Typische Betreffzeilen
- Überprüfen und aktualisieren Sie ihre Bauhaus-Universität Webmail-Konto
- Kontoverifizierung/ Account Verification
- Warnung
- confirm your account
- UPDATE
- Letzte Warnung!!!
- Account Upgrade Alert!
- Sehr geehrte Webmail-Konto Besitzer
- Sie haben die Lagerung für Ihr Postfach überschritten
Die Betreffzeilen sollen Handlungsdruck erzeugen, sind aber häufig wenig aussagekräftig bis sinnfrei oder fehlerhaft.
(Dringende) Aufforderung etwas unverzüglich zu tun, häufig werden Sicherheitsargumente angeführt
Beispiele:
- Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund von ungewöhnlichen Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
- Wenn Sie nicht in den nächsten 24 Stunden von Ihnen abgeholt werden, werden wir Ihr E-Mail-Konto bis nach ordnungsgemäßer Überprüfung herunterfahren, bevor Sie wieder auf Ihr E-Mail-Konto zugreifen können. Klicken Sie auf " Aktualisieren", um kostenlosen Speicherplatz von 20 GB hinzuzufügen. Ihr E-Mail-Konto wird geschlossen, wenn Sie die Speicherkapazität nicht erhöhen können. Klicken Sie auf Aktualisieren, um Ihre Speicherkapazität um 20,00 GB zu erhöhen ..
- Ihr Benutzerkonto muss aktualisiert werden. Bitte loggen Sie sich an der Universität Weimar ein, um Ihr Passwort zu bestätigen
Abfrage von Log-In/Passwort
Das SCC und andere Einrichtungen des Bauhaus-Universität werden Sie NIEMALS dazu auffordern ihm/ihnen die persönlichen Anmeldeinformationen (LogIn und Passwort) per E-Mail zuzusenden.
Bei einer E-Mail, die diese Informationen abfordert, handelt es sich um eine Fälschung.
Abfrage von Daten die Absender bereits besitzt oder aber gar nicht kennen soll/muss
Persönliche Passwörter der Nutzenden interessieren keine Dienstleistenden (SCC, Anbietende, ...) und werden niemals angefordert. Die Daten, die Dienstleistende bereits erfasst haben, werden bei Änderungen nicht erneut abgefragt (selbst bei einem Crash der Datenbank wird ein Backup existieren).
In der E-Mail enthaltener externer Link soll angeklickt oder eine angefügte Datei soll geöffnet werden
Das SCC wird Sie niemals auffordern sensible Daten auf einer Webseite außerhalb unserer Domain uni-weimar.de einzugeben. Anhänge suspekter E-Mails sollten vor dem Öffnen wenigstens bei virustotal.com hochgeladen und auf Schadsoftware geprüft werden.
Häufige Drohung mit negativen Konsequenzen (Account-Sperrung) bei Nichtbefolgen der Aufforderungen
- Anderenfalls kann die Stornierung Ihres Webmail-Kontos führen.
Mailadresse passt nicht zum angeblichen Absender
- webmaster@uni-weimar.de (fsshaffer@verizon.net)
- Webmaster (mariae.lopez@odontologia.unt.edu.ar)
- Mail System Administrator (Xavier.De.Ghellinck@ulb.ac.be)
Offizielle E-Mails versendet das SCC ausschließlich über Uni-interne E-Mail-Accounts.
Achtung: Der angezeigte Absendername und die angezeigte Absenderadresse von E-Mails besitzen keinerlei Verlässlichkeit (entwicklungsbedingte Schwäche der E-Mail-Kommunikation). Ein Absender lässt sich ausschließlich durch die Verwendung digitaler Signaturen zweifelsfrei verifizieren.
Betreff passt nicht zum Inhalt der E-Mail
- Betreff: Gesetzentwurf: 10795497, Inhalt: Rechnung
Betreff in einer von uns nicht verwendeten Sprache
Das SCC versendet E-Mails in der Regel in Deutsch, ggf. in Englisch. Alle anderen Sprachen verwenden wir nicht, weder im Betreff, noch im Text.
Fehlende persönliche Ansprache
Einem Dienstanbietenden sind die Namen seiner Kunden/Clienten oder wichtige Vertragsdaten bekannt. Das SCC wird sie immer persönlich ansprechen.
