Aus aktuellem Anlass weisen wir nochmals auf die Gefahr durch Phishing Mail hin

Falls Sie nicht genau wissen, was eine Phishing Mail ist:

Eine Phishing Mail ist der Versuch, über gefälschte WWW-Seiten oder elektronische Nachrichten sensible Daten (Benutzername, Passwort) zu erhalten und damit Internet-Nutzer zu schädigen.

Das ist kriminell !

 

Ist Ihnen das Problem bewusst?

Nach wie vor ist auch die FernUniversität, wie viele andere Institutionen weltweit, Angriffsziel für Phishing Mails.  Wir werden mit primitivsten Fälschungen konfrontiert, und zum Teil gibt es leider immer noch etliche Mitglieder der FernUniversität, die diese Fälschungen nicht als solche erkennen und den Angreifern bereitwillig ihre persönlichen Zugangsdaten preisgeben.

Damit werden der FernUniversität nicht nur Kosten in erheblichem Umfang verursacht, sondern es entsteht auch ein immenser Image-Schaden:

• Der Angreifer kann mit den erlangten Zugangsdaten z.B. dubioseste Werbung verschicken.
• Der Angreifer kann neue Phishing-Angriffe verschicken.

Und das geschieht seitens des Angreifers im Namen der FernUniversität und in Ihrem Namen!

Bedenken Sie bitte die Konsequenzen. Dadurch kommt die FernUniversität als Institution z.B. bei einigen Einrichtungen (z.B. Provider) auf eine „schwarze Liste“ – Folge ist, dass unsere Mail-Zustellung an diese Einrichtungen nachhaltig gestört ist und zum Verlust der Erreichbarkeit unserer Hochschule führt. Was dies u.U. für unsere Studierenden, die Mails nicht erhalten, bedeutet, muss sicher nicht näher erläutert werden.

Ist Ihnen bekannt, wie Phishing-Angriffe ablaufen ?

Das Vorgehen ist eigentlich immer das gleiche:

Der Angreifer sendet eine Mail an etliche Mail-Adressen der FernUniversität, in der er auf ein vermeintliches Problem mit der Mailbox des Empfängers hinweist und zum Aufruf einer Web-Seite auffordert, über die dieses vermeintliche Problem behoben werden kann. Im Regelfall ist für den Zugriff auf diese Webseite oder auf ihr selbst die Eingabe Ihrer persönlichen Zugangsdaten erforderlich.

Und das ist die Perfidie: Diese Web-Seite sieht aus wie eine Webseite der FernUniversität, ist es aber nicht ! Das Ganze ist ein Fake, eine Vorspiegelung falscher Tatsachen, ein Betrug mithilfe der Nachahmung des Designs unserer Webseiten.

In Wirklichkeit ist es eine Web-Seite des Angreifers, aus der er Ihre Zugangsdaten ermittelt, wenn Sie diese eintragen. Mit diesen Daten meldet der Angreifer sich auf unseren Systemen an und versendet Werbung und Phishing Mails in Ihrem Namen und im Namen der FernUniversität.

Das geschieht vorzugsweise außerhalb der Dienstzeit, so dass der Missbrauch erst bei Dienstbeginn bemerkt wird und dem Unfug ein Ende gesetzt werden kann. Bis dahin sind aber u.U. schon Millionen von unerwünschten Sendungen verschickt worden und die noch nicht zugestellten müssen in mühevoller Handarbeit einzeln entfernt werden, um den Schaden nicht noch weiter ansteigen zu lassen. Das ist nur per Hand möglich, denn es muss vermieden werden, dass erwünschte, also korrekte, „echte“ Sendungen gelöscht werden. Das verursacht Kosten. Und das sind nicht alle Kosten, die entstehen, sondern es fallen weitere an für die Bereinigung von „schwarzen Listen“ an. Erst wenn auch dies abgeschlossen ist, ist die  allgemeine Erreichbarkeit für die FernUniversität wieder hergestellt.

