Was tun im Fall des Falles? Informationen des ITSZ
Seit einigen Tagen läuft wieder eine SPAM/Phishing Welle – mehrere Nutzende informierten das ITSZ bereits – mit der versucht wird, Personen auf schadhafte Webseiten zu führen, wo sie Ihre Zugangsdaten eingeben sollen.
Wie erkenne ich solche Mails? Merkmale:
- diese Phishing Mails enthalten teils plausible oder echte Inhalte und Namen von tatsächlich an Ihrer Fakultät/Einrichtung agierenden Personen
- die E-Mailadressen der Absender sind dagegen aber völlig fremd (Vorsicht auf Mobilgeräten, die E-Mailadressen werden dort teils ausgeblendet!)
- es ist ein Link enthalten, der jedoch nichts mit der HTWK zu tun hat
- es ist ein PDF im Anhang (Bspw. „Y.pdf“) , worin irrelevanter Text und ein Button „Open“ (oder ähnlich steht) – dort ist ein schadhafter Link hinterlegt
Was mache ich, wenn …?
Wenn Sie einen solchen Link angeklickt oder eine solche PDF-Datei geöffnet haben:
- prüfen Sie Ihr Endgerät auf Schadsoftware bzw. wenden sich an den zuständigen Administrator Ihrer Fakultät oder an das ITSZ
Ich habe meine Zugangsdaten auf einer solchen Webseite eingegeben:
- ändern Sie Ihr Passwort im IDM Portal
- melden Sie sich beim ITSZ servicedesk (at) htwk-leipzig.de
Woher kommen die echten Mailinhalte?
- In den meisten Fällen stammen diese von kompromittierten Accounts, Unbefugte nehmen dann Zugriff auf Mailinhalte
- In der Vergangenheit wurden bereits Vorfälle bekannt, wo solche Mailinhalte über kompromittierte Systeme bei Partnerfirmen bzw. Dienstleistern erlangt wurden
- Bspw. eignen sich Mails, die vom Studierendensekretariat an einen ganzen Studiengang versandt wurden, sehr gut als Vorlage, um daraus weitere Phishing-Mails zu erzeugen
Wieso kommen solche Mails überhaupt in unseren Postfächern an und wieso werden solche Links nicht gesperrt bzw. von Antivirus-Software erkannt?
- viele SPAM- und Phishing-Mails werden erkannt, jedoch gibt es auch immer wieder Mails welche (noch) nicht maschinell erkannt werden können
- Ein Wettlauf mit der Zeit: In vielen Fällen können Sie den schadhaften Link bereits nicht mehr aufrufen, weil die Seite bereits offline genommen wurde oder von Sicherheitssoftware der Zugriff verhindert wird.