Benutzerspezifische Werkzeuge

Information zum Seitenaufbau und Sprungmarken fuer Screenreader-Benutzer: Ganz oben links auf jeder Seite befindet sich das Logo der JLU, verlinkt mit der Startseite. Neben dem Logo kann sich rechts daneben das Bannerbild anschließen. Rechts daneben kann sich ein weiteres Bild/Schriftzug befinden. Es folgt die Suche. Unterhalb dieser oberen Leiste schliesst sich die Hauptnavigation an. Unterhalb der Hauptnavigation befindet sich der Inhaltsbereich. Die Feinnavigation findet sich - sofern vorhanden - in der linken Spalte. In der rechten Spalte finden Sie ueblicherweise Kontaktdaten. Als Abschluss der Seite findet sich die Brotkrumennavigation und im Fussbereich Links zu Barrierefreiheit, Impressum, Hilfe und das Login fuer Redakteure. Barrierefreiheit JLU - Logo, Link zur Startseite der JLU-Gießen Direkt zur Navigation vertikale linke Navigationsleiste vor Sie sind hier Direkt zum Inhalt vor rechter Kolumne mit zusaetzlichen Informationen vor Suche vor Fußbereich mit Impressum


Artikelaktionen

Phishing

Informationen zu Passwort Phishing

Das HRZ wird Sie niemals dazu auffordern, Passwörter per E-Mail zu versenden, oder in dubiose Formulare sonstwo im Internet einzutragen! Falls Sie dazu aufgefordert werden, fragen Sie bitte immer zuerst am HRZ nach und leiten Sie die E-Mails als Anhang an mail-support@hrz.uni-giessen.de weiter!

 

Phishing

Immer wieder erreichen E-Mails die Postfächer der JLU-Angehörigen in denen sie aufgefordert werden, Accountdaten und Passwörter an eine bestimmte E-Mailadresse zu senden oder auf einen Link zu klicken hinter dem sich ein Formular verbirgt in das die Daten eingegeben werden sollen.

Solche E-Mails werden als Phishing-Mails (von password fishing, Abfischen von Passwörtern) bezeichnet.

Die ergaunerten Login-Daten werden dazu verwendet, um Spam oder weitere Phishing-Mails zu versenden. Da dies dann über die Server der JLU erfolgt, ist die Chance größer, dass diese E-Mails nicht von Spamfiltern aussortiert werden, da die Mailserver der JLU ein größeres Renomme besitzen, als die üblicherweise zum Spammen verwendeten trojanerinfizierten PCs.

In der Regel versuchen Phishing-Mails durch Androhung der Sperrung des Accounts, Verlust von Speicherplatz o. ä. und kurzen Antwortfristen, unbedarfte Empfänger zur schnellen unüberlegten Antwort und Preisgabe von Login-Daten zu bewegen.

 

Arten von Phishing-Mails

E-Mail Antwort

Bei dieser Variante werden Empfänger aufgefordert, die Account-Daten per E-Mail an eine vorgegebene Antwort-Adresse zu senden:

Betreff: 	Lieber Konto Abonnenten	 
Datum: 	Wed, 11 May 2011 23:20:12 +0100	 
Von: 	Universität Gießen <uni-giessen.de@cip.telemar.cu>	 
Antwort an: 	<webaccusers@info.lt>
Organisation: 	Universität Gießen	 
An: 	undisclosed-recipients:;	 

--
Lieber Konto Abonnenten

Konto-Server: https: / / 
webmail.stud.uni-giessen.de/squirrelmail/src/login.php
https: / / webmail.hrz.uni-giessen.de/squirrelmail/src/login.php
Universität Gießen

Diese E-Mail ist aus dem Squirrelmail administrative Einheit, und wir 
werden sie an jeder uni-giessen.de Konten Benutzer formaintenance / 
upgrade User Sicherheitssystem. Wir sind mit Staus durch die anonyme 
Registrierung von uni-giessen.de Konten, so dass wir unten einige 
areshutting uni-giessen.de Konten so muss Ihr Konto wieder aktualisiert 
durch diese Bedingung.

