Phishing

Wer kennt sie nicht, die E-Mails in der Inbox, die von der "letzten Chance" verkünden, den eigenen Account vor einer Löschung bewahren wollen oder unverblümt zwecks "Verifizierung" nach Kreditkartennummer, Kontodaten und sogar Bank-TANs fragen, ja sogar fordern. Abgesendet scheinen diese E-Mails von vermeintlich vertrauenswürdigen Quellen bzw. geben sie sich mehr oder weniger Mühe, den Anschein dazu zu erwecken.

Allen gemeinsam ist im Wesentlichen die Frage nach sensiblen Informationen und Daten. Sie können schlussendlich in Missbrauch oder Diebstahl von Mailkonten, Portalkonten,  Bankkonten und Kreditkartenkonten oder anderen schützenswerten oder wertvollen Dingen münden.

  • Man wird aufgefordert, "Mailkontendaten", "Zugangsdaten von Sozialen Netzwerken" o.dgl. unter dem Vorwand von knappem Speicherplatz, Datenreorganisation, Wartungsarbeiten etc. zu übermitteln oder auf gefälschten Seiten einzugeben. Ziel: Der Missbrauch des Mailkontos, um Spams zu versenden oder andere illegale Aktionen zu verschleiern.
  • Aufforderungen, "Bankdaten" wie Kontonummer, Zugangsdaten von Webshops und Bezahldienstleister (typisch Paypal), Kreditkartennummer oder sogar TANs zwecks Verifikation infolge eines vorgeschobenen Problems bekannt zu geben. Ziel: Bereicherung.
  • Aufforderungen im Deckmantel z.B. einer "Rechnung" oder "Sendungsverfolgung" über einen Link eine Website anzusteuern oder einen Anhang anzuklicken, die das Ziel haben, den Arbeitsplatz-PC zu infizieren oder unter fremde Kontrolle zu bekommen. Ziel: Missbrauch des PCs und Eindringen in die Privatsphäre der Benutzer, Ausspähen von beliebigen Informationen oder im extremeren Fall für Erpressungsversuche durch Verschlüsselung der lokalen Daten am PC oder auf Netzlaufwerken.

In der Aufmachung und dem Aufbau verfolgen Phishing-Mails unterschiedliche Ziele:

  • Primitives Formular ist in der E-Mail vorgegeben, muss ausgefüllt werden und als E-Mail zurückgesendet werden.
  • Ein Link in der E-Mail gibt vor, auf die Web-Site des Mail- oder Bankdienstleisters zu führen, tut es aber nicht, sondern das Ziel ist eine bösartige Web-Site, die einfach nur die Daten für den Missbrauch sammelt.
  • Die E-Mail enthält Schadcode, der einen Fehler der HTML-Darstellung im Mailprogramm oder des zuhilfe genommenen Web-Browsers ausnützt, mitunter sogar ohne eventuell vorhandene Virenscanner zur Alarmierung zu bewegen! Hier liegt faktisch schon eine Infektion durch einen Virus oder einen "Trojaner" vor!
  • Irgendwelche Anhänge bzw. Attachments enthalten ein Office-Dokument oder ein PDF oder eine HTML-Seite, welche mitunter eine infizierende Wirkung auf den Arbeitsplatz-PC hat und das Ziel hat, den PC unter Kontrolle zu bekommen. Auch hier kann trotz eines installierten Virenscanners eine Alarmierung, hervorgerufen durch den Schadcode, unterbleiben, da dieser womöglich sogar einfach aus dem Internet unbemerkt nachgeladen wird.

Sollte es Zweifel an der Echtheit einer vorgeblich "offiziellen" E-Mail geben oder der Zweck einer E-Mail im Dunkeln liegen bzw. unklar sein, dann empfiehlt sich folgende Vorgangsweise:

  1. Erkennen, analysieren und bewerten, ob es sich überhaupt um Phishing handelt, mit Hilfe der Merkmale und Hinweise gemäß Punkt  "Merkmale von Phishing-Aktivitäten" oben.
  2. Im Zweifelsfall überprüfen, ob schon gleiche oder ähnliche Phishing-E-Mails an der TU Wien bekannt sind (siehe "Aktueller Status" weiter unten) bzw. vielleicht sogar der gleichen "Welle" entstammen.
  3. Nur für TU-Mitarbeiter und Personen der TU-Studentenschaft: Melden des Vorfalls an phishing@tuwien.ac.at mit einer Kopie der Phishing E-Mail, zumindest als Weiterleitung, besser mit einer Umleiten- oder Redirect-Funktion, um auch die Details der Kopfzeilen offen zu legen (eventuell die Kopfzeilen je nach Mailprogramm separat "freilegen" und übermitteln).
  4. Phishing Mail isolieren (löschen, abspeichern) und darauf achten, dass keinerlei Anhänge, Links angeklickt werden oder die Anwortfunktion zum Tragen kommt!

