Zentraler Informatikdienst der TU Wien
> Zum Inhalt

Phishing

Was ist Phishing?

Wer kennt sie nicht, die E-Mails in der Inbox, die von der "letzten Chance" verkünden, den eigenen Account vor einer Löschung bewahren wollen oder unverblümt zwecks "Verifizierung" nach Kreditkartennummer, Kontodaten und sogar Bank-TANs fragen, ja sogar fordern. Abgesendet scheinen diese E-Mails von vermeintlich vertrauenswürdigen Quellen bzw. geben sie sich mehr oder weniger Mühe, den Anschein dazu zu erwecken.

Allen gemeinsam ist im Wesentlichen die Frage nach sensiblen Informationen und Daten. Sie können schlussendlich in Missbrauch oder Diebstahl von Mailkonten, Portalkonten,  Bankkonten und Kreditkartenkonten oder anderen schützenswerten oder wertvollen Dingen münden.

Welche Spielvarianten von Phishing treten auf?

  • Man wird aufgefordert, "Mailkontendaten", "Zugangsdaten von Sozialen Netzwerken" o.dgl. unter dem Vorwand von knappem Speicherplatz, Datenreorganisation, Wartungsarbeiten etc. zu übermitteln oder auf gefälschten Seiten einzugeben. Ziel: Der Missbrauch des Mailkontos, um Spams zu versenden oder andere illegale Aktionen zu verschleiern.
  • Aufforderungen, "Bankdaten" wie Kontonummer, Zugangsdaten von Webshops und Bezahldienstleister (typisch Paypal), Kreditkartennummer oder sogar TANs zwecks Verifikation infolge eines vorgeschobenen Problems bekannt zu geben. Ziel: Bereicherung.
  • Aufforderungen, über einen Link eine Website anzusteuern oder einen Anhang anzuklicken, die das Ziel haben, den Arbeitsplatz-PC zu infizieren oder unter fremde Kontrolle zu bekommen. Ziel: Missbrauch des PCs und Eindringen in die Privatsphäre der Benutzer, Ausspähen von beliebigen Informationen.

Gestaltungen

In der Aufmachung und dem Aufbau verfolgen Phishing-Mails unterschiedliche Ziele:

  • Primitives Formular ist in der E-Mail vorgegeben, muss ausgefüllt werden und als E-Mail zurückgesendet werden.
  • Ein Link in der E-Mail gibt vor, auf die Web-Site des Mail- oder Bankdienstleisters zu führen, tut es aber nicht, sondern das Ziel ist einer bösartige Web-Site, die einfach nur die Daten für den Missbrauch sammelt.
  • Die E-Mail enthält bereits einen derart hochgefährlichen, brisanten Inhalt, der bereits einen Fehler der HTML-Darstellung im Mailprogramm oder des zuhilfe genommenen Web-Browsers ausnützt, mitunter sogar ohne eventuell vorhandene Virenscanner zur Alarmierung zu bewegen! Hier liegt faktisch schon eine Infektion durch einen Virus oder ein "Trojaner" vor!
  • Irgendwelche Anhänge bzw. Attachments enthalten ein Office-Dokument oder ein PDF oder eine HTML-Seite, welche mitunter eine infizierende Wirkung auf den Arbeitsplatz-PC hat und das Ziel hat, den PC unter Kontrolle zu bekommen. Auch hier kann trotz eines installierten Virenscanners eine Alarmierung, hervorgerufen durch den Schadcode, unterbleiben, da dieser womöglich sogar einfach aus dem Internet unbemerkt nachgeladen wird.

Umgang und Meldung

Sollte es Zweifel an der Echtheit einer vorgeblich "offiziellen" E-Mail geben oder der Zweck einer E-Mail im Dunkeln liegen bzw. unklar sein, dann empfiehlt sich folgende Vorgangsweise:

  1. Erkennen, analysieren und bewerten, ob es sich überhaupt um Phishing handelt, mit Hilfe der Merkmale und Hinweise gemäß Punkt  "Merkmale von Phishing-Aktivitäten" oben.
  2. Im Zweifelsfall überprüfen, ob schon gleiche oder ähnliche Phishing-E-Mails an der TU Wien bekannt sind (siehe "Aktueller Status" weiter unten) bzw. vielleicht sogar der gleichen "Welle" entstammen.
  3. Nur für TU-Mitarbeiter und Personen der TU-Studentenschaft: Melden des Vorfalls an phishing@tuwien.ac.at mit einer Kopie der Phishing E-Mail, zumindest als Weiterleitung, besser mit einer Umleiten- oder Redirect-Funktion, um auch die Details der Kopfzeilen offen zu legen (eventuell die Kopfzeilen je nach Mailprogramm separat "freilegen" und übermitteln).
  4. Phishing Mail isolieren (löschen, abspeichern) und darauf achten, dass keinerlei Anhänge, Links angeklickt werden oder die Anwortfunktion zum Tragen kommt!

Die Meldung ist ein wichtiger Schritt, da dies die Grundlage für Gegenmaßnahmen aktueller oder zukünftiger, meist ähnlicher Aussendungswellen ist. Betroffen sind üblicherweise nur einige Dutzend bis wenige Hunderte Empfänger, bei weitem jedoch nicht alle.

