Phishing-Attacken häufen sich: Wie sich UHH-Mitglieder schützen können

Phishing-Versuche finden vor allem über E-Mails statt. Der Empfänger oder die Empfängerin soll zum Beispiel durch einen vermeintlich bekannten und echt wirkenden Absender sowie realistisch formuliertes Schreiben dazu gebracht werden, einen Link anzuklicken. Dieser Link führt meist zu einer mitunter täuschend echt aussehenden Phishing-Seite und fordert zur Eingabe der Benutzerkennung und des Passwortes auf. Diese Daten werden dann abgegriffen und zur Übernahme des Accounts genutzt.

Häufig werden auch E-Mails mit einem Anhang – vornehmlich in einem Office-Format wie Word oder Excel – versendet. Wenn man diesen öffnet, wird eine Schadsoftware installiert, die ebenfalls zum Abgreifen von Zugangsdaten und zum Stehlen gespeicherter Dateien führen kann.

Betroffen sind alle Angehörigen der UHH – sowohl Studierende wie auch Lehrende und die Verwaltung. Daher müssen alle aufmerksam handeln, um die Erfolgsquote solcher Angriffe nachhaltig zu minimieren. Zudem gibt es nicht nur Phishing-Mails: Auch bei SMS, WhatsApp & Co. sowie betrügerischen Anrufen sollte man wachsam sein.

In vielen Fällen werden entsprechende Mails als Spam erkannt und entsprechend im Betreff gekennzeichnet. Doch immer öfter sind die Phishing-Mails sehr professionell gestaltet, sodass es auf den ersten Blick schwerfällt, sie zu erkennen.

Oft werden auch Mails aus kompromittierten Postfächern der UHH „wiederverwendet“, denn die betroffenen Accounts enthalten häufig UHH-weite Rundmails, zum Beispiel des Präsidiums zum aktuellen Semester, die in einer weiteren Phishing-Kampagne die Glaubwürdigkeit einer Mail erhöhen können. So können gegebenenfalls erfolgreich „höherwertige“, gegebenenfalls administrative Zugangsdaten abgegriffen werden. Wenn die Nachrichten von einem bereits kompromittierten Mailkonto versendet werden, werden sie im Betreff auch nicht als *SPAM* markiert und enthalten mitunter sogar einen Bezug auf früheren Mailverkehr.

Zurzeit sind vor allem verschiedene E-Mails im Umlauf, die scheinbar von Einzelpersonen oder Einrichtungen der Universität stammen, unter anderem vermeintlich vom „Welcome-Service“ oder aus dem Präsidialbereich. Die Mails beinhalten mehrere vorgetäuschte Links zu einem Brief des Präsidenten und zu den Corona-FAQ, die aber auf eine nachgebaute Anmeldeseite des Outlook Web Access (OWA) von Microsoft Exchange führen. Geben Sie dort auf keinen Fall Ihre Anmeldedaten ein!

Ein Klassiker ist auch die Benachrichtigung, dass das Postfach bzw. der Speicher voll sei und man zur Behebung auf einen externen Link klicken solle.

Das Wichtigste ist Aufmerksamkeit und Wachsamkeit im Umgang mit E-Mails, SMS oder Anrufen! Fast jede und jeder wird irgendwann mit dieser Art Betrugsversuch konfrontiert. Insbesondere bei dringenden Handlungsaufforderungen ist Vorsicht geboten.

Absende-Adresse prüfen

Deshalb: Lesen Sie E-Mails sorgfältig und prüfen Sie die Absende-Adresse.

Von Vorteil ist, wenn die Mail mit einer digitalen Signatur versehen ist, wie zum Beispiel seit einiger Zeit die Info-Mails aus dem Präsidialbereich und von anderen Institutionen der Universität. In Outlook erkennen Sie dies an dem roten Siegel-Symbol. Prüfen Sie die Signatur, indem sie das Symbol anklicken. So erhalten Sie nähere Informationen über die Signatur und deren Gültigkeit und können von einer vertrauenswürdigen Mail ausgehen.

Tipp: Informieren Sie sich beim Rechenzentrum über die persönlichen Zertifikate, mit denen Sie digitale Signaturen erstellen können. Mit dieser Signatur können Sie für mehr Sicherheit sorgen.

Links prüfen

Auch Links sollten stets überprüft werden. Per Mouseover – also, wenn der Mauszeiger über einen Link bewegt wird, ohne ihn anzuklicken – kann man sehen, auf welche Seite ein Link führt. Entscheidend ist dabei immer der vordere Teil der angegebenen Adresse. Selbst wenn in einem langen Link mittendrin „uni-hamburg“ steht, schauen Sie immer an den Anfang. Vor dem ersten einzelnen Schrägstrich, dem /, muss „uni-hamburg.de“ stehen.

Richtig: „https://www.kus.uni-hamburg.de/de.html“

Falsch: „hxxps://mialhamidiyyahpancur[.]sch.id/hh/hh/hh/webmail.chemie.uni-hamburg.de.html“

Also: Suchen Sie in der Adresse nach dem ersten einzelnen Schrägstrich – dann sind Sie auf der richtigen Spur!

Grundsätzlich gilt: Bevor Sie Ihre B-Kennung und das Passwort bei einer Webseite eingeben, kontrollieren Sie in der Adresszeile im Internetbrowser immer, ob es sich wirklich um eine Webseite der Uni Hamburg handelt– etwa zur Nutzung eines UHH-Dienstes oder beim Mailprogramm.

Nachfragen und keine Passwörter preisgeben

Wenn Sie Spam oder merkwürdige Mails erhalten, klicken Sie unter keinen Umständen auf Anhänge oder Links und löschen Sie die Mail. Wenn Sie unsicher sind, fragen Sie beim Absender oder der Absenderin per Telefon oder Zoom kurz nach, ob die Mail korrekt ist.

Manchmal wird auch versucht, Sie per Anruf zu täuschen. Auch hier gilt erhöhte Vorsicht – und geben Sie am Telefon niemals Ihre Nutzungsdaten oder Passwörter preis. Niemand, auch nicht das RRZ, wird Sie am Telefon zur Herausgabe Ihres Passwortes auffordern.

Es kann verschiedene Hinweise geben, zum Beispiel, wenn Sie von Kolleginnen und Kollegen auf von Ihrem Konto verschickte Spam-Mails angesprochen werden. Wenn bei einem Nutzungskonto ungewöhnliche Aktivitäten registriert werden, etwa eine sehr hohe Zahl an versendeten Mails, wird es zudem administrativ gesperrt. Sie können sich dann nicht mehr mit Ihren Zugangsdaten anmelden.

Entscheidend ist, dass Sie umgehend Ihr Passwort über die Benutzerverwaltung ändern. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Wenn personenbezogene Daten ausgespäht wurden, müssen auch die Datenschutzbeauftragten und die Stabsstelle Recht eingebunden werden. Bei Fragen können Sie sich an die RRZ-Serviceline wenden.

Ganz wichtig: Schämen Sie sich nicht. Die Attacken sind heute oft so professionell, dass ein falscher Klick schnell passiert. Sie sind das Opfer und es erfolgt keinesfalls eine Schuldzuweisung an Sie.