Bitte gehen Sie sorgsam mit Ihren Zugangsdaten um. Sie dürfen Dritten nicht zur Verfügung gestellt werden, auch nicht unabsichtlich. Die Weitergabe Ihrer persönlichen Zugangsdaten ist ein Verstoß gegen Ihre Dienstpflichten bzw. gegen die Benutzungsordnung!

Können Sie eine Phishing Mail erkennen ?

Die „Verfasser“ von Phishing Mails sind einfallsreich und in vielen Fällen an Dreistigkeit und Plumpheit kaum zu überbieten, aber leider sind sie vielleicht gerade deshalb (?) oft durchaus erfolgreich für den Angreifer, wie z.B. die nachfolgende Fälschung, bei der nichts auf die FernUniversität hinweist:

 

Subject: Webmail-Alert
From: Katherine Sampen Cardenas <04170045@unmsm.edu.pe>
Reply-To: <cintifinancialgrouplns2@uk-ntwestbnonline.com>
To: undisclosed-recipients:;

Es wurde festgestellt, dass Sie Ihre E-Mail-Quota-Limit von 450MB überschritten
und Sie müssen Ihre Quote zu erweitern. In weniger als 48 Stunden, wenn Sie
nicht aktualisieren Sie Ihre E-Mail-Quota Limit, wird Ihre E-Mail-Konto zu
deaktivieren.

So erweitern Sie Ihre E-Mail Kontingent zu 5 GB, verwenden Sie eine der
folgenden Web-Links:

http://satusworldwide.com/phpformgenerator/use/Admin/forms1.html

Vielen Dank für Ihr Verständnis.

Copyright © 2011 Helpdesk Support Webmail Centre

 

Es gibt aber auch „bessere“ Fälschungen. Eine solche, durch die massenhaft Zugangsdaten abgefischt worden sind, ist diese:

 

From: “FernUniversität Hagen WEBMAIL” <services@FernUni-Hagen.de>

Subject: FernUniversität Hagen – Webmail Services – Neu ssL Sever Rangliste -

Must Read.

 

 

FernUniversität Hagen User,

Wir haben kürzlich unsere Security System mit einem Upgrade

Neu gegründete ssL Sever die Deckungssummen Ihre maximalemaximale

Security Protection beim Zugriff auf Ihr Webmail-Konto Online.

Klicken Sie hier, um den Upgrade

Regards,

FernUniversität Hagen Helpdesk Security Department

 

Hier wird – abgesehen von der sprachlichen Unverständlichkeit – der Eindruck erweckt, die Nachricht käme von der FernUniversität. Auch mit der Adresse der aufzurufenden Web-Seite wird auf den ersten Blick bzw. Klick Authentizität simuliert. Schaut man sich das jedoch genauer an, zeigt sich folgendes Bild: Bei Klick auf „Klicken Sie hier, um den Upgrade“ zeigt sich folgende Linksangabe:

http://serv1.webe4.me/mailstore.fernuni-hagen.de.htm.

Wie gesagt, der erste schnelle Blick bleibt auf „… mailstore.fernuni-hagen.de“ hängen. Dabei wird aber übersehen, dass damit zwar der Name des Servers angegeben ist, aber er steht an der falschen Stelle:  er gehört immer in die Referenz, also in unserem Beispiel unmittelbar hinter http:// , Die Serverangabe steht niemals im Namen der aufzurufenden Datei!
Und es gibt eine zweite Stelle, an der Sie erkennen können, dass es sich um eine falsche Angabe handelt: Die Kennung „http://“ weist auf eine ungesicherte Verbindung – wir bauen aber stets gesicherte Verbindungen („https://) auf!

Da Sie ja als aufmerksame Leserin / aufmerksamer Leser dieses Artikels jetzt wissen, dass Sie keinesfalls auf diesen Link klicken würden, kämen Sie auch nicht in den Genuss, sich die dann öffnende Seite ansehen zu können. Deshalb beschreiben wir das nachfolgend:

Wenn man also auf diesen Link klicken würde, würde sich eine Seite öffnen, die auf den ersten Blick der Eingangsseite unseres Mailservers absolut exakt nachempfunden ist, aber ein zweiter Blick würde zeigen, dass ein wesentliches Element unserer Eingangsseite fehlt: das geschlossene Symbol-Schloss rechts unten. Nur dieses Schloss signalisiert eine gesicherte Verbindung. Wie gesagt, so weit sollten Sie ja gar nicht kommen!

