Der Absender bei dieser Phishing-Mail (Prof. Weinert) wurde willkürlich vom Angreifer gewählt. Dort könnte auch jeder andere Absender stehen (auch Präsident der Hochschule). Denn wie Sie wissen, stehen alle öffentlichen Informationen auch dem Angreifer zur Verfügung.
In dieser Mail gibt es mehrere Hinweise, die darauf hindeuten, dass es sich um eine Phishing-Mail handelt.
Absender [1] und Signatur [7] stimmen nicht überein (Weingarten vs. Weinert). Außerdem gibt es diese E-Mail-Adresse überhaupt nicht an der Hochschule 'montessori@ph-weingarten'.
Es wird Druck aufgebaut bzw. soll eine Handlung erzwungen werden (Betreff: „Warnung“)
Es wird auch hier Druck aufgebaut bzw. soll eine Handlung erzwungen werden (im Text der Satz: Sie können sonst keine Mails mehr empfangen oder senden.).
Der Angreifer verwendet eine schlechte deutsche Grammatik.
Die E-Mail ist nicht signiert. Es fehlt ein vom DFN hinterlegtes Nutzerzertifikat, das die Identität des Schreibers bestätigt. Eine signierte Mail erkennt man am roten Siegel und dem Text „Signiert von Musterperson“.
Wenn Sie mit der Maus über den Link gehen, ohne zu klicken, steht als Webseite „https://rodeli.com.mx“ Das ist keine Webseite der Hochschule Anhalt. Außerdem steht dort „Klick hier“ und nicht „Klicken Sie hier“. Das ist sehr inkonsequent, weil die ganze Zeit das „Sie“ verwendet wird.
Die genannte Person hat nichts mit dem IT-HelpDesk oder mit der IT der Hochschule zu tun. Die Adresse vom Helpdesk ist auch nicht Köthen.
Die Telefonnummer ist falsch. Wir haben hier in Köthen 03496 67… und nicht 03496 69. Außerdem gibt es auch nicht die Mailadresse 'admin@hs-anhalt..'. Das sind allerdings zwei Punkte, die nicht wirklich sofort offensichtlich sind.
Das Verwenden des Hochschullogos ist kein Vertrauensbeweis. Das kann jeder kopieren und in eine Mail einbinden.
Und selbst wenn Sie dem Phishing-Link gefolgt sind, ist es noch nicht dramatisch. Es wird erst dramatisch, wenn Sie auf der nachfolgenden Webseite „rodeli.com.mx" [10] ihre echten Daten in die Eingabemaske [12] eingeben. Auch das verwendete Copyright [11] ist kein Vertrauensbeweis. Die Merkmale sind im Bild noch einmal rot umrandet dargestellt.
"rodeli.com.mx" hat nichts mit der Hochschule Anhalt zu tun
Die Eingabemaske ist ein Fake. Unsere sehen anders aus.
Einen Copyright kann jeder einfügen. Das ist kein Vertrauensbeweis.
Die Eingabemasken der HSA für Passwortänderungen sehen aktuell so aus:
Und sind unter folgenden Adressen zu finden:
https://selfservice.hs-anhalt.de/
Wenn Sie jetzt in die Fake-Webseite Ihre Daten eingegeben haben, meldet sich im Hintergrund der Angreifer über Ihren OWA-Account (rechts) an und erstellt sofort eine Regel, die z. B. alle Posteingänge erst einmal in den Papierkorb schiebt. Jetzt hat der Angreifer Zugriff auf Ihr Email-Postfach und kann von dort aus, Massenmails versenden, Ihre Daten im Ihrem Postfach löschen, verändern oder einfach nur lesen. Vielleicht befindet sich die ein oder andere interessante Information dort, deren Verbreitung nicht erwünscht ist etc.
Beachten Sie jeden Maileingang mit einem kritischen Auge und klicken Sie erst auf Links oder angehängte Daten, wenn Ihnen die E-Mail plausibel ist.
Lust auf eine Phishing-Übung?
Mehr erfahrenMelden Sie Phishing-Mails!
Versenden Sie diese bitte ausschließlich als Anlage weiter. Wenn Sie nicht wissen, wie das geht, wenden Sie sich vorher an den/die zuständige/n Administrator/in in Ihrem Bereich. Ansonsten wird die Phishing-Mail im Netzwerk verteilt und die Gefahr erhöht, dass andere Mitarbeitende auf diese hereinfallen.
Haben Sie schon das neue Outlook-Add-in zum bequemen Melden von Phishing-Mails?
Sprechen Sie mit Ihrer/m betreuenden Administrator/in.