E-Mails sind aus dem Arbeitsalltag nicht mehr wegzudenken - die damit verbundenen Probleme leider auch nicht. Unser Kollege Konstantin Zangerle vom KIT-CERT hat zu diesem Thema einen ausführlichen Blogbeitrag verfasst.
An dieser Stelle wollen wir einige Arten von unerwünschten E-Mails näher betrachten.
Als Spam (oder Junk) werden übergreifend alle Arten von unerwünschten E-Mails bezeichnet.
Das TIK betreibt an den Mailrelays einen Spamfilter, der eingehenden E-Mails prüft und nach bestimmten Kriterien als Spam markiert.
Leider gibt es immer wieder Spammails, die den Filter passieren, ohne eine Markierung zu erhalten. In diesen Fällen können Sie beim Training des Spamfilters helfen, indem Sie diese Nachrichten als Anhang direkt an die Funktionsadresse spam@tik.uni-stuttgart.de weiterleiten. Wie man Nachrichten korrekt als Anhang weiterleitet, wird auf dieser Seite des TIK erklärt.
Bei Phishing handelt es sich um den Versuch, sensible Daten wie Nutzernamen und Passwörter oder auch Konto- oder Kreditkartendaten abzugreifen.
Diese Daten werden dann unter anderem im Internet zum Kauf angeboten oder von den Angreifenden selbst für Ransomware-Angriffe, Zugriffe auf ein Bankkonto oder auch Spionage genutzt.
Phishing-Mails arbeiten mit verschiedenen Tricks aus dem Bereich Social Engineering, unter anderem
Phishing-Mails weisen häufig einige der folgenden Merkmale auf:
Wichtig: Das ist weder eine abschließende Liste, noch müssen alle Merkmale erfüllt sein, damit es sich um eine Mail mit betrügerischer Absicht handelt.
Erst mal: Ruhe bewahren
In vielen Fällen ist durch die Eingabe der Daten noch kein direkter Schaden entstanden und durch eine schnelle und umsichtige Reaktion lassen sich Probleme vermeiden.
Wir empfehlen folgendes Vorgehen:
Auch CEO-Fraud ist eine Form des Social Engineering. Hierbei kontaktieren Betrüger Mitarbeitende und geben sich als Vorgesetzte aus. Der initiale Kontakt ist oft nichtssagend und harmlos, so wird zum Beispiel gefragt, ob man kurz Zeit hätte. Reagiert das Opfer, wird eine Forderung gestellt, z.B. der Kauf von Gutscheinkarten oder die Herausgabe von Informationen. Dabei wird mit massivem (Zeit-)Druck gearbeitet, um dem Opfer möglichst wenig Zeit zum Nachdenken und Erkennen des Betrugs zu lassen.
Falls Sie (vermeintlich) von Ihrer oder Ihrem Vorgesetzten eine E-Mail mit der Bitte um einen Gefallen erhalten, vergewissern Sie sich auf anderem Wege (zum Beispiel telefonisch oder persönlich), dass die Nachricht tatsächlich vom vermeintlichen Absender stammt.
Bei erkanntem CEO-Fraud leiten Sie die betreffende E-Mail gerne wie oben beschrieben als Anhang an die Funktionsadresse des TIK weiter. Wir ergreifen dann weitergehende Maßnahmen, wie die Meldung der Absenderadresse an den E-Mail-Provider.
Auch hier gilt: Erst mal Ruhe bewahren.
Falls Sie nur auf die initiale Kontaktaufnahme reagiert haben, ist noch kein Schaden entstanden. Reagieren Sie einfach nicht auf weitere Nachrichten.
Falls Sie bereits auf die Forderungen der Betrüger eingegangen sind, wenden Sie sich bitte umgehend an mail@cert.uni-stuttgart.de.
E-Mails sind ein gängiger Verbreitungsweg von Malware. Dabei kann sich die Malware entweder im Anhang der E-Mail befinden, oder die E-Mail enthält einen Link, hinter dem sich die Malware verbirgt.
Um E-Mails mit Malware glaubwürdiger erscheinen zu lassen, kommen verschiedene Tricks zum Einsatz.
Spoofing bedeutet, dass eine E-Mail mit gefälschtem Absender verschickt wird. Im einfachsten Fall ist nur der Name des Absenders gefälscht; es ist allerdings kaum schwieriger, auch die E-Mail-Adresse des Absenders zu fälschen, so dass eine E-Mail vermeintlich von einem bekannten Kontakt zu stammen scheint.
Um Spoofing zu erkennen, muss man sich die Received-Header einer E-Mail genau anschauen. Hier lässt sich ablesen, von welchem Mailserver die Nachricht kommt. Wenn dieser Mailserver nicht zum vermeintlichen Absender passt, handelt es sich um Spoofing.
Beim Thread Hijacking werden echte Kommunikationsverläufe genutzt, die in der Regel von infizierten Rechnern abgegriffen wurden. Dieses Vorgehen ist perfide, weil die Empfängerin oder der Empfänger einen bekannten Kommunikationsverlauf mit einer bekannten Person vor sich sieht und die Nachricht dadurch viel glaubwürdiger wirkt.
Um Thread Hijacking zu erkennen, hilft wie beim Spoofing das Betrachten der Received-Header. Darüber hinaus ist die gegebene Antwort auf den bisherigen Kommunikationsverlauf häufig nicht perfekt auf den Sachverhalt und den Kontext angepasst, so dass beim genauen Lesen Ungereimtheiten wie eine üblicherweise nicht genutzte Anrede oder Grußformel oder für den Kommunikationspartner untypische Formulierungen auffallen können.