Gefangen im Phishing-Netz?

Frank Richter

Ein reales Szenario und unangenehme Folgen

Kurz vorm Wochenende oder vor Abgabe der Hausarbeit und dann so eine E-Mail:

Text einer gefälschten E-Mail

Hilfe, bloß nicht mein Konto verlieren! Also klicken:

Webseite mit TU-Logo

Okay, Nutzername und Passwort sind schnell eingegeben, danach habe ich hoffentlich ausgesorgt – ich brauche doch schließlich mein Uni-Login.

So weit, so gut? Nichts ist gut – soeben wurden meine Login-Daten an Betrüger übermittelt! Damit nimmt das Unheil seinen Lauf … Denn sind Nutzername und Passwort in fremden Händen, gebe ich meine digitale Identität an der Uni preis: Fremde können E-Mails lesen, löschen und senden, meine Daten herunterladen, manipulieren und löschen, evtl. kostenpflichtige Dienste in Anspruch nehmen usw.

Beobachten können wir im URZ, dass der Account sehr schnell zum Senden von Spam-Mails verwendet wird. Dabei gehen die Betrüger sehr geschickt vor: Es wird sowohl über Webmail als auch über SMTP versucht, in kurzer Zeit tausende dubiose E-Mails zu versenden – im Namen der kompromittierten Nutzer-Accounts. Durch unsere Schutzmaßnahmen dürfen zwar pro Stunde nur maximal 150 Empfänger/innen adressiert werden – über ein Wochenende können auch da allerhand Spam-Mails über die Mail-Server der TU Chemnitz versendet werden. Die Folgen: Empfänger/innen beschweren sich über diese E-Mails, die TU-Mailserver kommen auf Sperrlisten, woraufhin viele andere TU-Benutzer ihre normalen E-Mails nicht mehr senden können. Es ist dann ein mühsamer Weg, den E-Mail-Betrieb wieder zu normalisieren …

Natürlich testen wir auch aus der TU ausgehende E-Mails auf Spam-Inhalt. Aber die Angreifer sind ideenreich und probieren so lange, bis E-Mails durchkommen. In den aktuellen Fällen waren es sehr kurze Texte, die schwer von legitimen E-Mails zu unterscheiden sind. Aktuell beobachten wir auch, dass die Betrüger E-Mails aus den Postfächern löschen. Andere Manipulationen können wir nicht ausschließen.

Unangenehme Folge für die betroffene Nutzerin oder den betroffenen Nutzer: Wenn wir im URZ solche Unregelmäßigkeiten erkennen, müssen wir den betroffenen Nutzer-Account sperren, um weiteren Schaden abzuwehren. Vor einer Freischaltung werden wir versuchen, die Ursachen zu ergründen, um Wiederholung zu vermeiden. Danach muss ein neues Passwort ausgestellt werden, das Betroffenen persönlich im Nutzerservice übergeben wird.

Das habe ich nicht gewollt …

Wenn Sie sich obige E-Mail und die Webseite in Ruhe ansehen, werden Sie sicher Auffälligkeiten bemerken:

  • Keine Anrede in der E-Mail
  • Aufforderung zu schnellem Handeln („24 Stunden“), sonst Drohung („Löschung“, „kündigen“).
  • keine Grußformel, kein Bezug zur TU Chemnitz oder zum URZ
  • Die Webseite ist auf tu-chemnitz.weebly.com (Nie gehört? Wir auch nicht!), kein Impressum, keine Datenschutzerklärung …

Mit Abstand betrachtet, werden Sie hoffentlich zur Einschätzung kommen, dass die Echtheit von E-Mail und Webseite zumindest zu bezweifeln ist. Warum passiert es dennoch, dass man im Arbeitsalltag auf so eine Fälschung reinfällt? Diese Betrüger erwischen uns in Routine- oder Stress-Situationen oder versetzen uns in Angst. In solchen Situationen arbeitet unser Gehirn schnell, intuitiv und automatisiert: Unter Stress klickt man daher quasi automatisch auf Links oder füllt Daten aus, was man im vernunftgesteuerten „Gehirnmodus“ (analytisch, überlegt) bei einer solchen E-Mail nie tun würde. Näher beschrieben haben wir das im Artikel: Neues Jahr, neue Tricks – Vorsicht vor E-Mail-Betrügern

Daher als allgemeiner Tipp: Lassen Sie sich durch (vermeintliche) E-Mails, die Sie schnell zum Handeln auffordern, da Sie ansonsten etwas verlieren (Account, Postfach), nicht in einen Angstmodus versetzen! Das URZ warnt üblicherweise mehrere Wochen vorher, wenn Ihr Account oder bestimmte Dienste auslaufen. Fragen Sie bei geringstem Zweifel im URZ nach.

Und eine dringende Bitte: Informieren Sie sich auf unserer Webseite „Phishing: Versuchter Datenklau per E-Mail“ darüber, was Phishing ist, woran Sie erkennen, ob eine E-Mail tatsächlich vom URZ stammt, und was Sie tun müssen, wenn Sie im Zweifel sind oder auf einen Betrug hereingefallen sind. Und den dort verlinkten Test dürfen Sie gerne absolvieren.

Nachtrag: Längerfristige Folgen

Auch Mitte Oktober kämpfen wir im URZ noch mit den Folgen: E-Mails an Benutzer bei Microsoft-Diensten (Outlook/Live/Hotmail) werden von deren Servern entgegengenommen, aber den Benutzern nicht zugestellt (ohne den Absender zu informieren). Die Bearbeitung unserer Supportanfrage dauert leider schon etliche Tage. Bei Google (gmail) können wir die seit dem Missbrauch schlechte Reputation unserer Mail-Server sehen:

IP-Reputation bei Google ist seit dem 18.9.2021 schlecht

Schreibe einen Kommentar

Internes

Impressum

Datenschutzerklärung

Barrierfreiheitserklärung

Feed der Einträge

Anmelden

Schlagworte

Accessibility Android App Ausbildungspool Barrierefreiheit Campusnetz Cisco Datenschutz Drucken E-Learning E-Mail eduroam Exchange gitlab Groupware IdM Kalender Kollaboration Konferenz Kurse LaTeX Linux MFG Microsoft Mitarbeiter Mobil Monitor ONYX OPAL Postfach Security Sicherheit Software Telefon TUCAL TUCApp TUCcloud Umfrage Update Videokonferenz Voice over IP Webdienst Weiterbildung Windows wlan