In diesem Artikel wird erklärt, was verdächtige E-Mails sind, wie Sie sie erkennen können und welche Möglichkeiten Sie haben dagegen vorzugehen.

1. Verdächtige E-Mails
   1. Spam-Mails
   2. Phishing-Mails
   3. E-Mails mit Schadprogrammen (Malware)
   4. Hoaxes
2. Vorgehen bei verdächtigen E-Mails
   1. Erkannte verdächtige E-Mails
   2. Fälschlich erkannte E-Mails
   3. Unerkannte verdächtige E-Mails
3. Vorgehen bei kompromittierten Accounts und Geräten
   1. Kompromittierte Accounts
   2. Kompromittierte Geräte

1. Verdächtige E-Mails

 

Sie sollten unter keinen Umständen Links in einer verdächtigen E-Mail anklicken oder Anhänge öffnen.

Wenn Sie auf einen Link geklickt haben, oder einen Anhang geöffnet haben, besteht die Gefahr, dass Ihr Gerät oder Ihre Accounts kompromittiert sind. Führen Sie in diesem Fall bitte unverzüglich die Maßnahmen für kompromittierte Accounts und Geräte aus.

Sollten Sie sich nicht sicher sein, ob eine E-Mail vertrauenswürdig ist, sollten Sie diese mit besonderer Vorsicht behandeln.

Anhaltspunkte für eine verdächtige E-Mail sind:

• Markierung als Spam vom E-Mail-Programm oder im Betreff
• Unklarer Absender
• Anrede mit einem Benutzernamen, einem generischen oder falschen Namen
• Unerwünschte oder unerwartete E-Mail
• Unerwartete Anhänge (Besonders bei Datei-Endungen wie .zip / .rar / .tar.gz / .7z / .exe / .bat / .com / .cmd / .scr / .pif)
• Fehlende E-Mail-Signatur bei E-Mails von offizieller Stelle
• Formatierungs- und Rechtschreibfehler
• Unstimmigkeiten
• Sie werden zu einer Zahlung aufgefordert (z. B. Geschenkkarten kaufen, Rechnung)
  • E-Mails, die hierbei Vorgesetzte imitieren, sind als "CEO Fraud" bekannt
  • Fake-Konferenzen können nach Anmeldegebühren oder Abstracts fragen
• Links in der E-Mail, über die Sie sich anmelden sollen
• Fragen nach Zugangsdaten, persönlichen Daten oder anderen sicherheitsrelevanten Informationen
• Es wird Druck aufgebaut (z.B. durch Fristen, Zahlungsforderungen oder durch Beschuldigungen)
• Sie werden zur Geheimhaltung aufgefordert oder es wird eine Rücksprache mit dem vermeintlichen Absender untersagt
• Die Absenderadresse oder Links enthalten verdächtige Zusätze, insbesondere am Anfang der Adresse/des Links
• Es wird eine nicht sichere Webseite verlinkt. Diese Warnung wird Ihnen links neben der Adresse in Ihrem Browser angezeigt. Bitte klicken Sie im Zweifelsfall keine Links in der E-Mail an, auch nicht probeweise!

I. Spam-Mails

Spam ist eine allgemeine Bezeichnung für unerwünschte, belästigende E-Mails, die an viele Empfänger gesendet werden. Spam-Mails können einfache Werbe-Mails oder Hoaxes sein, es kann sich aber auch um Phishing Versuche handeln und um E-Mails die Schadprogramme (Malware) enthalten. Es ist möglich, dass mehrere Begriffe gleichzeitig auf eine E-Mail zutreffend sind.

Unabhängig vom Inhalt einer solchen E-Mail haben die Versender meist keinerlei Verbindung zu den E-Mail-Konten bei denen solche Spam-Mails ankommen. Ein kommerzieller Spammer führt oft Datenbanken mit teilweise mehreren Millionen Adressen. Diese können z. B. durch das gezielte (mit einem Programm automatisierte) Absuchen von Newsgroups, Homepages oder E-Mail-Verzeichnissen, aber auch durch Durchprobieren gängiger Adressen gefunden werden. Das Versenden der E-Mails funktioniert ebenfalls automatisch. Da der Versand von E-Mails fast nichts kostet, spielt es keine Rolle, wenn viele Adressen ungültig sind.

Kommerzieller Spam wird immer in Auftrag gegeben. Der Auftraggeber möchte durch die Spam- oder Werbe-Mails erreichen, dass beispielsweise eine Web-Seite besucht wird oder dass seine Hotline angerufen wird.

Viele Spam-Mails an RWTH-E-Mail-Adressen werden automatisch gefiltert. Die am IT Center eingesetzte Software zur Spam-Erkennung erkennt über 90% der von außen ankommenden Spam-Mails als Spam.

