Erkennen von Phishing Mails und Mails mit Schadsoftware

Leider kann nicht verhindert werden, dass die HTW-Dresden immer wieder E-Mails mit Schadwirkung erreichen. Mailadressen müssen für die Lehre und die externe Erreichbarkeit veröffentlicht werden und sind somit bekannt.

Bitte löschen Sie solche Mails umgehend aus Ihrem Postfach!

Zu den E-Mails mit Schadwirkung gehören:

  • Phishing-Mails (Identitätsdiebstahl): Versuche, über gefälschte Webseiten oder E-Mails an persönliche Daten des
    Benutzers zu kommen um Identitätsdiebstahl zu begehen / Passwörter zu erlangen
  • Phishing-Mails (social engineering): Versuche, dienstliche Internas aus der Einrichtung zu ermitteln, um Schwachstellen zu finden oder treffsicherere Angriffe vorzunehmen
  • Phishing-Mails (Betrug): Versuche, über Autorität oder Zeitdruck unüberlegte Handlungen vorzunehmen (Herausgabe von Passwörtern, Einkauf und Weitergabe von Geschenkgutscheinen)
  • E-Mails mit Schadcode (Ransomware, Trojaner, Backdoors)

Was tun wenn schon passiert?

Sollten Sie versehentlich auf der verlinkten Adresse einer schadhaften Mail Ihr Passwort eingetragen haben, ändern Sie es sofort über die Webseiten der HTW bzw. an Ihrem Domänen-PC. Hinweise zum Ändern des Passwortes finden Sie auf den Webseiten des ZID.

Wie erkennen Sie solche Mails?

Bereits ein oder zwei zutreffende Punkte können ein hinreichender Hinweis auf eine Fälschung sein:

  • falsche / seltsame Absenderadresse / Empfängeradresse (z.B. ist die Absenderadresse keine HTW-E-Mail- sondern z.B. eine Gmail-Adresse, obwohl der angebliche Absender ein Mitglied der HTW ist oder im Absender steht Ihr Name)
    • Achtung, auch der Absender kann gefälscht sein!! Ein bekannter Absender ist keine Garantie für Echtheit (Ausnahme: Mail beinhaltet eine PKI-Signatur: S/MIME-Zertifikat)!
    • Oft werden ähnliche Adressen verwendet (z. B. amzon.com, statt amazon.com)
    • Im Outlook werden HTW-interne Absender mit Nachname, Vorname angezeigt
    • Achten Sie darauf, dass der Tonfall zum angeblichen Absender passt
  • es wird mit Konsequenzen gedroht; z.B. eine Mailkontolöschung wegen Nichtreagierens in 48 Stunden bwz. Druck aufgebaut von einem angeblichen Vorgesetzten
  • Es wird ein starkes Gefühl der Dringlichkeit vermittelt
  • Neugierde wird geweckt (die Nachricht ist zu schön, um wahr zu sein)
  • nichtssagender oder fehlender Betreff,
  • der Kontext passt nicht zur vorhergehenden Kommunikation (...wie abgesprochen sende ich... obwohl es keine Absprache gab),
  • fehlende persönliche Anrede,
  • der Inhalt ist abwegig, in schlechter Rechtschreibung / Grammatik oder in Englisch
    • Achtung! Durch die Möglichkeit, den Text mit KI gestützten Tools zu generieren oder zu übersetzen, muss dies nicht mehr zutreffen
  • ominöser externer Link (die verbundene Linkadresse wird bei Bewegung der Maus über den Link ohne Klick sichtbar),
  • fehlende abschließende Grußformel,
  • fehlende Text-Signatur (im professionellen Bereich werden die Funktion und Kontaktdaten unter die Mail geschrieben),
  • die Mail wurde in der Nacht versandt,
  • Fehler in der offiziellen Bezeichnung des Empfängers oder angeblichen Absenders
  • Anhang im .zip, Word-, Excel-Format oder als ausführbare Datei
  • fehlende PKI-Signatur (in MS-Outlook ist eine vorhandene PKI-Signatur als rotes Siegel erkennbar)

Weitere Beispiele zur Verbreitung von Mails mit schadhaften Inhalten

  • Antwort mit gefälschtem Absender auf einen wirklich stattgefundenen Mailverkehr:
    • E-Mail -Verkehr ist, wenn er nicht verschlüsselt wird, leicht abzugreifen. Fragen Sie im Zweifel über ein anderes Medium (z.B. über einen Anruf) nach, ob der Inhalt oder der Anhang wirklich relevant ist.
  • Mailverkehr von einem in der HTW-Dresden gekaperten Konto mit echter HTW-Absenderadresse
    • Schreiben Sie in diesem Fall eine Mail an service.rz@htw-dresden.de, damit wir das gekaperte Konto sperren.

