Gefährliche E-Mails erkennen

Die Universität Wien veröffentlich Ihre E-Mail-Adresse in einem öffentlichen Verzeichnis, wovon auch betrügerische Akteur*innen Gebrauch machen.

Diese Betrüger*innen versuchen, Sie dazu zu bekommen, ihnen Ihre Passwörter zu verraten, schädliche Software zu installieren, ihnen Geld zu überweisen oder auch einfach nur ihre Webseite zu besuchen.

Einige Betrugsversuche sind leicht als solche zu erkennen („Sie haben 100.000.000 EUR bei einem Preisausschreiben der ACME GmbH gewonnen! Senden Sie uns Ihre Kreditkartennumer, Ihre CVC-Nummer, das Ablaufdatum Ihrer Kreditkarte und Ihr Geburtsdatum BIS MORGEN!”). Das ist Absicht; die Betrüger*innen wollen, dass nur jene Personen antworten, die leichtgläubig genug sind, um ihre Tricks hereinzufallen.

Andere Betrugsversuche sind jedoch schwerer als soclhe zu erkennen, vor Allem jene, die darauf abzielen, Sie dazu zu bekommen, Ihr Passwort zu verraten oder schädliche Software zu installieren.

Deswegen haben wir Ihnen eine Checklist zusammengestellt, mittels derer Sie derartige E-Mails leichter erkennen können.

 

Checklist

Von wem ist die E-Mail?

Wenn Sie die Absender*in der E-Mail nicht kennen, seien Sie vorsichtig!

Wenn Sie bereits Verdacht geschöpft haben, nehmen Sie sich die Zeit zu prüfen, welchen Anliegen die Absender*in hat und ob es für diese Absender*in legitim ist, dieses Anliegen vorzubringen. Zum Beispiel: Wenn Sie ein E-Mail erhalten, das Sie, ob explizit oder implizit, dazu auffordert, sich auf einer Webseite der Universität anzumelden, prüfen Sie, ob es der Zentrale Informatikdienst (ZID) war, der dieses E-Mail geschickt hat. Sie können dies tun, indem Sie sich die Absendeadresse genauer ansehen. Nur wenn die Adresse mit „@univie.ac.at” endet und der Teil vor dem „@univie.ac.at” die Buchstaben „zid” enthält, ist die E-Mail wahrscheinlich vom ZID. Andersfalls handelt es sich um Betrug.

Prüfen Sie die Adresse genau! Eine Betrüger*in kann eine Absendeadresse wählen, die einer echten Adresse der Universität Wien sehr ähnlich sieht. Die Adresse kann beispielsweise auch auf „@univle.ac.at” oder „@univie.edu” enden. Wenn eine Absendeadresse einer Adresse der Universität Wien ähnelt, aber nicht exakt mit „@univie.ac.at” endet, handelt es sich jedenfalls um Betrug.

Der Umkehrschluss gilt aber nicht. Absendeadressen von E-Mails lassen sich fälschen. Außerdem gelingt es Hacker*innen immer wieder Zugang zu E-Mail-Accounts von Kolleg*innen an der Universität Wien zu erhalten.

 

Werde ich aufgefordert eine Webseite zu besuchen (auch implizit)?

Wenn die E-Mail sie auffordert, eine Webseite zu besuchen, oder etwas zu tun, das erfordert, dass Sie eine bestimmte Webseite besuchen, und nicht von jemanden ist, die/den sie kennen, dann ist diese E-Mail sehr wahrscheinlich betrügerisch.

Wieder, prüfen Sie ob die E-Mail von jemanden ist, die/der Sie dazu affordern darf, diese Webseite zu besuchen (siehe oben).

Prüfen Sie auch, ob das vorgebrachte Anliegen und die verlinkte Webseite zusammenpassen. Zum Beispiel, wenn Sie aufgefordert werden, eine Webseite der Universität Wien zu besuchen, dann muss der so genannte Domain-Teil der Adresse dieser Webseite, das ist der Teil zwischen „http://” oder „https://” und dem nächsten „/”, auf „.univie.ac.at” enden. Tut er das nicht, ist es keine Webseite der Universität Wien!

Wieder, achten Sie darauf, ob es sich um eine Adresse der Universität Wien handelt – oder nur um eine, die einer solchen ähnelt, etwa „.univle.ac.at” oder „.univie.info”.

Der Umkehrschluss gilt aber nicht. Auch diese Adressen lassen sich fälschen. Außerdem gelingt es Hacker*innen manchmal, wenn auch selten, Server im Netzwerk der Universität Wien zu übernehmen, sodass Sie Webseiten der Universität Wien einsetzen können, um Ihre Daten zu erschleichen.

Falls Sie eine solche Webseite aufgerufen haben (und Sie hätten das nicht tun sollen), sollte Ihnen auch auffallen, dass die Seite anders aussieht, als die Webseiten der Universität Wien, die Sie gewohnt sind. Auch das ist ein Warnsignal. Wieder, der Umkehrschluss gilt nicht. Wir haben schon gefälsche Webseiten gesehen, die man optisch nicht vom Original unterscheiden konnte. Wenn Sie Ihr Passwort auf einer betrügerischen Webseite eingegeben haben, ändern Sie es umgehend.

 

Werde ich aufgefodert, mich irgendwo einzuloggen (auch implizit)?