Aber auch neuer Trend: Spear Phishing
Verwendung unüblicher Bezeichnungen
Es werden Bezeichnungen/Stellen gewählte, die an der Bauhaus-Universität Weimar/dem SCC nicht existieren/nicht verwendet werden:
- Bauhaus-Universität Webmail Management
- Bauhaus-Universität Webmail-Mitteilungszentrale
- The Webmail team
- Webmail Verifikationszentrum
- IT-Service-Center
- The Help Desk Admin
- Support-Team
- Mailer Sicherheitsdienst
- Admin Help Desk
Zu allgemeine Bezeichnungen:
- system administrator
- Systemadministrator
Falsche Zuordnung Stelle und Service:
- (Web)-Mail zu Webmaster
Gestelzte, lässige oder holprige unübliche Sprachwahl:
Beispiele:
- Herunterfahren Ihres Kontos, in den nächsten 12 Stunden!
- Danke, und sorry für die Unannehmlichkeiten
- Wir sind ganz dankbar für die Ausnutzung unserer Dienste.
- ... haben wir Grund zu der Annahme, dass Ihr E-mail-Konto von einem Dritten zugegriffen wurde
- Guten Tag, Sie sollen jetzt ganz glücklich sein, denn Sie haben...
- Die Sicherheit Ihres E-mail-Kontos ist unser Hauptanliegen.
- Die ganze Summe können Sie in der Datei rechnung516.cab herunterladen
- ... dass Sie das Blatt abdrucken...
- Dadurch wird verhindert, dass Ihre E-Mail von abgeschlossen während dieser Übung.
- Sie sind verpflichtet, zu überprüfen und aktualisieren Sie Ihre E-Mail mit der Bestätigung Ihrer E-Mail-Identität sofort.Sie sind verpflichtet, zu überprüfen und aktualisieren Sie Ihre E-Mail mit der Bestätigung Ihrer E-Mail-Identität sofort.
- Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten
- Wir bitten Sie, um das System richtig laufen zu lassen, die Form der zusätzlichen Autorisation auszufüllen
- Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters geworden sind
- Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze!
- Wir schätzen Ihr Business ein. Für uns ist eine große Ehre, Sie zu bedienen.
- sind Ihre 5 (fünf) eingehenden E-Mails auf Eis gelegt
Fehlerhafte Zeichensatzdarstellung:
Beispiele:
- Summe: ?200.81
- "Von unseren Spezialisten wurden sowohl die Protokolle der Informationsьbertragung, als auch die Methoden der Kodierung der ьbertragenen Daten neu gestaltet."
- "Administration der Stadtsparkasse M&# 252;chen "
Grammatik- und Rechtschreib-Fehler:
Beispiele:
- Betreff: Bestellen 31516959959 (statt Bestellung)
- Ihre Bestellung #31516959959 wird 20-06-2014 abgesendet werden.
- Ihr Postfach hat die Speichergrenze überschritten von 2.GB Gegründet durch den Administrator ist derzeit 2,30 GB, kann nicht Senden oder Empfangen von neuen Nachrichten, bis Sie wieder bestätigen Sie Ihre E-Mail Klicken Sie auf den Link unten, um Ihre E-Mail-Validierung
- Dies ist, um alle Webmail-Account-Benutzer, der Admin Webmail ist derzeit Verstopfte mitteilen, so dass wir Löschen inaktive Konten.
- Beachten Sie, dass Ihre E-mail Konto den Speichergrenzwert festlegen, indem der Administrator/Datenbank überschritten hat, Sie derzeit aus dem Zusammenhang gerissen laufen und Sie können möglicherweise nicht zum Senden oder empfangen von neue Post, bis Ihr Konto erneut zu bestätigen. Ihres e-Mail-Kontos zu vermeiden von wurden geschlossen, klicken hier
- Dies ist um Sie zu benachrichtigen, dass Sie die Speichergrenze für Ihr Postfach überschritten.
- Ihr Postfach hat die Speichergrenze überschritten, wie von der Standard-Administrator, Sie derzeit niedrig ist und Sie nicht in der Lage zu senden oder zu empfangen neue E-Mail, bis Sie erneut validieren Ihr Postfach sein.
Wechsel zwischen Du und Sie
Beispiele:
- Okay, du musst eine Aufgabe für mich diskret erledigen. ... Anrufe sind verboten, daher kann ich Sie nur per E-Mail kontaktieren.