Siehe auch (interner Bereich)

Härten von Outlook

Überprüfung des Mail-Headers

Überprüfung im Outlook

So überprüfen Sie den Header einer Nachricht im Outlook:

  • Öffnen Sie die Nachricht mit Doppelklick
  • Klicken Sie beim Punkt Markierungen auf das Kästchen für Nachrichtenoptionen.
  • Unter Internetkopfzeilen finden Sie nun den Verlauf des E-Mail-Verkehrs.
  • Achten Sie insbesondere auf die Felder Received: from und MessageID
  • Beispiele für gefälschte Absenderadressen finden Sie am Ende dieser Seite

Überprüfung im Thunderbird

So überprüfen Sie den Nachrichtenheader im Thunderbird:

Wählen Sie im Menü Ansicht --> Kopfzeilen und wählen Sie dort Alle

Aufbau einer Webadresse

Wie erkennen Sie eine Webadresse und deren Herkunft?

Eine Webadresse hat mindestens folgende Bestandteile (erläutert an 2 Beispielen):

https://(1)www(2).htw-dresden(3).de(4)/(5)hochschule/organisation/rechenzentrum/arbeitsplatz-und-kommunikation/e-mail/signieren-und-verschluesseln(6)

https://(1)jobboerse(2).htw-dresden(3).de(4)/(5)jobsuche/(6)

1 http:// oder https:// Bezeichnet das Protokoll
http ist unverschlüsselt, hier bitte keine vertraulichen Daten an die Webseite übermitteln
https bedeutet verschlüsselt
2 www
jobboerse
Name des Servers,
kann auch aus mehreren Teilen, mit .getrennt zusammengesetzt sein
3 htw-dresden Domäne, bei Seiten der HTW Dresden immer htw-dresden
4 Land de=Deutschland com=komerziell*
org=organisation*
net=Netzverwaltung*
5 / nach diesem / können beliebige Angaben stehen
6 Verzeichnis das Verzeichnis kann eine beliebige Tiefe und beliebige Namen haben

*Kann inzwischen an jeden Betreiber vergeben werden

Durch überfahren der Maus auf einen Link (kein Klick!) wird die wirkliche Verlinkung angezeigt.

Hier drei Beispiele für eine versteckte Verlinkung ins Ausland:

Beispiele für gefälschte Links

Dieser Link suggeriert, dass er in die HTW-Dresden führt.

Beim Überfahren mit der Maustaste wird jedoch eine Adresse in der Türkei angezeigt (erkennbar an dem .tr).

Diese Mail weist gleich mehrere Spam-Merkmale aus:

  • Sie wurde mitten in der Nacht gesendet
  • Sie ist auf Englisch
  • Sie enthält die Drohung, dass der Account in 24-Stunden gesperrt werden soll und 7 Mails auf das Lesen warten
  • der Absender kommt nicht aus der HTW
  • Der Link führt nach Montenegro (.me)

Auch wenn in diesem Fall htw-dresden.de in der Mailadresse enthalten ist, ist dies ein Link, der auf eine Webadresse in Griechenland verweist.

Alle Angaben nach dem ersten einfachen / bezeichnen nur die Verzeichnisstruktur und beinhalten keine Angaben zum Server!

Die HTW-Dresden wird Sie nicht auffordern, über einen Link Ihre Logindaten zu ändern.

Dieser Link führt auf eine völlig andere Adresse.

Ändern Sie Ihr Passwort immer durch direkten Aufrufens der Seite www.htw-dresden.de --> Hochschule --> Rechenzentrum --> Nutzerverwaltung und Laufwerke --> HTW-Login-Passwort ändern oder über einen auf der Seite "Hinweis zum Ändern des Passwortes" beschriebenen Weg.

Mailheader einer gefälschte Absenderadresse

Hinweise zum Aufrufen des Mailheaders finden Sie im oberen Teil dieser Seite

Hier kommt die Mail angeblich von einer HTW-Mailadresse.

An den markierten Einträgen sieht man, dass diese Mail tatsächlich von einem Server mit fremder IP und fremden Servernamen stammt.

Achten Sie auch auf den Eintrag MessageID. Auch hier ist ersichtlich, dass diese Mail von einem fremden Server stammt.

Auch hier sieht man am ersten Eintrag, dass die Mail nicht aus der HTW, sondern aus Japan stammt.

Auch hier ist die Messages ID die ID eines fremden Servers