Phishing E-Mails erkennen

Cyberkriminelle nutzen falsche Absendernamen, um vorzutäuschen, dass sie ein bekannter bzw. legitimer Absender sind.

Wenn Absendernamen und Absenderadresse nicht übereinstimmen, handelt es sich i.d.R. um eine Phishing-E-Mail.

Beispiel: Präsidentin<marlaefe@ind.edu.cu>

Gefälschte E-Mailadressen sind nicht immer leicht zu erkennen, da häufig nur ein Buchstabe in der E-Mailadresse geändert wurde oder fehlt.

Vorsicht: Es kommt vor, dass legitime E-Mailadressen (z.B. Name@hsbi.de) zum Versenden von Phishing-E-Mails genutzt werden. Dies ist möglich, wenn der eigentlich legitime Account zuvor gehackt bzw. kompromittiert wurde. Überprüfen Sie deshalb immer auch den Inhalt einer E-Mail auf Plausibilität. 

Digitale Signaturen sind eine Möglichkeit, die Identität des Absenders zu verifizieren. Sofern eingehende E-Mails eine digitale Signatur enthalten und die Domäne (der Abschnitt hinter dem @, also z.B. „hsbi.de“) der Erwartung entspricht, kann von einer vertrauenswürdigen E-Mail ausgegangen werden. Bislang werden digitale Signaturen noch eher selten an Hochschulen verwendet, zukünftig werden diese aber immer wichtiger werden.

Phishing-E-Mails enthalten oftmals Links, deren Ziel-Webseite hinter dem Fließtext verborgen ist. Der Fließtext deutet dann zwar einen vertrauenswürdigen Inhalt an, der Link führt tatsächlich aber zu einer schädlichen Webseite. Es ist deshalb wichtig, die Zieladresse mittels „Mouseover“ zu überprüfen. „Mouseover" bedeutet, mit dem Mauszeiger über den Link zu fahren ohne diesen anzuklicken, sodass die Ziel-Webseite (URL) nach einem kurzen Moment sichtbar wird.

Beispiel:

Vorsicht:

Wie E-Mailadressen lassen sich auch Links leicht fälschen. Oftmals ändern Cyberkriminelle nur einen Buchstaben im sogenannten „Wer-Bereich“ eines Links. Der „Wer-Bereich“ besteht aus den letzten beiden Begriffen vor dem ersten alleinstehenden „/“.  Das bedeutet „hsbi.de“ bildet den „Wer-Bereich“ bei Webseiten der Hochschule Bielefeld.

Phishing-E-Mails enthalten neben schadhaften Links regelmäßig auch Anhänge mit Malware (schadhafte Programme), die Geräte und Anwendungen mit einem Virus infizieren. Jede Art von Datei kann Malware enthalten, wie z.B. Microsoft Word- und Excel-Dateien, PDFs sowie Zip-Dateien. 

Öffnen Sie Anhänge nur, wenn Sie sicher sind, dass die Dateien zuverlässig und vertrauenswürdig sind.

Dateien mit folgenden Endungen, sollten Sie niemals öffnen: .exe, .is, .lnk, .wsf, .scr, .jar, .bat.

Tipps:

• Fragen Sie im Zweifel beim Absender auf einem anderen Kommunikationsweg bzgl. des Anhangs nach.
• Seien Sie besonders aufmerksam bei E-Mails mit Anhängen, die Sie nicht erwarten, und Anhängen, deren Absender Ihnen nicht bekannt ist!

Phishing-E-Mails enthalten oftmals keine oder unpersönliche Anreden, da Cyberkriminellen diese Daten (noch) nicht vorliegen.

Beispiele:

• „Sehr geehrte Nutzerinnen und Nutzer unserer IT-Systeme“
• „Sehr geehrter WebMail-Benutzer“

Cyberkriminelle täuschen in Phishing-E-Mails häufig Probleme mit Benutzerkonten und Finanztransaktionen vor oder verweisen auf besondere, limitierte Dienstleistungen. Charakteristischerweise enthält bereits der Betreff einer Phishing-E-Mail alarmierende Begrifflichkeiten (Warnung, Aktivierungsalarm, Neues Sicherheitsupdate etc.).

Die E-Mailinhalte erzeugen dann einen Handlungsdruck mit Fristen und Drohungen und zeigen auch konkrete, negative Konsequenzen auf, wenn einer Handlung nicht nachgegangen wird.

Beispiel:

„Der Helpdesk aktualisiert die Sicherheit Ihres Postfachs. Ab dem 1. Januar 2025 wird Norton Malware Security integriert. Um dieses Update abzuschließen, geben Sie bitte Ihre Kontoanmeldeinformationen ein. Klicken Sie hier, um Ihr E-Mail-Konto sofort zu aktualisieren und eine Deaktivierung zu vermeiden.“

Tipp:

Überprüfen Sie die Inhalte der E-Mail auf Plausibilität. Lassen Sie sich nicht unter Druck setzen. Melden Sie sich im Zweifelsfall beim Absender unter einem anderen, bekannten Kommunikationskanal (Telefon, Chat).

Phishing-E-Mails enthalten üblicherweise die Aufforderung, Zugangsdaten in Anmeldefenstern oder Kontaktformularen einzugeben oder vertrauliche Daten (Kreditkartendaten, Bankverbindungen, persönliche Adressen, Dienstgeheimnisse usw.) zu übermitteln.

Beispiel:

"Loggen Sie sich sofort in Ihr HSBI-Benutzerkonto ein und verifizieren Sie Ihre Identität."

Wichtige Hinweise:

• Seien Sie skeptisch, wenn Sie per E-Mail nach Zugangsdaten gefragt werden, ohne diesen Prozess zuvor selbst ausgelöst zu haben.
• Versenden Sie niemals Zugangsdaten (als Antwort) per E-Mail, wenn Sie darum gebeten werden.
• Geben Sie Ihre Zugangsdaten zu den IT-Services der Hochschule Bielefeld nur auf Webseiten der HSBI ein (Überprüfen Sie den „Wer-Bereich“ des Links der Webseite.)

KI-Tools erleichtern es Cyberkriminellen zunehmend, sprachlich korrekte E-Mails zu verfassen. Dennoch können ein schlechter Schreibstil (z.B. die falsche Verwendung von Umlauten) oder die falsche Verwendung von Begrifflichkeiten (z.B. Rektorin statt Präsidentin) erste Hinweise auf eine Phishing-Mail sein.

Phishing-Mails und insbesondere Phishing-Webseiten sind i.d.R. nicht im Corporate Design der Hochschule Bielefeld gestaltet. Machen Sie sich deshalb mit dem Corporate Design der HSBI vertraut, um Phishing-E-Mails schnell zu identifizieren.

Selbst wenn Sie bereits versehentlich den Link zu einer Phishing-Webseite geklickt haben – reicht üblicherweise ein kritischer Blick auf das Design der Webseite aus, um diese als gefälscht zu identifizieren.

Vorsicht:

Cyberkriminelle können u.a. mit KI-Tools Webseiten im Corporate Design von Hochschulen, Banken und staatlichen Behörden nachbauen. Bei Angriffen auf Hochschulen kommt dies bislang jedoch nur in Ausnahmefällen vor.