Phishing-Attacken: Wie sich UHH-Mitglieder schützen können

Phishing-Versuche finden vor allem über E-Mails statt. Der Empfänger oder die Empfängerin soll dazu gebracht werden, einen Link anzuklicken oder einen Mail-Anhang zu öffnen. Mails dieser Art wirken sehr echt, zum Beispiel durch einen vermeintlich bekannten und echt wirkenden Absender und/oder durch ein realistisch formuliertes Schreiben. Oft werden auch Mails aus bereits gehackten Mailpostfächern verwendet, um Authentizität vorzugaukeln.

Der in der Phishing-Mail angegebene Link führt meist zu einer mitunter täuschend echt aussehenden Phishing-Seite und fordert zur Eingabe der Benutzerkennung und des Passwortes auf. Diese Daten werden dann abgegriffen und zur „Übernahme“ des Mail-Postfachs bzw. der Daten genutzt.

Häufig werden auch E-Mails mit einem Anhang – vornehmlich in einem Office-Format wie Word oder Excel – versendet. Wenn man diesen öffnet, wird eine Schadsoftware installiert, die ebenfalls zum Abgreifen von Zugangsdaten und zum Stehlen gespeicherter Dateien führen kann.

Betroffen sind alle Angehörigen der UHH – sowohl Studierende wie auch Lehrende und die Verwaltung. Daher müssen alle aufmerksam handeln, um die Erfolgsquote solcher Angriffe nachhaltig zu minimieren. Zudem gibt es nicht nur Phishing-Mails: Auch bei SMS, WhatsApp & Co. sowie betrügerischen Anrufen sollte man wachsam sein.

In vielen Fällen werden entsprechende Mails als Spam erkannt und entsprechend im Betreff gekennzeichnet. Doch immer öfter sind die Phishing-Mails sehr professionell gestaltet, sodass es auf den ersten Blick schwerfällt, sie zu erkennen.

Oft gibt der Absende-Name eine Universitätszugehörigkeit vor, aber die Absende-Mailadresse stimmt nicht überein. Wer nicht genau aufpasst, kann das übersehen.

Eine weitere Masche: Es werden Mails aus kompromittierten Postfächern der UHH „wiederverwendet“, denn die betroffenen Accounts enthalten häufig UHH-weite Rundmails, zum Beispiel des Präsidiums zum aktuellen Semester, die in einer weiteren Phishing-Kampagne die Glaubwürdigkeit einer Mail erhöhen können. So können gegebenenfalls erfolgreich „höherwertige“, gegebenenfalls administrative Zugangsdaten abgegriffen werden. Wenn die Nachrichten von einem bereits kompromittierten Mailkonto versendet werden, werden sie im Betreff auch nicht als *SPAM* markiert und enthalten mitunter sogar einen Bezug auf früheren Mailverkehr.

Immer wieder sind verschiedene E-Mails im Umlauf. Unter anderem werden bereits versendete Newsletter aus der Zentrale oder aus den Fakultäten mit gefälschtem Absende-Namen noch einmal verschickt. Sie erwecken den Eindruck, als seien es neue Newsletter-Ausgaben, sie enthalten aber gefährliche PDF-Anhänge und sind erst durch die falsche Absende-Adresse erkennbar.

Zudem gibt es weiter vermeintliche Nachrichten, die scheinbar von Einzelpersonen oder Einrichtungen der Universität stammen. Die Mails beinhalten vorgetäuschte Links, die auf eine nachgebaute Anmeldeseite des Outlook Web Access (OWA) von Microsoft Exchange führen. Geben Sie dort auf keinen Fall Ihre Anmeldedaten ein!

Häufig ist auch die (falsche) Benachrichtigung, dass das Postfach bzw. der Speicher voll sei und man zur Behebung auf einen externen Link klicken solle.

Das Wichtigste ist Aufmerksamkeit und Wachsamkeit im Umgang mit E-Mails, SMS oder Anrufen! Fast jede und jeder wird irgendwann mit dieser Art Betrugsversuch konfrontiert. Insbesondere bei dringenden Handlungsaufforderungen ist Vorsicht geboten.

Und ein wichtiger Tipp für den Fall, dass Ihr Passwort doch in falsche Hände gerät: Hinterlegen Sie in der Benutzerverwaltung Ihre Mobilnummer. So kann Ihnen bei einer Sperrung Ihres Benutzerkontos schneller geholfen und ein neues Einmal-Passwort zur Verfügung gestellt werden.

• Absende-Adresse prüfen

Lesen Sie E-Mails sorgfältig und prüfen Sie die Absende-Adresse.