Bitte Melden Sie eine Vorfall an ihren jeweiligen E-Mail- oder Internet-Provider bzw. an jene FIrma oder Organisation, die hier gefälscht wird.
Nur wenn Sie dem Personal oder dem studentischen Kreis der TU Wien angehören:

  • Ansprechpersonen für Beratung und Meldung zum Thema Phishing und E-Mail-Missbrauch: Johann Klasek, DW 42049 oder
  • per E-Mail an security@tuwien.ac.at wenden (hier nicht die Phishing-Nachricht selbst oder Fragmente davon mitschicken oder wenn wirklich nötig, dann stets in einem Dateiarchiv - z.B. ZIP o.ä. - verpacken).

Erkennen anhand von typischen Merkmalen

Beispiel:

  • Der Betreff (Markierung "A") zeigt vielleicht schon eine Spam-Markierung "[SPAM?]" durch das Mailspammarkierungssystem der TU Wien. Spam- oder Phishing-Kriterien weisen die E-Mail bereits als verdächtig aus.
  • Die Absenderadresse (Markierung "B"), die bekanntlich beliebig fälschbar ist, stellt sich als reale, aber oft auch als Fantasie-E-Mailadresse (z.B. "zid@tuwien.ac.at") heraus. Je nach Art der Phishing-Mail, ist der Absender oder die Antworten-An-Adresse ein TU-fremde Adresse und nützt die Eigenschaft von Mailprogrammen (wie etwa Outlook) aus, dass als Realname eine TU-artige E-Mailadresse dargestellt wird, aber dahinter eine fremde E-Mailadresse verborgen ist.
  • Die Anrede ist hölzern, seltsam, unpersönlich und im Sprachgebrauch eher unüblich (Markierung "C"). So wird man z.B. als "Abonnent", "User", "Kontoinhaber" oder dgl. tituliert.
  • Der Text liegt in schlechtem Englisch oder noch schlechterem (weil automatisch übersetzten) Deutsch bzw. in einer Mischform vor. Eine Form, die sich offizielle Stellen der Universität nie erlauben würden.
  • Im Text (Markierung "D") zieht ein anklickbarer Weblink seine Aufmerksamkeit an sich und ist mit einer mehr oder weniger eindringlichen Aufforderung unterlegt etwas "zu tun" - nur durch das Darüberwandern lassen des Mauszeigers sollte das reale Ziel - nicht auf *.tuwien.ac.at endend - offenkundig werden (meist in der Fußzeile des Fensters angezeigt).
  • Die Zeichensetzung und Formatierung (Markierung "E") ist für z.B. Deutsch ungewöhnlich oder einfach über weite Strecken falsch oder fehlerhaft (z.B. die Umlaute und das ß werden gar nicht richtig dargestellt oder sind in Umlautschreibweise angeführt.
  • Die Grußformel (nach Markierung "E") entspricht nicht den "lokalen" Gepflogenheiten der Wortwahl, ist falsch übersetzt und ortsunüblich.
  • Eine Signatur (Markierung "F") bemüht sich, der E-Mail einen offiziellen Hauch zu vermitteln, scheitert aber an der Verwendung von im Universitätsbereich nicht verwendeten "Copyright"-Symbol, falsche Zeichen bei Umlauten und sonstigen Falschangaben (die erkennen lassen, dass diese aus dem Web kopiert wurde, wie z.B. die "Impressum"-Angabe).

Je mehr dieser Indizien zutreffen, desto eher dürfte sich die E-Mail als Phishing-Mail herauskristallisieren.

GANZ WICHTIG: Inhaltlich wird von Seiten der offiziellen Einrichtungen und Stellen der TU Wien *niemals* ein Passwort im Klartext verlangt, schon gar nicht auf dem Wege unverschlüsselter E-Mails. Gegebenenfalls sind wohl Links auf einschlägige ZID-Seiten in E-Mails enthalten, allerdings sollte man im Zwiefelsfall die ZID-Webseiten über die manuelle Eingabe in der Adressleiste oder über die Bookmarksammlung ansteuern.

Woran erkennt man offizielle Aussendungen

Leider gibt es derzeit noch keine eindeutige Überprüfungsmöglichkeit der Authentizität des Absenders von den offiziellen Stellen an der TU, wie dies etwa mit E-Mail-Signaturen (z.B. SMIME oder PGP) prinzipiell möglich wäre. Daher bleibt vorerst bis auf Weiteres nur der genaue Blick auf die "Innereien" einer E-Mail, um dies abschätzen zu können:

  1. Die Detailansicht der Kopfzeilen (wenn erst einmal sichbar gemacht) zeigen in den "Received:"-Zeilen nur Serveradressen aus dem Bereich des TUNET, namentlich üblicherweise auf "tuwien.ac.at" endend.
  2. Die Absenderadresse (From:) oder Antworten-An-Adresse (Reply-To:), zeigt im Adressteil eine auf auf tuwien.ac.at endende Adresse (aber  nicht im Namensfeld!).
  3. Etwaige vorkommende URIs verweisen real auf DNS-Domains endend auf tuwien.ac.at.
  4. In den meisten Fällen, ist die E-Mail persönlich adressiert und sollte daher auch im Empfänger-Feld (To:) den eigenen Namen enthalten. Wenn hier mehrere unterschiedliche Adressen anderer Leute an der TU Wien angeführt sein sollten, ist die E-Mail wahrscheinlich *nicht* offiziellen Ursprungs.