Woran erkenne ich eine Phishing-Mail?

Anhand eines aktuellen Beispiels möchten wir Ihnen zeigen, woran Sie Phishing-Mails erkennen können.

Vorweg möchten wir darauf hinweisen, dass bei dieser Mail der Absender willkürlich vom Angreifer gewählt wurde. Dort hätte auch jede/r andere Nutzer*in stehen können.

Denn wie Sie wissen, stehen dem Angreifer die gleichen öffentlichen Informationen zur Verfügung wie uns.



1 = Absender [1] und Signatur [7] stimmen nicht überein (Weingarten vs. Weinert). Außerdem gibt es diese E-Mail-Adresse überhaupt nicht an der Hochschule „montessori@ph-weingarten.de“.

[2] + [3] = Es wird Druck aufgebaut bzw. soll eine Handlung erzwungen werden (Betreff: „Warnung“ und im Text der Satz: Sie können sonst keine Mails mehr empfangen oder senden.).

4 = Der Angreifer verwendet eine schlechte deutsche Grammatik.

5 = Die E-Mail ist nicht signiert. Es fehlt ein vom DFN hinterlegtes Nutzerzertifikat, das die Identität des Schreibers bestätigt. Eine signierte Mail erkennt man am roten Siegel und dem Text „Signiert von…“.

6 = Wenn Sie mit der Maus über den Link gehen, ohne zu klicken, steht als Webseite (//rodeli.com.mx) Das ist keine Webseite der Hochschule Anhalt. Außerdem steht dort „Klick hier“ und nicht „Klicken Sie hier“. Das ist sehr inkonsequent, weil die ganze Zeit das „Sie“ verwendet wird.

7 = Die genannte Person hat nichts mit dem IT-HelpDesk oder mit der IT der Hochschule zu tun. Die Adresse vom Helpdesk ist auch nicht Köthen.

8 = Die Telefonnummer ist falsch. Wir haben hier in Köthen 03496 67… und nicht 03496 69. Außerdem gibt es auch nicht die Mailadresse „admin@hs-anhalt.de“. Das sind allerdings zwei Punkte, die nicht wirklich sofort offensichtlich sind.

9 = Das Verwenden des Hochschullogos ist kein Vertrauensbeweis. Das kann jeder kopieren und in eine Mail einbinden.


Und selbst wenn Sie dem Phishing-Link gefolgt sind, ist es noch nicht dramatisch.

Es wird erst dramatisch, wenn Sie auf der nachfolgenden Webseite „rodeli.com.mx“ ihre echten Daten eingeben. Aber auch dort gibt es einige Hinweise, dass Sie sich nicht auf einer Webseite der Hochschule Anhalt befinden.


Folgende Merkmale zeigen Ihnen, dass es sich nicht um eine Webseite der Hochschule Anhalt handelt:

10 = Die Adresse der Webseite ist „rodeli.com.mx“. Alles, was danach folgt, spielt überhaupt keine Rolle zur Herstellung einer Verbindung zu einem Computer. Sie befinden sich auf der Webseite „rodeli.com.mx“ und nicht beim IT-Support der Hochschule Anhalt.

11 = Auch das Copyright ist kein Vertrauensbeweis.

12 = Das Aussehen der Passwortabfrage hat weder etwas mit unserem Passwortportal, noch mit unserem OWA-Portal zu tun. 

Diese sehen so aus:


Und sind unter folgenden Adressen zu finden:

https://selfservice.hs-anhalt.de/ 

https://mail.hs-anhalt.de/

Wenn Sie jetzt in die Fake-Webseite Ihre Daten eingegeben haben, meldet sich im Hintergrund der Angreifer über Ihren OWA-Account (rechts) an und erstellt sofort eine Regel, die z. B. alle Posteingänge erst einmal in den Papierkorb schiebt. Jetzt hat der Angreifer Zugriff auf Ihr Email-Postfach und kann von dort aus, Massenmails versenden, Ihre Daten im Ihrem Postfach löschen, verändern oder einfach nur lesen. Vielleicht befindet sich die ein oder andere interessante Information dort, deren Verbreitung nicht erwünscht ist etc.


****************************************************

BITTE ÜBERLEGEN SIE ERST BEVOR SIE KLICKEN,

ob eine E-Mail auch wirklich plausibel ist.

HSA … Hochschule Sei Aufmerksam!

****************************************************
anhängende Datei(en)
20211117_SoSafe_PhishingMail.pdf
404kb