Wir senden Ihnen diese E-Mail, damit Sie überprüfen können, und um für 
Sicherheit und Wartung Ihres Kontos. Wenn Sie noch Interesse an einer 
uni-giessen.de Konto Anwender bestätigen Sie bitte Ihr Konto, indem Sie 
das Feld unten ein.

Die Informationen würden benötigt, um Ihr Konto zu überprüfen.

* Benutzername: (.......................) (Pflicht)
* Passwort: (................)( Pflicht)
* Geburtsdatum: (..........................) (optional)
* Land oder Gebiet: (..................) (optional)
* Sicherheitsabfrage: (........................) (Pflicht)
* Security Antwort: (..........................) (Pflicht)

Bevor Sie Ihre Kontodaten an uns, werden Sie beraten zum Login in 
diesem Link:

https: / / webmail.stud.uni-giessen.de/squirrelmail/src/login.php
https: / / webmail.hrz.uni-giessen.de/squirrelmail/src/login.php

HINWEIS: Wenn Ihr Konto tun Login senden Sie uns die Details, wenn es 
sonst schon gelöscht wurde bedeutet. Sorry für die Unannehmlichkeiten 
zu Ihnen sind wir nur versuchen, stellen Sie sicher im Internet surfen 
perfectely mit unseren Konten.

Alles was Sie tun müssen, ist Klicken Sie auf Antwort und liefern die 
oben genannten Informationen, wird Ihr Konto nicht unterbrochen, 
sondern nur aktualisiert. Danke für eure Aufmerksamkeit auf diese 
Aufforderung.

Wieder einmal sind wir für jegliche Unannehmlichkeiten entschuldigen.

* * * ACHTUNG * * *

Konto-Nutzer, seine / heraccount nach 7 Tagen nach Erhalt dieser 
Warnung wird sein Konto dauerhaft verlieren Update verweigert.

Unbefugter Zugriff auf diesen Computer ist in Verletzung des 
Kommentierte Code, Strafrecht Artikel? 8-606 und 7-302 und dem Computer 
Fraud and Abuse Act, 18 USC ? 1030 ET fg. Dieses Amt kann Monitor 
Verwendung von itscomputing Ressourcen, wie von Landes-und Bundesebene 
gesetzlich zulässig, einschließlich des Electronic Communications 
Privacy Act, 18 USC ? 2510-2521 und die Md. Kommentierte Code, Gerichte 
und Gerichtsverfahren Artikel, Abschnitt 10,
Untertitel 4. Wer mit diesem System erkennt an, dass jegliche Nutzung 
unterliegen (uni-giessen.de) Politik der Acceptable Use of Information 
Technology Resources verfügbar ist:

https: / / webmail.stud.uni-giessen.de/squirrelmail/src/login.php
https: / / webmail.hrz.uni-giessen.de/squirrelmail/src/login.php

Webmail Unit / Universität Gießen (uni-giessen.de)

Die Links auf die Webmail-Anwendungen der JLU sollen Vertrauen erwecken.

Beachten Sie bitte auch die JLU-fremde Absender-Adresse uni-giessen.de@cip.telemar.cu (uni-giessen.de müsste rechts vom @ stehen, wenn es eine Adresse der JLU sein sollte).


Formularlink

Hier sollen die Empfänger die Daten in ein Formular auf einer Webseite irgendwo im Internet eingeben:

Betreff: Technische Berichte.
Datum: Tue, 24 May 2011 17:17:09 +0200
Von: Justus-Liebig-Universität Gießen Helpdesk-Abteilung. <grmidtbo@att.net>
Antwort an: <oscar-pp2011@hotmail.com>
An: undisclosed recipients:

Achtung: Justus-Liebig-Universität Gießen E-Mail User,

Sie haben Ihr überschritten Justus-Liebig-Universität Gießen E-Mail-Konto
beschränken Kontingent von 250MB und Sie werden aufgefordert, es innerhalb
von 48 Stunden zu erweitern oder aber Ihr Justus-Liebig-Universität Gießen
E-Mail-Konto wird von unseren deaktivieren Datenbank.einfach
<http://www.123contactform.com/contact-form-quota-176593.html> Klicken Sie
hier mit die vollständige Information gebeten, Ihr Justus-Liebig-Universität
Gießen E-Mail-Konto Quote zu 450MB erweitern.