Wenn ja, ist dieses E-Mail sehr wahrscheinlich betrügerisch. Leider habe in letzter Zeit manche Firmen und Organisationen, allen voran Google, begonnen, Ihre Kund*innen und Mitglieder aufzufordern, Ihre Sicherheits- und Privatssphäreneinstellungen zu überprüfen. Dennoch, die meisten Organisationen, so auch die Universität Wien tun das niemals. Es gibt keinen technischen Grund, aus dem die Universität Wien, oder irgendeine Organisation, Sie auffordern würde, sich anzumelden um Ihr Konto „zu überprüfen”, „upzudaten”, „zu bestätigen” oder dergleichen. Achtung, ein E-Mail kann Sie auch auffordern, etwas zu tun, das erfordert, dass Sie sich einloggen, anstatt Sie explizit zu ein Login aufzufordern. Wenn Sie sich auf einer betrügerischen Webseite eingeloggt haben, ändern Sie Ihr Passwort umgehend.

 

Werde ich aufgefordert eine Beilage zu öffnen (auch implizit)?

Wenn das E-Mail nicht Teil einer laufenden Konversation ist, dann ist es nahezu sicher betrügerisch. Öffnen Sie niemals Beilagen wenn Sie eine E-Mail nicht erwartet haben oder Sie die Absender*in nicht kennen.

 

Behauptet das E-Mail besondere Dringlichkeit? Wird vor negativen Folgen bei Nicht-Handeln gewarnt?

Wenn ja, ist das E-Mail sehr wahrscheinlich betrügerisch. Betrüger*innen wollen Sie verunsuchern („Ihr Account wird abgeschaltet!”) und ein Gefühl der Dringlichkeit erzeugen („Wichtige Nachricht!”), damit Sie handeln ohne zu prüfen, ob die Anfrage überhaupt legitim ist.

 

Ist die Geschichte stimmig?

  • Werden Sie mit Namen angesprochen? (Und ist es Ihr Name?)
  • Verstehen Sie worum es in der E-Mail geht? (Oder wirft die Absender*in mit schwer verständlichen technischen Fachvokabeln um sich?)
  • Haben Sie eine derartige E-Mail erwartet?
  • Kennen Sie die Personen, die in der E-Mail erwähnt werden?

Wenn die Antwort auf mehr als eine dieser Fragen „Nein” ist, seien Sie misstrauisch! Wieder, der Umkehrschluss gilt nicht. Betrüger*innen nehmen sich auch oft die Zeit, eine stimmige Geschichte zu erfinden; sie können diese Geschichte auch auf Sie persönlich abstimmen.

 

Beispiele

Beispiel 1

Subject: DEANERY shared "schedule Oct-Dec(1).xls " with you.
Date: 14.10.2019 14:28
From: DEANERY <mallory@freemail.example>
To: "userID@univie.ac.at" <userID@univie.ac.at>

Here's the document that DEANERY shared with you.
This link will work for anyone.[1]

Links:
------
[1] https://evil.example/abc/12345

Fünf Dinge an dieser E-Mail sind auffällig:

  1. Das Betreff besagt, dass “Deanery” eine Datei mit Ihnen teilen möchte. (Die Betrüger*in hält das Wohl für das englische Wort für „Dekanat.”) Glauben Sie, dass die Kolleg*innen des Dekanats nicht wissen, wie ihre Abteilung heißt?
  2. Haben Sie eine E-Mail von “Deanery” erwartet? Stehen Sie gerade in Kontakt mit dem Dekanat?
  3. Die Abesonder*in behauptet “Deanery” zu sein, also Das Dekanat, aber “mallory@freemail.example” sieht nicht wie eine offizielle E-Mail-Adresse aus. Die Absender*in arbeitet sicher nicht für die Universität Wien.
  4. Die Absender*in spricht Sie nicht namentlich an.
  5. Die E-Mail impliziert, dass Sie eine Webseite aufrufen sollen, nämlich um die genannte Datei herunterzuladen. Diese Datei enthält wahrscheinlich schädliche Software.

Diese E-Mail ist ein gutes Beispiel für eine einfache Regel: Ignorieren oder löschen Sie E-Mails die (1) von Personen sind die sie nicht kennen, (2) die aus dem Nichts kommen, und (3) die Sie auffordern eine Beilage zu öffnen oder eine Webseite zu besuchen.

Example 2

Subject: CL meeting schedule.xlsx
Date: 16.10.2019 14:04
From: "Smith, Maria" <noreply@somecompany.example>
To: "userID@univie.ac.at"<userID@univie.ac.at>

Hi!
Thank you for offering to find rooms for me for this schedule.

I can eventually attached it!
https:‌//dw2.dropbox-eu.com/?abcdefghiklm123-userID@univie.ac.at-alongstringoflettersandnumbers

Thanks again
Maria

Dieses Beispiel ähnelt Beispiel Nr. 1. Eine E-Mail (1) von jemandem, die/den Sie nicht kennen, (2) die aus dem Nichts kommt und (3) die Sie auffordert, eine Datei herunterzuladen. (In diesem Fall ein Excel-Arbeitsblatt, das einen Makro-Virus enthält.) Achtung: Dass die Web-Adresse eine Universität-Wien-E-Mail-Adresse enthält heißt nicht, dass Sie legitim ist. „univie.ac.at” muss zwischen „https://” oder „http://” und dem ersten „/” stehen.

 

Im Zweifelsfall

Sie werden schon festgestellt haben, gibt es definitiven Kriterien. Wenn Sie unsicher sind, kontaktieren Sie gerne den IT-Support.