TH-Wildau
Wie erkenne ich Phishing Mails
  1. Sie sind hier:
  2. Hochschule
  4. Aktuelles
  6. Neuigkeiten
  8. Wie erkenne ich Phishing Mails
14. November 2017 |

Wie erkenne ich Phishing Mails

Werte Studierende,
werte Kolleginnen und Kollegen,

normalerweise reagieren wir auf Phishing Mails, also Mails die versuchen Ihren Usernamen und Ihr Passwort auszuspähen nicht, indem wir noch eine Rundmail hinterherschicken.

Allerdings liegt die letzte Rundmail dieser Art schon sehr lange zurück so dass es für all jene, die in den letzten 2 Jahren bei uns ein Studium oder zu arbeiten begonnen haben hilfreich ist, ein paar Tips zum Erkennen solcher Mails zu bekommen.

Am letzten Freitag gab es wieder eine solche Phishing Mail. Im Gegensatz zu früheren Versuchen war dieses Mal zumindest die Orthographie richtig und auch inhaltlich schlüssig formuliert. Rein formal sah da erst einmal alles gut aus, so dass automatiserte Scanner diese Mail nicht als gefährlich identifizieren konnten. An zwei Dingen war diese Mail dennoch zu identifizieren.

Zum einen enthielt die Mail einen Link, bei dem das Konto aktualisiert sollte. Wenn man die Maus darüber hält, sieht man unten in der Statuszeile, im Webmail-Client in einem Flyout die Seite, wo der Link hinführt. Spätestens bei draufklicken sieht man in der Adresszeile, dass sich diese Seite nicht an der TH Wildau befindet. Alle Seiten und Dienste, die an der TH Wildau betrieben werden enden auf th-wildau.de oder tfh-wildau.de. Davor kann noch der Name des Dienstes oder der Subdomain stehen, danach muss zumindest bei Webseiten ein / folgen. Alles andere liegt nicht in unserem Einflußbereich, da wir nur diese beiden Domains besitzen und betreiben.
Wir haben uns in unserer Abteilung auch darauf verständigt, dass wir bei Rundmails keine Links verschicken, bei denen eine Authentifizierung notwendig ist. Sollte das aus irgendwelchen Gründen einmal notwendig werden, beschreiben wir Ihnen die Webseite auf der Sie die Information finden. Sie haben die Sicherheit, dass Sie von uns keine Links per Mail geschickt bekommen, an deren Zeil Sie nach Username und Passwort gefragt werden.Spätestens dann sollten Sie die entsprechende Seite schließen.

Das zweite Indiz für die Phishing Mail war die Absenderadresse. Das Mailprotokoll lässt es zu, dass Sie als "gesenden von" irgendetwas eintragen. In diesem Fall stand TH-Wildau drin. Man kann sich aber die Mailadresse anzeigen lassen. Dazu hält man wieder die Maus über den Namen. In den meisten Browsern und im Thunderbird hilft die Tastenkombination Strg-U weiter. Daraufhin wird Ihnen der Quelltext der Mail angezeigt. Dann ist es die Zeile die mit
From:
beginnt. Die eigentliche Adresse ist von <> eigeschlossen. Davor steht nur Text. Wir verwenden ausschließlich @th-wildau.de Mailadressen.

Und jetzt wird es etwas schwierig für mich. Der letzte Teil der Phishing Mail teilte mit, dass Wartungsarbeiten am Mailsystem durchgeführt werden. Das müssen wir in der Tat ab und zu tun und ist auch jetzt wieder notwendig. Die Mitarbeiter bekommen einen neuen Server. Wenn die Mails dahin umziehen, kann es dazu führen, dass das System langsam reagiert. Außerdem ist es wichtig, den richtigen Server zu verwenden. Webmail ist unter der Adresse zu erreichen, die auf der Homepage der TH Wildau ganz oben angegeben ist.

Zum Schluß möchte ich mich bei allen bedanken, die auf die Phishingmail hingewiesen oder nachgefragt haben. Wir beantworten lieber diese Fragen, als die Folgen von erfolgreichen Angriffen zu beseitigen.

Mit freundlichen Grüßen
Dipl.-Ing. Steinert