Worauf können Sie sich seitens der FernUniversität verlassen?

• Die FernUniversität fordert Sie niemals auf, Ihre Zugangsdaten über eine ungesicherte Verbindung zu übertragen. D.h.: alle Verbindungen, bei denen die Eingabe Ihrer Zugangsdaten erforderlich ist, haben immer die Angabe https://
• Wenn in einer Anwendung aus Sicherheitsgründen Ihre Identität überprüft werden muss, dann geschieht das immer nur über eine gesicherte Verbindung. Diese erkennen Sie an zwei Elementen:
  • https://-Verbindung, z.B. https://mailhost.fernuni-hagen.de/mailbox/createmailaddress.php.
  • Symbol-Schloss geschlossen, unten rechts auf einer unserer entsprechenden Seiten
  • Sollte von unserer Seite jemals ein ausgewählter Benutzerkreis zur Übermittlung persönlicher Daten aufgefordert werden, geschieht dies immer wie folgt:
    • Es gibt immer eine Ankündigung unter „FernUni Aktuell“.
    • Die eigentliche Aktion erfolgt immer über eine digital signierte Nachricht. Dabei wird die Authentizität der Nachricht von Ihrem Mail-Client (z.B. Outlook, Thunderbird) überprüft. Sie erkennen das am versiegelten Briefumschlag bzw. am Siegel rechts neben den Absenderadressen.

Möchten Sie das vielleicht noch ein wenig genauer nachlesen? Dann schauen Sie doch bitte auf
http://wiki.fernuni-hagen.de/helpdesk/index.php/IMAP-Konfiguration_Mozilla_-_Thunderbird#Sichere_E-Mail_-_Mail_signieren_und_verschl.C3.BCsseln, http://wiki.fernuni-hagen.de/helpdesk/index.php/Zertifikat_in_Outlook_einbinden),.

 

Was können Sie tun und was sollten Sie unbedingt vermeiden?

Bitte gehen Sie sorgsam mit Ihren Zugangsdaten um!

Bitte achten Sie bei sensiblen Seiten auf die https-Kennung und das Sicherheitsschloss unten rechts auf der Seite!

Bitte vertrauen Sie nur signierten Nachrichten! Achten Sie auf das Siegel!

Bitte klicken Sie keinesfalls auf irgendwelche Links in Nachrichten, über deren Herkunft Sie nicht völlige Klarheit haben, denn:

Auch wenn dort keine Zugangsdaten abgefragt werden, können Sie über solche Seiten Viren und andere Schädlinge auf Ihren Rechner schleusen, die es einem Angreifer ermöglichen, alle Ihre Eingaben und Anzeigen zu protokollieren, so dass Sie darüber dann letztendlich doch Ihre Zugangsdaten (und alle weiteren Geheimnisse, die Sie eintippen) verraten.

 

Nachfragen bitte an Helpdesk

Dieser Eintrag wurde am 5. September 2011 um 15:02 von Hans Wenzel in der Kategorie Aktuelles abgelegt. Die Antworten zu diesem Eintrag können mit dem Kommentar-Feed (RSS 2.0) verfolgt werden. Du kannst den Eintrag kommentieren oder einen Trackback senden.

Diesen Beitrag weiterempfehlen:

Kommentieren

Name (erforderlich)

E-Mail (wird nicht veröffentlicht) (erforderlich)

Website

E-Mail: zmi(at)fernuni-hagen.de
Tel.: +49 2331 987-2809
Fax: +49 2331 987-2720

| Kontakt | Profil | A-Z | Sitemap | | FernUni-Kontakt | FernUni-Impressum |

© FernUniversität in Hagen