Was ist Phishing?

Phishing ist ein Kunstwort und setzt sich zusammen aus Passwort und Fishing. Bei dieser Angriffsmethode verschicken Cyber-Kriminelle Fake-E-Mails und fordern die Empfänger dazu auf, Links zu gefälschten Webseiten zu folgen und vertrauliche Informationen wie Zugangsdaten, Passwörter, Kreditkartennummern etc. einzugeben.

Bei Phishing-Mails mit Emotet kann dieser Schadcode die E-Mail-Korrespondenz der Nutzer mitlesen, sowohl die Adressen als auch den Inhalt. Auf dieser Datengrundlage werden dann weitere E-Mails generiert, deren Absender, Thema (Betreffzeile) und Inhalt die Authentizität des Absenders in noch nie erreichter Weise imitieren. Sobald Anhänge in diesen Phishing-Mails geöffnet bzw. „angeklickt“ werden, lädt EMOTET dann weitere Schadsoftware nach. Oft wird man dabei aufgefordert, die Makroausführung zu bestätigen. In einem solchen Fall wird die Nachfrage beim Absender empfohlen.

In dem Dokument Phishing Angriffe erkennen und abwehren finden Sie mehr hilfreiche Informationen, u.a.  zu Indizien für zweifelhafte E-Mails, und echte Phishing-Beispiele.

Woran Phishing-Mails gut erkennbar sind, ist auch auf den Seiten des BSI nachzulesen. Dort wird u.a. über EMOTET informiert.

Videos zu Phishing-Mails

Im Folgenden sehen Sie zwei Videos, die Ihnen wertvolle Hinweise vermitteln, wie Phishing-Mails in der realen Praxis zu erkennen sind.

Die Videos sind von der Forschungsgruppe SECUSO erstellt worden, die zum Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) des Karlsruher Instituts für Technologie (KIT) gehört.

Weitere Informationen: https://secuso.aifb.kit.edu/99.php

Video: SECUSO / Alexander Lehmann 

NoPhish Video I: Absender prüfen & gefährliche Anhänge erkennen

NoPhish Video II: Gefährliche Links erkennen
  1. Öffnen Sie den Anhang nur, wenn Sie sich sicher sind. Ein Anruf beim vermeintlichen Absender hilft immens!

  2. Der Anzeigename kann beliebig sein. Finger weg, wenn Anzeigename und Absenderadresse nicht übereinstimmen. Aber Obacht: die Absenderadresse ist nicht fälschungssicher.

  3. Bei der mobilen Sicht drücken Sie auf Weiterleiten, um die Absenderadresse und zum Absendernamen anzuzeigen.

  4. Beigefügte Links können Sie prüfen, indem Sie den Mauszeiger auf den Link halten (ohne ihn anzuklicken!) und die Adresse kontrollieren! Alternativ nutzen Sie Virustotal. Dazu den Link per Copy & Paste übernehmen und checken lassen.

  5. Wenn Sie einem unschädlichen Link folgen, kontrollieren Sie IMMER die Adresszeile des Browsers.

  6. Deaktivieren Sie die automatische Ausführung und Anzeige von aktiven Inhalten (Makros…) in Office-Anwendungen und PDF-Readern. Meist enthält der Anhang einer Phishing-Mail den Schadcode in Form von Makros.

  7. Verzichten Sie auf Speicherung von Passwortdateien im Browser (aus Bequemlichkeit) - Starke Passwörter machen einen Unterschied.

  8. Nutzen Sie Administratorrechte nur für Administratortätigkeiten, nicht für allgemeine Büroarbeit.

  9. Regelmäßige Updates mit einer aktiven AV-SW bilden die Grundlage der IT-Sicherheit.

  10. Deaktivieren Sie die automatische Ausführung und Anzeige von Anhängen und externen Links, Bildern.
Wer eine verdächtige E-Mail bekommt, die angeblich von der TU Dortmund kommt, kann diese an die E-Mail-Adresse


weiterleiten.

Am besten sollte die E-Mail jedoch nicht einfach weitergeleitet, sondern als Datei gespeichert und dann als Attachment versendet werden.

Sonstige Social Engineering Emails (Spam, Phishing ohne TU-Bezug) können über die entsprechende Schaltfläche des Plug-Ins für Outlook (Spam, Phishing…) schnell und einfach an unseren E-Mail-Appliance Anbieter gemeldet werden, um die Filterregeln zu verbessern.

Vor Phishing-Angriffen ist niemand gefeit!
Worst Case Szenario: „Merkt schon keiner“
  • Trennen Sie den potentiell infizierten Rechner vom Netzwerk

  • Kontaktieren Sie uns unter für die weiteren Schritte

Betrügerische Nachrichten enthalten oftmals einen oder mehrere gefährliche Links. Das Ziel dieser Links ist, dass Sie als Empfänger auf einen dieser Links klicken. Dabei werden Sie entweder auf eine täuschend echt wirkende, aber maliziöse Webseite weitergeleitet, die auf Ihrem Gerät eine Schadsoftware installiert oder Sie werden dazu aufgefordert, auf dieser Seite Ihre vertraulichen Zugangsdaten einzugeben, die in der Folge für kriminelle Absichten abgegriffen werden.

 

Kontrollieren Sie die URL bzw. die Webadresse

Bevor Sie einem Link folgen, kontrollieren Sie IMMER die Webadresse, die dem Link tatsächlich zugewiesen ist, denn entscheidend ist hier nicht der in einer Nachricht angezeigte Linkname, sondern die tatsächliche Linkadresse.

