Phishing-Mails: Ist die E-Mail wirklich von der JGU?

Im Zeitalter der Digitalisierung werden immer mehr postalische Informationen schneller und bequemer per E-Mail verschickt. Verstärkt durch die Corona-Pandemie und die vergangenen Online-Semester erhalten auch Studierende der JGU die meisten für sie relevanten Daten, Links, Benachrichtigungen und Informationen per E-Mail:

Während der Anmeldephase für neue Seminare und Vorlesungen, sowie kurz vor Beginn des neuen Semesters, ploppen fast täglich E-Mails mit einem der Absender der Universität in den Postfächern der Studierenden auf. Nun warnt jedoch der IT-Security-Bereich der JGU Mainz davor, dass gerade dies verlockend für Hacker und Online-Straftäter sei. 

Phishing-Mails: Was, wer, wie, wo?

Das ist im ersten Moment kein Grund zur Besorgnis, denn: E-Mails der JGU sollten weiterhin geöffnet werden, in den meisten Fällen beinhalten sie schließlich wichtige Informationen für die Adressierten. Darüber hinaus gilt: Eine Phishing-Mail ist nicht selbst gefährlich. Wenn man nur die E-Mail öffnet, öffnet man dem oder der Hacker:in noch nicht die Tür.

Diese ködern ihre Opfer mit authentisch wirkenden Mails, um sie dann dazu zu bringen, auf Links im Text oder auf Dateianhänge zu klicken. Diese sind erst die wirklichen Fallen: Hier können private Daten, wie in den momentanen Fällen Zugänge zu Websites der JGU, abgefragt werden oder Viren auf den Computer übergehen, die dann genau das tun, was kein Computer-Besitzer möchte: Sie kopieren sensible Dokumente und Dateien auf dem Rechner, fangen Pass- und Kennwörter ab, um damit selbst kostspielige Einkäufe zu erledigen, oder sie verschlüsseln private Dateien und fordern Geld, um sie wieder freizugeben.  

Diese E-Mails nennt man Phishing-Mails. Der Name ist hierbei ein Neologismus vom englischen Wort "fishing", also Angeln, weil mithilfe der Mails Informationen wie z.B. Passwörter vom Computer "geangelt" werden. Die Vertauschung des Anfangsbuchstaben F mit Ph ist gängig im Ausdrucksstil von Hackern. 

Wie kann man Phishing-Mails erkennen?

Diese Frage ist auch Gegenstand des Rundschreibens der JGU, in dem zwei Videos mit Informationen dazu von der Forschungsgruppe Security-Usability-Society (SECUSO) des Karlsruher Instituts für Technologie verlinkt sind.  

Das Wichtigste in Kürze: Wenn der Absender von einer Organisation stammt, mit der man nichts zu tun hat, dann ist der Fall klar und die E-Mail kann im Mülleimer landen. Doch wenn es sich dabei um eine scheinbare E-Mail der eigenen Universität handelt, ist dies nicht ganz so einfach. Wenn nicht nur der Name stimmt, sondern auch Logos und Dateianhänge authentisch erscheinen, muss man als Nutzer genauer schauen. Dies beginnt beim Absender und seiner E-Mail-Adresse und endet beim Dateianhang oder einem Link, den man anklicken soll.  

Bei ersterem kann bereits das Format Aufschluss bieten: Besonders "ausführbare" Anhänge wie .exe, .zip, .pif, die ein Software-Programm (ggf. einen Virus) starten oder einen Code ausführen sollen, sind klassische Fallen. Bei Word-Dateien, meist mit der Endung .doc, erscheint nach dem Öffnen oft ein neues Tab, das ein bestimmtes Skript, bei dem es sich ebenfalls um einen Virus handeln kann, ausführen will.

Manchmal sind Hacker noch gerissener und benutzen lange Dateinamen, sodass die Endung gar nicht zu erkennen ist oder sie kombinieren eine vertrauenserweckende Endung mit .exe, sodass die Nutzer keinen Verdacht schöpfen.  

Ähnliches gilt auch für Links in E-Mails: Wenn der Curser über die Verknüpfung gehalten wird, ohne darauf zu klicken, erscheint darüber oder am unteren Ende des Bildschirms der gesamte Link. Dieser sollte zusätzlich auf falsche, leicht übersehbare Schreibfehler untersucht werden. Darüber hinaus ist es wichtig zu wissen, dass erst der letzte Seitenname vor dem letzten Schrägstrich bzw. Slash die tatsächliche Seite ist. Selbst wenn am Anfang eine bekannte Seite steht, sollte man den Link bis zum Ende lesen.  

Im Zweifelsfall gilt: Datei oder Link lieber nicht öffnen – die eigenen Dateien sind letztlich wichtiger. Sobald Zweifel bestehen, sollten diese ernst genommen werden. Notfalls kann man auch telefonisch erfahren, ob die E-Mail authentisch ist. Wichtig ist hierbei noch zu erwähnen, dass man nicht auf eine entsprechende E-Mail antworten sollte, denn auch der Absender selbst kann eine Virus-Falle darstellen.

Was sagt die JGU zu dem Problem?

Das Problem für die IT-Security der JGU liegt in der unüberschaubaren und unkontrollierbaren Menge an Phishing-Mails, welche an die Adressat:innen verschickt werden: Schätzungen zufolge sind es mehr als hundert Mails, die täglich in den Postfächern landen – die Dunkelziffer ist noch um einiges höher. Jeden Tag tauchen neue Phishing-Mails auf und immer neue Benutzer:innengruppen werden angeschrieben. Da die Mails keinen einheitlichen Inhalt besitzen und regelmäßig die Formatierungen, sowie die Mailadressen der Absender:innen verändern, können sie nur schwer abgefangen oder zurückverfolgt werden.

Helmut Zengerling, der zuständige Mitarbeiter der IT-Sicherheit, vergleicht die Phishing-Mails über das E-Mail-Konto der JGU mit gefälschten E-Mails von Unternehmen wie Amazon oder PayPal, die an Privatpersonen verschickt werden. Oftmals geht es um angeblich volle Mail-Ordner und Konten, die nur durch einen mitgeführten Link wieder freigeschaltet werden können. Dabei seien die "Websites, auf die die Links verweisen, mehr schlecht als recht gestaltet. Oft weisen sie keinerlei Ähnlichkeiten mit offiziellen Seiten der Universität auf, nur manche besitzen wenigstens das kopierte Logo der JGU."

Die Hacker selbst machen sich keine große Mühe beim Erstellen der entsprechenden Links: "Bereits beim Drüberscrollen über den Link wird eindeutig, dass es sich um keine offizielle Adresse handelt." Die einzige Hoffnung: Nutzer:innen müssten für den Umgang mit Mails sensibilisiert werden.

Sicherheit könne nur dann gewährleistet werden, wenn man von selbst misstrauisch werde und beispielsweise erkenne, dass das ZDV niemals Mails mit dem Wortlaut "Ihr Account wird gesperrt, klicken Sie daher auf diese Seite" verschicke. Der wichtigste Schutz sei daher, "nicht auf Links in E-Mails zu klicken und keine Benutzerdaten auf irgendwelchen Seiten, auf die die Mails verweisen, anzugeben."