07.10.2022 Vorsicht vor betrügerischen Phishing-Mails

Derzeit senden Angreifer*innen zahlreiche Phishing-Mails an Mitglieder und Angehörige der Philipps-Universität. Prüfen Sie Absender und Links, bevor Sie reagieren!

Person mit Maske vor dem Gesicht reicht die Hand
Foto: Colorbox / #237827

Allein in dieser Woche landeten über 700 Phishing-Mails in Postfächern von Mitgliedern und Angehörigen der Philipps-Universität. Dabei ist die "Qualität" der Phishing-Mails sehr unterschiedlich. Die Devise der Angreifer*innen: Masse statt Klasse.

Wie immer möchten Sie die Angreifer*innen dazu bringen, die Daten Ihres Uni-Accounts auf einer betrügerischen Webseite einzugeben. Als Vorwand behaupten die Betrüger*innen im Text der E-Mail, dass sich beispielsweise die Konfiguration des Postfachs geändert habe oder das Kennwort abgelaufen sei. Hier zwei Beispiele für die betrügerischen E-Mails:

Auf dem Bild ist ein Beispiel einer aktuell versendeten Phishing-Nachricht zu sehen. In diesem Beispiel wurde sie vom Account ssuba@pdn.ac.lk versendet und enthält folgende Nachricht:  Benachrichtigung zum Ablauf des Kennworts Alle Nutzer, Ihr Passwort läuft ab. Behalten Sie das gleiche Passwort wie die Schaltfläche unten bei Behalten Sie dasselbe Passwort bei  Email: it-Sicherheit@uni-marburg.de

* Web 5.0 wurde erfolgreich f?r Ihr E-Mail-Konto aktiviert.  Ihre E-Mails und Kontakte wurden zusammengef?hrt.  Klicken Sie unten, um Ihren neuen Posteingang und Ihre Kontakte anzuzeigen.  Gehen Sie zu meinem neuen Posteingang >>[1]  Mail-Center   Links: ------ [1] [Aus Sicherheitsgründen entfernt]

Bei genauerem Hinsehen (rote Markierungen) lässt sich erkennen, dass die E-Mail nicht von Serviceeinrichtungen (bspw. HRZ) der Philipps-Universität, sondern von einem externen E-Mail Account versendet wurde. Tückisch ist, dass in Ihrem E-Mail Programm als Absender oft nur der gefälschte Name (beispielsweise des Helpdesks) angezeigt wird. Nur durch Anzeige des tatsächlichen Absenders, beispielsweise im Header der E-Mail (in Thunderbird abrufbar über die Tastenkombination Strg+U), ist erkennbar, dass die E-Mail eigentlich von jemand anderem stammt. Zusätzlich führt der Link im unteren Beispiel auf eine betrügerische, externe Webseite und nicht zur Login-Seite eines universitären Dienstes.

Deshalb ist es umso wichtiger, dass Sie genau hinschauen:

  • Angreifer*innen fälschen in der Regel ihre Absenderadresse, deshalb: Schauen Sie genau hin, von wem die E-Mail wirklich kommt.
  • Kennen Sie die Absenderin bzw. den Absender? Macht es Sinn, dass sie bzw. er Sie auf Ihre dienstliche E-Mailadresse anschreibt? Rufen Sie die Person an, wenn Sie sich nicht sicher sind.
  • Bewahren Sie Ruhe und reagieren Sie nicht überhastet, auch wenn es vermeintlich schnell gehen muss. Nehmen Sie sich die Zeit, um über die E-Mail nachzudenken.
  • Prüfen Sie die Links in der E-Mail, bevor Sie sie anklicken. Hierfür können Sie mit der Maus darüberfahren oder per Rechtsklick kopieren und zunächst in eine Suchmaschine einfügen.
  • Viele Phishing-Mails sind immer noch in schlechtem deutsch geschrieben und haben teilweise eine flapsige Anrede. Diese E-Mails sind nicht echt.
  • Wenn Sie einen Link zum Uni-Webmailer erwarten, sollte Ihnen keine Seite wie www.webhostapp000.com/uni-marburg/login angezeigt werden.
  • Öffnen Sie bekannte Webseiten über Lesezeichen in Ihrem Browser.

Ändern Sie sofort Ihr Passwort, wenn Sie bemerken, dass Sie Daten auf einer Phishing-Seite eingegeben haben.
Ansonsten gilt:

Ruhe bewahren & IT-Notfall melden.
Wenden Sie sich bitte an Ihre IT-Administration und/oder den unten genannten Kontakt.

Machine-translated english version

Beware of fraudulent phishing emails

This week alone, more than 700 phishing emails landed in the inboxes of members and associates of the Philipps University. The "quality" of the phishing emails varies greatly. The motto of the attackers: mass instead of class.

As always, you want to trick the attackers into entering your university account details on a fraudulent website. As an excuse, the scammers claim in the text of the email that, for example, the configuration of the mailbox has changed or the password has expired. Above you can find two examples for fraudulent mails that were recently sent.

A closer look (red markings) reveals that the e-mail was not sent from service facilities (e.g. HRZ) of the Philipps University, but from an external e-mail account. It is treacherous that your e-mail program often only shows the fake name (e.g. of the helpdesk) as the sender. Only by displaying the actual sender, for example in the e-mail header (accessible in Thunderbird with the key combination Ctrl+U), is it recognizable that the e-mail actually came from someone else. In addition, the link in the example below leads to a fraudulent, external website and not to the login page of a university service.

It is therefore all the more important that you take a close look at your emails:

  • Attackers usually forge their sender address, so take a close look to see who the email is really coming from.
  • Do you know the sender? Does it make sense that she or he writes to you on your official email address? Call the person if you are not sure.
  • Keep calm and don't react too hastily, even if you think it has to be done quickly. Take the time to think about the email.
  • Check the links in the email before clicking on them. You can move your mouse over it or right-click to copy and first paste it into a search engine.
  • Many phishing emails are still written badly and sometimes have a flippant salutation. These emails are fake.
  • If you expect a link to the university webmailer, you should not see a page like www.webhostapp000.com/uni-marburg/login.
  • Open well-known websites via bookmarks in your browser.

Change your password immediately if you realize you've entered information on a phishing site.
Otherwise applies:

Keep calm & report an IT emergency.
Please get in touch with your IT administration and/or the contact listed below.

Kontakt