Zur Prüfung, wie häufig auf Phishing-Mails geklickt wird, führen wir ab und zu kurze Phishing-Simulation durch, so auch im Juli. Hierbei wurden harmlose Test-Mails versendet und es wurde gezählt, wie oft auf diese geklickt wird bzw. Daten eingegeben wurden.

Bei diesem Test haben einige von Ihnen folgende  E-Mail "Neue Dokumente im Digitalen Ordner des Mitarbeiterservice Bayern" oder auch "Newsletter ..." erhalten. Anhand dieser Beispiele wollen wir Ihnen zeigen, wie Sie diese als Phishing-Mail erkennen können. Zunächst starten wir mit sieben Punkten, die Ihnen Hinweise auf Phishing geben können. Umfassendere Information zu Phishing finden sie hier.


Sieben allgemeine Verdachtshinweise von Phishing Mails (mehr dazu)

  • Absender der E-Mail-Adresse passt nicht zum Unternehmen oder zur Organisation.
    Anmerkung: E-Mail-Adressen können aber leicht gefälscht werden.
  • Es wird keine persönliche Anrede verwendet, sondern es werden allgemeine Anreden wie „Hallo“, „Sehr geehrter Kunde“, etc. benutzt.
  • Viele Phishing-Mails enthalten Rechtschreib-, Grammatik- oder Satzzeichen-Fehler, speziell Umlaute werden falsch geschrieben.
  • Das Mail liest sich "komisch" oder ist unüblich für den Sender (z.B. sehr lockerer Stil bei einem Amt).
  • Meist wird Zeitdruck aufgebaut, so dass Sie schnell reagieren. Oft wird das mit anderen Methoden der sozialen Manipulation, wie z.B. Angst, Lob, Hilfsbereitschaft, Neugier, großen Versprechen, Autorität oder Vertrauen verknüpft.
  • Der Link in dem E-Mail verweist nicht auf die Original-Seite des Unternehmens/Organisation, sondern auf eine nachgemachte gefälschte Seite. Schauen Sie sich den Link immer genau an, denn dieser unterscheidet sich manchmal kaum vom Original. Weiter unten finden Sie Tipps, wie Sie Links anzeigen können.
  • Das E-Mail enthält Dateianhänge (z.B. Rechnungen), die Sie öffnen sollen.

Phishing-Mail "Neue Dokumente ...." und Vergleich mit einer Original-Mail des Mitarbeiterservices

Beispielhafte Phishing-Mail


Beispielhafte Original-Mail


Phishing-Hinweise im Mail

Das hätte Ihren Verdacht erregen sollen:

  1. Die Absenderadresse ist der beste Indikator. Über 90% aller Phising-Mails können hier erkannt werden. In unserem Beispiel scheint der Absender von der Uni Augsburg (...@uni-a.de) zu stammen. Eigentlich sollte dies aber eine Adresse des Landesamtes für Finanzen sein.
    Aber Achtung: Die Absenderadresse kann gefälscht werden. Der Fälscher hat in diesem Fall  ...@uni-a.de gewählt
    Wenn Sie sich in diesem Beispiel allerdings die "Antwort an"-Adresse "DigitalerOrdner.No-Reply@uni-a.de-secure.online" ansehen, erkennen Sie, dass diese Adresse keine Uni Augsburg Adresse ist.
    Diese Adresse gehört zu der Domäne de-secure.online und sollte Ihren Verdacht erregen. Im E-Mail-Client Thunderbird wird die "Antwort an"-Adresse immer dann eingeblendet, wenn die Absender-Adresse von der "Antwort an"-Adresse abweicht.

  2. Die Anrede "Hallo Vorname Nachname" ist in diesem Zusammenhang sehr ungewöhnlich. Das Landesamt verwendet normalerweise "Sehr geehrter Herr Vorname Nachname" bzw. "Sehr geehrte Frau Vorname Nachname".

  3. Mit "Bitte überprüfen Sie so schnell wie möglich" sollen Sie dazu gedrängt werden, sofort auf den Link zu klicken. In einer seriösen Mail erwartet man hier ein Datum, z.B. " ... bis zum 18.08.23"

  4. Wenn Sie den Mauszeiger auf den Link bewegen, wird Ihnen der tatsächliche Link angezeigt, direkt an der Maus oder bei Thunderbird zum Beispiel unten links . Hier verweist der Link auf die Domäne de-secure.online. Diese Adresse hat nichts mit der Uni Augsburg oder mit dem Mitarbeiterservice zu tun. Klicken Sie nie auf Internet-Links, die Sie nicht zuordnen können.

