Schädliche E-Mails erkennen

Erkennen von Pishing Mails und Mails mit Schadsoftware

Leider kann nicht verhindert werden, dass die HTW-Dresden immer wieder E-Mails mit Schadwirkung erreichen. Mailadressen müssen für die Lehre und für die Öffentlichkeitsarbeit veröffentlicht werden, und sind somit bekannt.

Bitte löschen Sie solche Mails umgehend aus Ihrem Postfach!

Zu den E-Mails mit Schadwirkung gehören:

  • Pishing-Mails: Versuche, über gefälschte Webseiten oder E-Mails an persönliche Daten des
    Benutzers zu kommen um Identitätsdiebstahl zu begehen / Passwörter zu
    verlangen
  • E-Mails mit Schadcode (Ransomware, Trojaner, Backdoors)

Wie erkennen Sie solche Mails?

Bereits ein oder zwei zutreffende Punkte können ein hinreichender Hinweis auf ein Fälschung sein:

  • Gefälschte / seltsame Absenderadresse / Empfängeradresse (z.B. ist die Absenderadresse keine HTW-E-Mail- sondern z.B. eine Gmail-Adresse, obwohl der angebliche Absender ein Mitglied der HTW ist)
    • Achtung, auch der Absender kann gefälscht sein!! Ein bekannter Absender ist keine Garantie für Echtheit!!
    • Oft werden ähnliche Adressen verwendet (z. B. amzon.com, statt amazon.com)
    • Im Outlook werden HTW-interne Absender mit Nachname, Vorname angezeigt
  • nichtssagender Betreff,
  • fehlende persönliche Anrede,
  • der Inhalt ist abwegig oder in schlechter Rechtschreibung / Grammatik, oder in Englisch
  • es wird mit Konsequenzen gedroht; z.B. eine Mailkontolöschung wegen Nichtreagierens in 48 Stunden
  • ein Copyright-Symbol im Text,
  • ominöser externer Link,
  • fehlende abschließende Grußformel,
  • fehlende Text-Signatur,
  • die Mail wurde in der Nacht versandt
  • Fehler in der offiziellen Bezeichnung.
  • Fehlende PKI-Signatur

Weitere Beispiele zur Verbreitung von Mails mit schadhaften Inhalten

  • Antwort mit gefälschtem Absender auf einen wirklich stattgefundenen Mailverkehr:
    • E-Mail -Verkehr ist, wenn er nicht verschlüsselt wird, leicht abzugreifen. Fragen Sie im Zweifel über ein anderes Medium (z.B. über einen Anruf) nach, ob der Inhalt oder der Anhang wirklich relevant ist.
  • Mailverkehr von einem in der HTW-Dresden gekaperten Konto mit echter HTW-Absenderadresse
    • Schreiben Sie in diesem Fall eine Mail an service.rz@htw-dresden.de, damit wir das gekaperte Konto sperren.

Überprüfung des Mail-Headers

Überprüfung im Outlook

So überprüfen Sie den Header einer Nachricht im Outlook:

  • Öffnen Sie die Nachricht mit Doppelklick
  • Klicken Sie beim Punkt Markierungen auf das Kästchen für Nachrichtenoptionen.
  • Unter Internetkopfzeilen finden Sie nun den Absender der mail unter FROM und den Verlauf des E-Mail-Verkehrs

Überprüfung im Thunderbird

So überprüfen Sie den Nachrichtenheader im Thunderbird:

Wählen Sie im Menü Ansicht --> Kopfzeilen und wählen Sie dort Alle

Aufbau einer Webadresse

Wie erkennen Sie eine Webadresse und deren Herkunft?

Eine Webadresse hat mindestens folgende Bestandteile (erläutert an 2 Beispielen):

https://(1)www(2).htw-dresden(3).de(4)/(5)hochschule/organisation/rechenzentrum/arbeitsplatz-und-kommunikation/e-mail/signieren-und-verschluesseln(6)

https://(1)jobboerse(2).htw-dresden(3).de(4)/(5)jobsuche/(6)

1 http:// oder https:// Bezeichnet das Protokoll
http ist unverschlüsselt, hier bitte keine vertraulichen Daten an die Webseite übermitteln
https bedeutet verschlüsselt
2 www
jobboerse
Name des Servers,
kann auch aus mehreren Teilen, mit .getrennt zusammengesetzt sein
3 htw-dresden Domäne, bei Seiten der HTW Dresden immer htw-dresden
4 Land de=Deutschland com=komerziell*
org=organisation*
net=Netzverwaltung*
5 / nach diesem / können beliebige Angaben stehen
6 Verzeichnis das Verzeichnis kann eine beliebige Tiefe und beliebige Namen haben

*Kann inzwischen an jeden Betreiber vergeben werden

Durch überfahren der Maus auf einen Link (kein Klick!) wird die wirkliche Verlinkung angezeigt.

Hier drei Beispiele für eine versteckte Verlinkung ins Ausland:

Beispiele für gefälschte Links

Dieser Link suggeriert, dass er in die HTW-Dresden führt.

Beim Überfahren mit der Maustaste wird jedoch eine Adresse in der Türkei angezeigt (erkennbar an dem .tr).

Diese Mail weist gleich mehrere Spam-Merkmale aus:

  • Sie wurde mitten in der Nacht gesendet
  • Sie ist auf Englisch
  • Sie enthält die Drohung, dass der Account in 24-Stunden gesperrt werden soll und 7 Mails auf das Lesen warten
  • der Absender kommt nicht aus der HTW
  • Der Link führt nach Montenegro (.me)

Auch wenn in diesem Fall htw-dresden.de in der Mailadresse enthalten ist, ist dies ein Link, der auf eine Webadresse in Griechenland verweist.

Alle Angaben nach dem ersten einfachen / bezeichnen nur die Verzeichnisstruktur und beinhalten keine Angaben zum Server!

Die HTW-Dresden wird Sie nicht auffordern, über einen Link Ihre Logindaten zu ändern.

Dieser Link führt auf eine völlig andere Adresse.

Ändern Sie Ihr Passwort immer durch direkten Aufrufens der Seite www.htw-dresden.de --> Hochschule --> Rechenzentrum --> Nutzerverwaltung und Laufwerke --> HTW-Login-Passwort ändern oder über einen auf der Seite "Hinweis zum Ändern des Passwortes" beschriebenen Weg.