Vielen Dank für Hilfe Justus-Liebig-Universität Gießen E-Mail-Dienste.
Copyright © 2011 Justus-Liebig-Universität Gießen Helpdesk-Abteilung
Weitere Beispiele für Phishing-Mails finden Sie hier und dort sowie im Phishing-Archiv.

Erkennen von Phishing

Achten Sie auf die Absenderadresse!

Häufig werden Phishingmails über bereits ergaunerte Accounts versendet, deren E-Mail-Adresse dann als Absenderadresse verwendet wird.

Sollten Sie in einer Mail zur Preisgabe von Accountdaten aufgefordert werden, die z. B. wie folgt angezeigt wird, können Sie sich sicher sein, dass dies keine ernst zu nehmende Mail vom HRZ ist:

Betreff: Erweitern Sie Ihre Email-Quota-Limit
Datum: Thu, 26 May 2011 11:48:51 +0200 (CET)
Von: Uni Giessen Helpdesk <irgendwer@sonstwo.bla>
An: undisclosed-recipients:;

Denn hier wird zwar im Anzeigenamen vorgegaukelt, dass die E-Mail vom "Uni Giessen Helpdesk" ist, dieses würde aber sicher keine JLU-fremde E-Mail-Adresse wie "irgendwer@sonstwo.bla" verwenden, sondern eine Adresse aus dem Bereich "@hrz.uni-giessen.de" bzw. "@uni-giessen.de".

Eine Adresse aus dem Bereich uni-giessen.de ist allerdings auch noch keine Garantie, dass eine E-Mail wirklich von einer Einrichtung oder einer Person der JLU stammt, da Absenderadressen beliebig gefälscht werden können.

Verlassen Sie sich also nicht alleine auf die Absenderadresse!

Existiert eine Empfängeradresse?

Im Beispiel oben existiert keine Empfängeradresse. Je nach Mailprogramm wird dann "An: undisclosed-recipients" oder gar nichts angezeigt.

Wenn das HRZ Sie über wichtige Probleme mit Ihrem Mailaccount benachrichtigen müsste, dann würden Sie persönlich mit Ihrer Empfängeradresse angeschrieben.

Wenn alle Universitätsangehörigen über wichtige Vorgänge benachrichtigt werden sollten, dann würde dies über die offiziellen Verteiler Hinweise.der.JLU bzw. Rundschreiben.der.JLU und die HRZ-News erfolgen. In diesem Fall wäre die Empfängeradresse eine Verteileradresse wie z. B. mitarbeiter-hrz-dl@uni-giessen.de.

Gibt es eine Antwort-Adresse?

Wenn ja, ist die Antwort-An / Reply-To Adresse aus dem Bereich @*uni-giessen.de? Wenn nicht, dann brauchen Sie sich gar nicht weiter zu fragen ob die E-Mail ernst zu nehmen ist.

Leiten Sie sie bitte als Anhang an mail-support@hrz.uni-giessen.de weiter.

Achten Sie auf URLs im Inhalt

Zeigen diese auf die Webseiten des HRZ bzw. der JLU oder auf fremde Seiten im Internet?

Es ist nicht einsichtig, warum das HRZ Formulare zur Passworteingabe irgendwo im Internet betreiben oder erstellen lassen sollte. Wir können das durchaus selbst, wir betreiben die Webserver der JLU, wir erstellen Webseiten, welchen Grund sollte es also geben, dazu aufzufordern Passwörter z. B. in ein Formular mit der URL http://www.123contactform.com/contact-form-quota-176593.html einzutragen?