- Bitte helfen Sie mir, vier Amazon-Geschenkkarten im Wert von 100 € in einem beliebigen Geschäft zu erhalten. ... Ich werde es dir erstatten, sobald ich im Büro bin. Ich brauche physische Karten, also hilfst du mir, sie aus dem Laden zu holen. Wenn Sie sie erhalten, kratzen Sie einfach,
Sprachenmix (englisch-deutsch etc.):
Beispiele:
- Diese Nachricht ist von the Admin Help Desk.
- Aufgrund unserer neuesten IP-Sicherheit party-Upgrades...
- Email Alert-Benutzer
- WICHTIG: dear-Mail-Konto Benutzer
- UNIVERSITÄT Webmail Security Alert
Unverständlicher Inhalt
Durch eine komplett/ weitgehend unverständliche E-Mail soll der Empfänger zu einer Reaktion, wie einer Nachfrage, einer Antwort o.ä. animiert werden.
Beispiel:
Ivgtqcrpnte9n2mrjgrnationaeyzl Saqehles
Ja16mgckowpertkywnla Mklxold Co., ta5bbLigmci8td Wtorvipfcpebwxrncxfvqhwwc1gidv4km.joyrqlstawaqn9.c4xckl3om
Note: - If you are not interested then you can reply with a simple \"NO\",We will never contact you again.
Hinweis: Antwortet man mit »NO« wird man vermutlich nicht von weiterem Spam verschont, ganz im Gegenteil. Zusätzlich verrät man dem Spammer möglicherweise noch weitere Details durch die Informationen in der persönlichen E-Mail-Signatur (Text).
Link in der E-Mail verweist auf Adresse die nicht zum Adressbereich des Absenders gehört.
Nicht anklicken, Mauszeiger auf den Link schieben genügt, um Daten im Browser anzuzeigen
Falls der Link doch benutzt wurde: »Erkennungsmerkmale von Phishing-Webseiten«
Inhalt widerspricht realen Gegebenheiten
An der Bauhaus-Universität Weimar gibt es bezüglich der E-Mail-Nutzung keine Limitierungen, also kann auch keine Speichergrenze überschritten werden.
Unrealisitischer Inhalt
Wenn etwas zu schön klingt, um wahr zu sein, handelt es sich meist auch um eine Fälschung.
Beispiele:
- angeblicher (Lotto-)Gewinn, obwohl man gar nicht mitgespielt hat
- angebliche hohe Erbschaft von einem Unbekannten (aus dem Ausland)
Ungewöhnliche/ unübliche Anfrage
Gerade im Verwaltungsbereich werden häufig Standard-Prozesse, auch mit E-Mail-Nutzung durchgeführt. Wenn plötzlich eine völlig neue oder bisher unübliche Anfrage (ggf. vermeintlich von einer vorgesetzte Person) eintrifft, ist Skepsis angebracht. Bei Unsicherheit empfiehlt sich hier immer eine Nachfrage beim angeblichen Absendenden (Kontaktdaten immer aus seriöser Quelle, nicht der E-Mail selber entnehmen) oder beim SCC Nutzerservice.
Beispiele:
- Wir informieren Sie hiermit, dass Ihr Schufa-Status sich geandert hat.
im Anhang finden Sie die gewunschten Informationen als PDF-Datei. - anbei findest du den Überweisungsbeleg, das Geld sollte also bald bei dir auf dem Konto sein. Ebenfalls anbei der Scan der Vereinbarung.
E-Mail keinem realen Vorgang zuzuordnen
Kann eine E-Mail, die sich angeblich auf Bestellprozesse o.ä. bezieht, aber keinem realen Vorgang zugeordnet werden kann, ist eine Fälschung wahrscheinlich.
- Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.
gescanntes Dokument: - Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.
gescanntes Dokument: (keine Infos angefordert) - Rech 83439167665 [Nachname Vorname, intern]
Als Anhang erhalten Sie Ihre Rechnung.
Bei Stellenanzeigen der Bauhaus-Uni werden immer Kennzeichen genannt, auf die bei einer Bewerbung angeben werden sollen. Fehlt diese Angabe ist Skepsis angebracht.
