Die Qualität von Phishing-Angriffen hat sich insbesondere durch das Aufkommen von KI-Tools erhöht. Insofern wird es für die EmpfängerInnen von Phishing-E-Mails immer schwieriger, diese von legitimen E-Mails zu unterscheiden.
Im Folgenden finden Sie eine Checkliste aus zehn Fragen, anhand derer Sie überprüfen können, ob es sich bei einer verdächtigen E-Mail um einen Phishing-Angriff handelt. Beantworten Sie eine oder mehrere der zehn Fragen mit „Nein“, ist von einem Phishing-Versuch auszugehen.
Leiten Sie die verdächtige E-Mail als Anhang wie unter Phishing melden beschrieben an phishingmeldung@hsbi.de weiter und klicken Sie keinesfalls auf Links und Anhänge in der betreffenden E-Mail.
1. Stimmen Absendername und E-Mailadresse des Absenders überein?
Cyberkriminelle nutzen falsche Absendernamen, um vorzutäuschen, dass sie ein bekannter bzw. legitimer Absender sind.
Wenn Absendernamen und Absenderadresse nicht übereinstimmen, handelt es sich i.d.R. um eine Phishing-E-Mail.
Beispiel: Präsidentin<marlaefe@ind.edu.cu>
2. Handelt es sich um eine bekannte bzw. legitime E-Mailadresse?
Gefälschte E-Mailadressen sind nicht immer leicht zu erkennen, da häufig nur ein Buchstabe in der E-Mailadresse geändert wurde oder fehlt.
Vorsicht: Es kommt vor, dass legitime E-Mailadressen (z.B. Name@hsbi.de) zum Versenden von Phishing-E-Mails genutzt werden. Dies ist möglich, wenn der eigentlich legitime Account zuvor gehackt bzw. kompromittiert wurde. Überprüfen Sie deshalb immer auch den Inhalt einer E-Mail auf Plausibilität.
3. Verfügt die E-Mail über eine digitale Signatur?
Digitale Signaturen sind eine Möglichkeit, die Identität des Absenders zu verifizieren. Sofern eingehende E-Mails eine digitale Signatur enthalten und die Domäne (der Abschnitt hinter dem @, also z.B. „hsbi.de“) der Erwartung entspricht, kann von einer vertrauenswürdigen E-Mail ausgegangen werden. Bislang werden digitale Signaturen noch eher selten an Hochschulen verwendet, zukünftig werden diese aber immer wichtiger werden.
4. Sind in der E-Mail enthaltene Links vertrauenswürdig?
Phishing-E-Mails enthalten oftmals Links, deren Ziel-Webseite hinter dem Fließtext verborgen ist. Der Fließtext deutet dann zwar einen vertrauenswürdigen Inhalt an, der Link führt tatsächlich aber zu einer schädlichen Webseite. Es ist deshalb wichtig, die Zieladresse mittels „Mouseover“ zu überprüfen. „Mouseover" bedeutet, mit dem Mauszeiger über den Link zu fahren ohne diesen anzuklicken, sodass die Ziel-Webseite (URL) nach einem kurzen Moment sichtbar wird.
Beispiel:
Vorsicht:
Wie E-Mailadressen lassen sich auch Links leicht fälschen. Oftmals ändern Cyberkriminelle nur einen Buchstaben im sogenannten „Wer-Bereich“ eines Links. Der „Wer-Bereich“ besteht aus den letzten beiden Begriffen vor dem ersten alleinstehenden „/“. Das bedeutet „hsbi.de“ bildet den „Wer-Bereich“ bei Webseiten der Hochschule Bielefeld.
5. Sind Anhänge der E-Mail vertrauenswürdig?
Phishing-E-Mails enthalten neben schadhaften Links regelmäßig auch Anhänge mit Malware (schadhafte Programme), die Geräte und Anwendungen mit einem Virus infizieren. Jede Art von Datei kann Malware enthalten, wie z.B. Microsoft Word- und Excel-Dateien, PDFs sowie Zip-Dateien.
Öffnen Sie Anhänge nur, wenn Sie sicher sind, dass die Dateien zuverlässig und vertrauenswürdig sind.
Dateien mit folgenden Endungen, sollten Sie niemals öffnen: .exe, .is, .lnk, .wsf, .scr, .jar, .bat.
Tipps:
Fragen Sie im Zweifel beim Absender auf einem anderen Kommunikationsweg bzgl. des Anhangs nach.