• Richten Sie die digitale Signatur ein

An dieser Signatur erkennen Sie, ob es sich um einen „echten“ internen Absender handelt – und zwar an dem roten Siegel-Symbol. Wenn Sie dieses anklicken, erhalten Sie nähere Informationen über die Signatur und deren Gültigkeit – so können Sie von einer vertrauenswürdigen Mail ausgehen. Je mehr Mitglieder der UHH die digitale Signatur einrichten, desto sicherer wird der Mailverkehr!

Tipp: Informieren Sie sich beim Rechenzentrum über die persönlichen Zertifikate, mit denen Sie digitale Signaturen erstellen können. Mit dieser Signatur können Sie für mehr Sicherheit sorgen.

• Links prüfen

Auch Links sollten stets überprüft werden. Per Mouseover – also, wenn der Mauszeiger über einen Link bewegt wird, ohne ihn anzuklicken – kann man sehen, auf welche Seite ein Link führt. Entscheidend ist dabei immer der vordere Teil der angegebenen Adresse. Selbst wenn in einem langen Link mittendrin „uni-hamburg“ steht, schauen Sie immer an den Anfang. Vor dem ersten einzelnen Schrägstrich, dem /, muss „uni-hamburg.de“ stehen.

Richtig: „https://www.kus.uni-hamburg.de/de.html“

Falsch: „hxxps://mialhamidiyyahpancur[.]sch.id/hh/hh/hh/webmail.chemie.uni-hamburg.de.html“

Also: Suchen Sie in der Adresse nach dem ersten einzelnen Schrägstrich – dann sind Sie auf der richtigen Spur!

Grundsätzlich gilt: Bevor Sie Ihre B-Kennung und das Passwort bei einer Webseite eingeben, kontrollieren Sie in der Adresszeile im Internetbrowser immer, ob es sich wirklich um eine Webseite der Uni Hamburg handelt– etwa zur Nutzung eines UHH-Dienstes oder beim Mailprogramm.

• Nachfragen und keine Passwörter preisgeben

Wenn Sie Spam oder merkwürdige Mails erhalten, klicken Sie unter keinen Umständen auf Anhänge oder Links und löschen Sie die Mail. Wenn Sie unsicher sind, fragen Sie beim Absender oder der Absenderin per Telefon oder Zoom kurz nach, ob die Mail korrekt ist.

Manchmal wird auch versucht, Sie per Anruf zu täuschen. Auch hier gilt erhöhte Vorsicht – und geben Sie am Telefon niemals Ihre Nutzungsdaten oder Passwörter preis. Niemand, auch nicht das RRZ, wird Sie am Telefon zur Herausgabe Ihres Passwortes auffordern.

Es kann verschiedene Hinweise geben, zum Beispiel, wenn Sie von Kolleginnen und Kollegen auf von Ihrem Konto verschickte Spam-Mails angesprochen werden. Wenn bei einem Nutzungskonto ungewöhnliche Aktivitäten registriert werden, etwa eine sehr hohe Zahl an versendeten Mails, wird es zudem administrativ gesperrt. Sie können sich dann nicht mehr mit Ihren Zugangsdaten anmelden.

Wenn Sie glauben, dass Sie aus Versehen Ihre Kennung und Ihr Passwort bei einer Betrugs-Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort über die Benutzerverwaltung. Die Änderung von Passwörtern ist nur über diesen Weg möglich.

Melden Sie sich außerdem per Mail rrz-serviceline"AT"uni-hamburg.de oder Telefon (+49 40 42838-7790) bei der Serviceline. Wenn personenbezogene Daten ausgespäht wurden, müssen nämlich auch die Datenschutzbeauftragte und die Stabsstelle Recht eingebunden werden. Das RRZ unterstützt Sie entsprechend.

Auch wenn Sie einen Anhang mit schädlichem Inhalt geöffnet oder runtergeladen haben, melden Sie sich bitte per Mail rrz-serviceline"AT"uni-hamburg.de oder Telefon (+49 40 42838-7790) beim RRZ.

Ganz wichtig: Schämen Sie sich nicht. Die Attacken sind heute oft so professionell, dass ein falscher Klick schnell passiert. Sie sind das Opfer und es erfolgt keinesfalls eine Schuldzuweisung an Sie.

Wenn Sie Phishing-Mails erhalten, senden Sie diese gerne als Anhang zu einer Mail an rrz-serviceline"AT"uni-hamburg.de und it-sicherheit"AT"uni-hamburg.de. So ist das RRZ gewarnt und kann weitere Maßnahmen ergreifen.

Wichtig: Leiten Sie die Mail nicht einfach weiter, sondern fügen Sie sie als Anlage zu einer neuen Mail hinzu – in Outlook z. B. einfach per Drag & Drop –, da nur so die Kopfzeilen der Mail überprüft werden können.