Nur einen: Missbrauch durch Nepper, Schlepper, Bauernfänger!

Wie unschwer zu erkennen ist, hat www.123contactform.com nicht das Geringste mit www.uni-giessen.de zu tun, also am Besten gar nicht erst anklicken sondern umgehend das HRZ informieren.

URLs wie uni-giessen.example.com oder www.example.com/uni-giessen haben ebenfalls nichts mit Webseiten der JLU zu tun, sondern zeigen auf Server von example.com während z. B. studip.uni-giessen.de auf eine Webanwendung an der JLU zeigt.

Wichtig ist was direkt vor der Länderkennung (.de, .com, .org, ...) steht. Ist dort (inkl. der Länderkennung) etwas anderes als uni-giessen.de zu finden, hat es nichts mit der JLU zu tun (um es auf die Spitze zu treiben: uni-giessen.de.com wäre auch JLU-fremd!).

Die offiziellen Seiten des HRZ zur Änderung der Passwörter oder zur Quota-Abfrage sind übrigens hier bzw. dort zu finden.

Häufig sind die Links auf die Formulare auch mit HTML verschleiert:

Phishing URL

Im Mailtext verbirgt sich die Zieladresse hinter "Click Here".

Wenn man mit der Maus über "Click Here" fährt (ohne zu klicken!) wird unten im Mailprogramm die eigentliche Zieladresse (http://systemadministrator-team.tk) angezeigt, die natürlich nichts mit der JLU Gießen zu tun hat!

Schlechtes Deutsch oder nur englischer Inhalt

Zugegeben, wir können sicher besser Server administrieren als Orthographie und Grammatik der deutschen Sprache, aber dass Sie wirklich in Betracht ziehen könnten, solch grottige Mails wie oben wären ernst gemeint und würden vom HRZ stammen, das haben wir wirklich nicht verdient.

An den "deutschen" Phishing-Mails ist die momentane Qualität der frei im Internet erhältlichen Übersetzungstools zu erkennen: Schlechtes Englisch ergibt übersetzt noch viel schlechteres Deutsch.

Es ist auch nicht einzusehen, dass an einer deutschen Universität mit überwiegend deutschsprachigen Angehörigen, wichtige Mailbenachrichtigungen nur auf englisch versendet werden (kann aber durchaus vorkommen!). Idealerweise wären diese Mails auf deutsch und englisch.

Seien Sie bei rein englischen Mails bitte misstrauisch und lachen Sie über schlechte deutsche Mails, fragen Sie aber im Zweifel immer beim HRZ nach!

Und am Wichtigsten: Seien Sie immer misstrauisch!

Niemand hat ein Recht Ihr Passwort zu erfahren.

Es ist meist völlig unnötig, Ihr Passwort irgendwem mitzuteilen, damit Sie eine Speicherplatzerweiterung erhalten oder Ihr Account nicht gesperrt wird. Im Gegenteil, wenn Sie Ihre Passwörter weitergeben und wir erfahren davon, wird Ihr Account garantiert zunächst gesperrt um Schlimmeres zu verhindern.

 

Selbsttest für Bank- o.ä. Phishingmails:

http://german.mailfrontier.com/survey/phishing_de.jsp

 

Maßnahmen

Sollten Sie Phishing-Mails erhalten, leiten Sie diese bitte umgehend als Anhang an mail-support@hrz.uni-giessen.de weiter.

Versenden Sie Ihre Passwörter niemals per Mail und tragen Sie diese auch nicht in JLU-fremde Webformulare ein.

Bitte leiten Sie die Mails immer als Anhang weiter, damit die für uns wichtigen Kopfzeilen (Antwort-Adresse, sendender Server, ...) enthalten sind und wir alle nötigen Informationen erhalten.

In vielen Fällen können wir durch zeitnahes Sperren der Antwort- und Absender-Adressen und durch Löschen lassen von Formularen Schlimmeres verhindern.

Wichtig ist, dass wir von Phishing-Wellen erfahren und dass wir zeitnah davon erfahren.