Seien Sie besonders aufmerksam bei E-Mails mit Anhängen, die Sie nicht erwarten, und Anhängen, deren Absender Ihnen nicht bekannt ist!
6. Ist die Anrede persönlich?
Phishing-E-Mails enthalten oftmals keine oder unpersönliche Anreden, da Cyberkriminellen diese Daten (noch) nicht vorliegen.
Beispiele:
„Sehr geehrte Nutzerinnen und Nutzer unserer IT-Systeme“
„Sehr geehrter WebMail-Benutzer“
7. Sind in der E-Mail formulierte Handlungsaufforderungen plausibel und angemessen?
Cyberkriminelle täuschen in Phishing-E-Mails häufig Probleme mit Benutzerkonten und Finanztransaktionen vor oder verweisen auf besondere, limitierte Dienstleistungen. Charakteristischerweise enthält bereits der Betreff einer Phishing-E-Mail alarmierende Begrifflichkeiten (Warnung, Aktivierungsalarm, Neues Sicherheitsupdate etc.).
Die E-Mailinhalte erzeugen dann einen Handlungsdruck mit Fristen und Drohungen und zeigen auch konkrete, negative Konsequenzen auf, wenn einer Handlung nicht nachgegangen wird.
Beispiel:
„Der Helpdesk aktualisiert die Sicherheit Ihres Postfachs. Ab dem 1. Januar 2025 wird Norton Malware Security integriert. Um dieses Update abzuschließen, geben Sie bitte Ihre Kontoanmeldeinformationen ein. Klicken Sie hier, um Ihr E-Mail-Konto sofort zu aktualisieren und eine Deaktivierung zu vermeiden.“
Tipp:
Überprüfen Sie die Inhalte der E-Mail auf Plausibilität. Lassen Sie sich nicht unter Druck setzen. Melden Sie sich im Zweifelsfall beim Absender unter einem anderen, bekannten Kommunikationskanal (Telefon, Chat).
8. Sind die Übermittlungswege vertrauenswürdig, sofern nach vertraulichen Informationen gefragt wird?
Phishing-E-Mails enthalten üblicherweise die Aufforderung, Zugangsdaten in Anmeldefenstern oder Kontaktformularen einzugeben oder vertrauliche Daten (Kreditkartendaten, Bankverbindungen, persönliche Adressen, Dienstgeheimnisse usw.) zu übermitteln.
Beispiel:
"Loggen Sie sich sofort in Ihr HSBI-Benutzerkonto ein und verifizieren Sie Ihre Identität."
Wichtige Hinweise:
Seien Sie skeptisch, wenn Sie per E-Mail nach Zugangsdaten gefragt werden, ohne diesen Prozess zuvor selbst ausgelöst zu haben.
Versenden Sie niemals Zugangsdaten (als Antwort) per E-Mail, wenn Sie darum gebeten werden.
Geben Sie Ihre Zugangsdaten zu den IT-Services der Hochschule Bielefeld nur auf Webseiten der HSBI ein (Überprüfen Sie den „Wer-Bereich“ des Links der Webseite.)
9. Sind Rechtschreibung, Grammatik und Begrifflichkeiten korrekt?
KI-Tools erleichtern es Cyberkriminellen zunehmend, sprachlich korrekte E-Mails zu verfassen. Dennoch können ein schlechter Schreibstil (z.B. die falsche Verwendung von Umlauten) oder die falsche Verwendung von Begrifflichkeiten (z.B. Rektorin statt Präsidentin) erste Hinweise auf eine Phishing-Mail sein.
10. Entspricht das Corporate Design der HSBI?
Phishing-Mails und insbesondere Phishing-Webseiten sind i.d.R. nicht im Corporate Design der Hochschule Bielefeld gestaltet. Machen Sie sich deshalb mit dem Corporate Design der HSBI vertraut, um Phishing-E-Mails schnell zu identifizieren.
Selbst wenn Sie bereits versehentlich den Link zu einer Phishing-Webseite geklickt haben – reicht üblicherweise ein kritischer Blick auf das Design der Webseite aus, um diese als gefälscht zu identifizieren.
Vorsicht:
Cyberkriminelle können u.a. mit KI-Tools Webseiten im Corporate Design von Hochschulen, Banken und staatlichen Behörden nachbauen. Bei Angriffen auf Hochschulen kommt dies bislang jedoch nur in Ausnahmefällen vor.