Dubiose Mailanhänge und unübliche Dateiformate
Phishing Mails besitzen häufig Anhänge, die anstelle einer vermeintlichen Rechnung Schadsoftware, wie Trojanische Pferde etc. enthalten. Seriöse Unternehmen nutzen hier in der Regel das Format pdf und niemals ausführbare Dateien (.exe) oder Archive (.zip), untypisch ist auch die Verwendung von .cab-Dateien. In jüngster Vergangenheit wird verstärkt versucht über JS (JavaScript) Schadsoftware auf IT-Systeme zu schleusen. JavaScript ist kein Format für Office-Dokumente (!) sondern ausführbarer Code, somit werden sie auch niemals eine Rechnung oder ähnliches in diesem Format von einem seriösen Absender erhalten.
Achten Sie bei der Benutzung von Windows darauf, dass die Anzeige von Erweiterungen bekannter Dateitypen nicht deaktiviert wurde, da Ihnen sonst durch die Angabe einer doppelten Erweiterung (dateixy.pdf.exe) eine ausführbare Datei untergeschoben werden kann.
- In der Anlage erhalten Sie Ihre dazugehörige Rechnung als JS-Dokument.
gescanntes Dokument:
...ttp://jemsonline.co.uk/gescanntes-Dokument-017283593...
Link statt Anhang
In der E-Mail wird von einem Anhang gesprochen, sie enthält aber stattdessen einen Link.
- Es ist unten angehängt.
ANHANG ZUM DOKUMENT (...ttps://negahad.ir/.../Darlehensvertrag_669697_18052020.zip)
Verwendung von Makros in Office-Dokumenten
Häufig wird durch Angreifer versucht Schadsoftware über Makros in Office-Dokumenten (beispielsweise Word-Dateien) auf das IT-System zu schleusen. Die Makrofunktionaltät sollte deshalb standardmäßig deaktiviert sein und möglichst auch bleiben. Eine temporäre Aktivierung sollte nur dann erfolgen, wenn zweifelfrei fest steht, dass das Dokument ein Makro enthält, welches keinen Schadcode enthält. Besser beim vermeintlichen Absender über einen bekannten alternativen Kommunikationsweg (wie dem Telefon, Achtung: Telenummer niemals einer suspekten E-Mail entnehmen!) nachfragen.
Fehlende üblicherweise genutzte Angaben/ elektronische Signaturen
Erhält man von bekannten Absendern plötzlich E-Mails ohne Impressum, obwohl diese dieses sonst immer verwenden oder plötzlich unsignierte E-Mails obwohl zuvor immer eine elektronische Signatur verwendet wurde, sollte man hellhörig werden. Bei Fälschungen fehlt dieses häufig. Möglich ist aber auch die Nutzung mobiler Devices wie Smartphones. Die Empfehlung lautet hier entsprechende Anpassungen vorzunehmen, damit Empfänger nicht durch unterschiedliches Aussehen und fehlende Merkmale irritiert werden. Elektronische Signaturen sind die einzige Möglichkeit den Absender einer E-Mail zweifelsfrei als solchen identifizieren zu können.
Bei geschäftsmäßigen E-Mails besteht in Deutschland eine gesetzliche Pflicht E-Mail-Signaturen zu verwenden. Fehlen die Pflichtangaben in einer vermeintlichen geschäftsmäßigen E-Mail kann mit sehr hoher Wahrscheinlichtkeit von einer Fälschung ausgegangen werden. Details dazu: externer Link
Logo wird extern gehostet
Ein in der Phishing-E-Mail verwendetes Firmen- oder Organisationslogo wird missbräuchlich bei einem externen Speicherdienst und nicht bei der betreffenden Firma- oder Organisation gehostet und ggf. eine irreführende Bezeichnung zur Verschleierung des Missbrauchs verwendet:
- Betreff: Paypal: Aktualisierung unsere AGBs
<https://abload.de/img/mixtapev6lon.png>
Sehr geehrter Herr ...
E-Mail wird durch unsere Anti-Spamlösung abgefangen und als solche gekennzeichnet
Wird eine E-Mail durch den Spamfilter als solche erkannt und gekennzeichnet, ist die Wahrscheinlichkeit sehr hoch, dass es sich um gefälschte, kompromittierte, unerwünschte oder schadhafte E-Mail handelt. Eine Freigabe sollte nur in dem Fall erfolgen, wo eine fehlerhafte Klassifizierung zweifelsfrei fest steht.
- [SPAM] gescanntes Dokument 62304401722