Die Meldung ist ein wichtiger Schritt, da dies die Grundlage für Gegenmaßnahmen aktueller oder zukünftiger, meist ähnlicher Aussendungswellen ist. Betroffen sind üblicherweise nur einige Dutzend bis wenige Hunderte Empfänger, bei weitem jedoch nicht alle.

Nur wenn Sie dem Personal oder dem studentischen Kreis der TU Wien angehören:

  • Ansprechpersonen für Beratung und Meldung zum Thema Phishing und E-Mail-Missbrauch: Johann Klasek, DW 42049 oder
  • per E-Mail an security@tuwien.ac.at wenden (hier nicht die Phishing-Nachricht selbst oder Fragmente davon mitschicken oder wenn wirklich nötig, dann stets in einem Dateiarchiv - z.B. ZIP o.ä. - verpacken).

Erkennen anhand von typischen Merkmalen

Je mehr dieser Indizien zutreffen, desto eher dürfte sich die E-Mail als Phishing-Mail herauskristallisieren.

GANZ WICHTIG: Inhaltlich wird von Seiten der offiziellen Einrichtungen und Stellen der TU Wien *niemals* ein Passwort im Klartext verlangt, schon gar nicht auf dem Wege unverschlüsselter E-Mails. Gegebenenfalls sind wohl Links auf einschlägige TU.it-Seiten in E-Mails enthalten, allerdings sollte man im Zweifelsfall die TU.it-Webseiten über die manuelle Eingabe in der Adressleiste oder über die Bookmarksammlung ansteuern.

Im besten Fall werden E-Mails mittlerweile auch seitens vieler TU-Mitarbeiter mittels S/MIME oder PGP signiert versendet und das Mailprogramm eines Empfängers kann so leicht verifizieren, ob der Absender und dessen Nachricht authentisch ist. Ist dies nicht der Fall, bleibt vorerst bis auf Weiteres nur der genaue Blick auf die "Innereien" einer E-Mail, um dies abschätzen zu können:

  1. Die Detailansicht der Kopfzeilen (wenn erst einmal sichtbar gemacht) zeigen in den "Received:"-Zeilen nur Serveradressen aus dem Bereich des TUNET, namentlich üblicherweise auf "tuwien.ac.at" endend.
  2. Die Absenderadresse (From:) oder Antworten-An-Adresse (Reply-To:), zeigt im Adressteil eine auf tuwien.ac.at endende Adresse (aber  nicht im Namensfeld!).
  3. Etwaige vorkommende URIs verweisen real auf DNS-Domains endend auf tuwien.ac.at - Achtung: der Pfad-Teil nach dem ersten "/" gehört hier nicht dazu - zur Irritation kann da oftmals auch "tuwien" vorkommen!
  4. In den meisten Fällen, ist die E-Mail persönlich adressiert und sollte daher auch im Empfänger-Feld (To:) den eigenen Namen enthalten. Wenn hier mehrere unterschiedliche Adressen anderer Leute an der TU Wien angeführt sein sollten, ist die E-Mail wahrscheinlich *nicht* offiziellen Ursprungs.
  5. In der Abschlussformel oder E-Mail-Signatur sind sehr fantasievolle Namen für die absendende Organisation, die jedenfalls nichts mit "TU IT Solutions", "TU.it" oder ehemals "ZID", "Zentraler Informatikdienst" zu tun hat, wie z.B. Blüten wie "Admin-Department", "TU Sicherheit", etc.
  1. Ändern Sie umgehend Ihr Passwort für den Account, der dadurch kompromittiert wurde sowie alle gleichlautenden Passwörter für andere persönliche und Firmen-Accounts.
  2. Da es sich eigentlich in jedem Fall um einen datenschutzrelevanten Vorfall handelt, muss dieser der/dem Datenschutzbeauftragten, am besten an die Mail-Adresse datenschutz@tuwien.ac.at, umgehend zur Kenntnis gebracht werden, unter Bekanntgabe, welche Systeme davon betroffen sind, z.B. im Fall von UpTUdate-Accounts das UpTUdate Mail, TUfiles, OwnCloud, Ticketsystem usw.
  3. Informieren Sie zugleich auch Ihre IT-Kontaktperson, damit festgestellt werden kann, ob im Zusammenhang mit der Phishing-Attacke auch Trojaner oder andere Viren auf Ihrem Rechner/Tablet/Telefon eingebracht wurden.

Service Center

Logo Service Center

© TU Wien

Ticketsystem-Online-Portal
Hotline 01 588 01 42002

help@it.tuwien.ac.at
1040 Wien, Operngasse 11, EG

Öffnungszeiten:
Mo - Fr 08:00 - 17:00 Uhr