  5. Die gekürzte E-Mail-Signatur ist vom Mitarbeiterservice Bayern. Dies passt aber nicht zum Absender DigitalerOrdner.No-Reply@uni-a.de


Bei dieser Mail hätten wir Ihnen empfohlen: Melden Sie sich auf "normalem Weg" beim Mitarbeiterservice an und prüfen Sie die Dokumente. In diesem Fall hätten Sie keines gefunden.

Generell gilt: Bei wichtigen Vorgängen besser nicht den Link nutzen, wenn es einen Weg gibt, den Sie besser kontrollieren können. Falls Sie unsicher sind: NICHT klicken und Ihren IT-Support verständigen.


Beispiel "Newsletter für ..."

Während der Phishing-Simulation wurde auch noch ein gefälschter Newsletter versendet. Auch hier wollen wir Ihnen die Hinweise erklären, mit deren Hilfe Sie das Phishing-Mail erkennen können.

Das hätte Ihren Verdacht erregen sollen:


Augenfälliger Hinweis: Der Newsletter unsrer Universität sieht ganz anders aus. Hätte sich das Layout geändert, wären wir bestimmt informiert worden.

  1. Die Absenderadresse scheint von der Uni Augsburg zu stammen. Die Absenderadresse wurde gefälscht. Der Fälscher hat in diesem Fall  ...@uni-a.de gewählt.
    Wenn Sie sich in diesem Beispiel allerdings die "Antwort an"-Adresse "redaktion@uni-a.de-secure.online" ansehen, erkennen Sie, dass diese Adresse keine Uni Augsburg Adresse ist.
    Diese Adresse gehört zu der Domäne de-secure.online und sollte Ihren Verdacht erregen. Im E-Mail-Client Thunderbird wird die "Antwort an"-Adresse immer dann eingeblendet, wenn die Absender-Adresse von der "Antwort an"-Adresse abweicht.

  2. Wenn Sie den Mauszeiger auf den Link bewegen, wird Ihnen der tatsächliche Link angezeigt, direkt an der Maus oder bei Thunderbird zum Beispiel unten links . Hier verweist der Link auf die Domäne de-secure.online. Diese Adresse hat nichts mit der Uni Augsburg o zu tun. Klicken Sie nie auf Internet-Links, die Sie nicht zuordnen können.


Wenn Sie sich bei einem Link nicht absolut sicher sind, gilt generell: Bei wichtigen Vorgängen besser nicht den Link nutzen, wenn es einen Weg gibt, den Sie besser kontrollieren können.


Fünf Maßnahmen um nicht auf Phishing-Mails hereinzufallen

  • Entscheiden Sie mit Hilfe des Absenders und Betreffs vor dem Öffnen, ob das E-Mail für Sie von Bedeutung ist. Falls nicht, löschen Sie dies.
  • Überprüfen Sie das E-Mail auf die oben genannten Hinweise
  • Nehmen Sie sich 2 Sekunden Zeit und analysieren Sie einen Link bevor Sie auf diesen klicken. Im Zweifelsfall nicht den Link klicken.
  • Öffnen Sie nie Anhänge unklarer Quellen.
  • Seien Sie mit Anmeldungen von einer Mail besonders vorsichtig. Besser ist immer eine direkte Anmeldung am Verfahren.


Wie zeigen verschiedene Mail-Programme Internet-Links an?


Tatsächlichen Link anzeigen

Um zu erkennen, auf welche Seite der Link verweist, bewegen Sie den Mauszeiger auf den Link. In Thunderbird wird dann unten links der tatsächliche Link angezeigt. 

Hier verweist der Link auf die Domäne de-secure.online. Diese Adresse hat nichts mit der Uni Augsburg oder mit dem Mitarbeiterservice zu tun.
 


Falls Ihnen der Link nicht angezeigt wird, müssen Sie über den Menüpunkt Ansicht - Symbolleiten - Statusleiste die Statuszeile einschalten.


Tatsächlichen Link anzeigen

Um zu erkennen, auf welche Seite der Link verweist, bewegen Sie den Mauszeiger auf den Link. In Outlook wird dann neben der Maus der tatsächliche Link angezeigt. 

Hier verweist der Link auf die Domäne de-secure.online. Diese Adresse hat nichts mit der Uni Augsburg oder mit dem Mitarbeiterservice zu tun.


Tatsächlichen Link anzeigen

Um zu erkennen, auf welche Seite der Link verweist, bewegen Sie den Mauszeiger auf den Link. Im Web-Mail wird dann unten links der tatsächliche Link angezeigt.



Hier verweist der Link auf die Domäne de-secure.online. Diese Adresse hat nichts mit der Uni Augsburg oder mit dem Mitarbeiterservice zu tun.


 

Falls Sie weitere Informationen zu Phishing benötigen, könnten folgende Seiten hilfreich sein:


© Universität Augsburg

Icons provided by:
https://iconmonstr.com/license/
https://fontawesome.com/license/free