Die Vorgehensweise, um diese Information herauszubekommen, kann sich je nach Endgerät, Anwendung oder Dienst (Tablets, Smartphones, PCs etc.) unterschiedlich gestalten. Oft lässt sich die Information zur URL in Erfahrung bringen, indem Sie mit der Maus über den Link fahren, ohne ihn anzuklicken. Je nach Umgebung wird die Information (z. B. im Infofeld bzw. Tooltip) eingeblendet. In der nachfolgenden Abbildung dient Outlook als Beispiel für die Darstellung der gesuchten URL.

Screenshot einer E-Mail in Outlook

 

Identifizieren Sie den sog. „Wer-Bereich“ in der Webadresse

Der Wer-Bereich setzt sich zusammen aus den zwei Begriffen vor dem dritten Schrägstrich – getrennt durch einen Punkt.

URL mit markiertem Wer-Bereich, der lediglich "tu-dortmund.de" enthält

Der Wer-Bereich gibt Auskunft über den Domainnamen bzw. die Server-Adresse des Absenders und enthält in der Regel den Namen des Absenders. Sofern Domains als IP-Adresse (wie beispielsweise 192.168.0.1) angezeigt werden, könnte dies unter Umständen ein Indiz für eine gefälschte Seite sein.

 

Achten Sie auf kleine Variationen der Webadresse

Kriminelle machen sich unterschiedliche Verschleierungstaktiken zunutze, wie den echten Wer-Bereich innerhalb der angegebenen Webadresse zu verschieben. So könnte beispielsweise der obige Link fälschlicherweise wie folgt angegeben werden:

URL mit markiertem Wer-Bereich, der "login.de" enthält

 

Manchmal werden die echten Domainnamen täuschend echt imitiert, indem die Zeichenfolge marginal geändert wird. So könnte www.tu-dortmund.de beispielsweise in www.tu-dortmnud.de oder www.tu-dorrtmund.de abgewandelt werden.

 

Bleibt eine Restunsicherheit bei der Deutung der Webadresse bestehen, empfiehlt es sich stets, die Webadresse des Absenders über eine Suchmaschine wie beispielsweise Ecosia ausfindig zu machen.

 

Zu diesem Thema empfehlen wir ebenfalls, sich das NoPhish Video II: Gefährliche Links erkennen anzuschauen.

 

(Quelle:  Die obigen Sicherheitstipps zum Erkennen von gefährlichen Links sind unter anderem anlehnend an den Flyer „Betrügerische Nachrichten“ der Forschergruppe Secuso des Karlsruher Instituts für Technologie entstanden)

Verwenden Sie Zertifikate für das Signieren von E-Mails.

Eine digitale Signatur ist ein Echtheitsnachweis und könnte ansatzweise mit einem Siegel in der analogen Welt verglichen werden. Sie stellt die echte Identität des Kommunikationspartners bzw. der Kommunikationspartnerin sowie die Integrität der Mail-Inhalte mittels eines kryptographischen Verfahrens sicher.

In der Regel kennzeichnen E-Mail-Programme wie Outlook solche digital signierten E-Mails durch ein bestimmtes Symbol in Form eines Siegels.

Wenn Sie auf das eingekreiste Symbol klicken, wird Ihnen die Richtigkeit bzw. Gültigkeit der Signatur angezeigt:

Wenn Sie den Button "Details" betätigen, wird die Zertifikatskette angezeigt.

Die digitale Signatur ermöglicht es dem Empfänger bzw. der Empfängerin somit sicherzustellen, dass die E-Mail tatsächlich von dem angegebenen Absender bzw. von der angegebenen Absenderin stammt und seit der Signierung zudem nicht verändert wurde. Im Falle einer erfolgreichen Überprüfung der Signatur können die Empfänger*innen demnach sicher sein, dass die E-Mail authentisch ist und nicht von Dritten manipuliert wurde. Anderenfalls erfolgt eine Systemmeldung. Dies hilft, die Echtheit der Mail-Kommunikation zu gewährleisten und das ausgehende Risiko von gefälschten oder manipulierten E-Mails zu verringern. Auf diese Weise können digital nicht-signierte, verdächtige Mails, in denen die vermeintlichen Absender*innen beispielsweise nach sensiblen Daten fragen oder zu bestimmten Handlungen auffordern, besser als kriminelle Betrugsmails identifiziert werden.

Gruppenzertifikate für Ihre Funktionspostfächer sind ebenso empfehlenswert - insbesondere, wenn Sie  E-Mails mit Anhängen und inkludierten Weblinks verschicken. Der dabei anvisierte Lerneffekt ist, dass E-Mails von ähnlichen Formaten unmittelbar als kritisch auffallen, wenn sie nicht digital signiert sind: Phishing-Mails sind tendenziell so aufgebaut, dass sie zentrale Instanzen wie beispielsweise den technischen Service Desk als Absender imitieren, um so den Empfänger bzw. die Empfängerin leichter zu einer Aktion zu überreden. Solche E-Mails könnten in Zukunft unmittelbar als verdächtig eingestuft werden, sofern sie nicht digital signiert sind. Im Serviceportal unter https://service.tu-dortmund.de/group/intra/zertifikate stehen Ihnen weitere Informationen bereit, um ihr persönliches Zertifikat zu beantragen und dieses anschließend Ihren E-Mail-Client einzubinden. Bei weiteren Fragen dazu, wenden Sie sich bitte direkt an den Service Desk des ITMC.  

Für die Beantragung  von Gruppenzertifikaten und bei Unterstützungsbedarf wenden Sie sich bitte an die Registierungs-Agentur der TU Dortmund.​​​​​​​