• Viele von außen ankommenden Spam-Mails werden gar nicht erst entgegengenommen
• Die am IT Center eingesetzte Software zur Spam-Erkennung markiert erkannte Spam-Mails und E-Mails, die Malware enthalten:
  • Der Anfang der Betreffzeile von Spam-Mails wird mit "*****SPAM*****" ergänzt
  • Der Anfang der Betreffzeile von E-Mails die Malware erhalten wird mit "***** VIRUS REMOVED / ENTFERNT *****" ergänzt
• E-Mail-Clients bewegen je nach Einstellungen E-Mails in einen Spam-Ordner

Es ist dennoch unvermeidbar, dass einige Spam-Mails erst einmal unerkannt bleiben. Weiterhin ist es schwierig, gezielte Phishing Versuche zu filtern.

II. Phishing-Mails

Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Leider ist es sehr einfach einen legitimen Absender zu imitieren und es könnte sogar der tatsächliche Account des Absenders kompromittiert worden sein.

In der Regel zielen diese E-Mails auf die Zugangsdaten zu Accounts ab, damit diese gekapert werden können. Phishing-Angriffe können auch versuchen, allgemeinere Information herauszufinden, um gezieltere Phishing-Angriffe vorzubereiten oder dazu auffordern, Zahlungen zu tätigen oder Schadprogramme auszuführen.

III. E-Mails mit Schadprogrammen (Malware)

Schadprogramme sind Programme wie ein Computer-Virus, die unerwünschte Funktionen auf einem Gerät ausführen. Diese können unter anderem Schaden verursachen (bspw. Ransomware), Informationen ausspionieren oder Sicherheitssoftware kompromittieren, um weitere Angriffe vorzubereiten. Eine gängige Methode, um Schadsoftware zu verbreiten, ist als Anhang zu einer E-Mail, es geht aber auch eine Gefahr von Links zu virenbeladenen Webseiten aus. Schadprogramme können sich über Netzwerke auf mehrere Geräte verbreiten, nachdem ein erstes Gerät infiziert wurde.

IV. Hoaxes

Hoaxes sind eine böswillige Form von Spam, die versucht den Empfänger durch Social Engineering zu bestimmten Handlungen zu manipulieren, unter anderem, dass sie die Hoax weiter verbreiten. Oft handelt es sich um einen bösen Scherz und es muss keine technische Gefahr von diesen E-Mails ausgehen. Dafür ist die Verbreitung aber trotzdem ärgerlich. Der Begriff beinhaltet falsche Warnungen die darauf, hinauszielen möglichst weitverbreitet zu werden, E-Mails von vermeintlichen Prinzen, die mit einer Überweisung Hilfe brauchen, aber auch glaubhaftere Phishing-Mails, die von legitimen Empfängern weiter verbreitet werden wollen.

2. Vorgehen bei verdächtigen E-Mails

Das Vorgehen bei einer verdächtigen E-Mail hängt von der Art der E-Mail ab.

I. Erkannte verdächtige E-Mails

E-Mails die mit "***** SPAM *****" markiert sind:

• Alle E-Mails, die die RWTH Aachen erreichen, werden auf Spam-Mails überprüft.
• Wenn eine entsprechende E-Mail entdeckt wird, wird der Text "***** SPAM *****" vor dem eigentlichen Text der Betreffzeile eingefügt.
• Es sind keine weiteren Schritte erforderlich, solange Sie nichts Weiteres mit der E-Mail machen, außer sie zu löschen. Die E-Mail wurde vom System schon als Spam erkannt und gekennzeichnet.

E-Mails die mit "*****VIRUS REMOVED / ENTFERNT*****" markiert sind:

Alle E-Mails, die die RWTH Aachen erreichen, werden auf virulente Attachments (E-Mail-Anhang) überprüft. Das gleiche gilt für E-Mails, die die RWTH Aachen über den Server relay.rwth-aachen.de, relay-auth.rwth-aachen.de oder smarthost.rwth-aachen.de verlassen.
Wenn verdächtiger Code in einem Attachment entdeckt wird, wird dieses Attachment durch folgenden Text ersetzt:

  This attachment contained a virus and was stripped.

• Filename: Dateiname
• Content-Type: Dateitype
• Virus(es): Virentyp und Name

Zusätzlich wird, am Anfang der Betreffzeile, der Text:  "***** VIRUS REMOVED / ENTFERNT *****" eingefügt.
Es sind keine weiteren Schritte erforderlich, solange Sie nichts Weiteres mit der E-Mail machen, außer sie zu löschen.

II. Fälschlich erkannte E-Mails

Fälschlich erkannte E-Mails oder auch "False positives", also E-Mails, die fälschlicherweise als SPAM markiert wurden, können Sie melden, indem Sie sie als Anhang an folgende Adresse weiterleiten: ham@access.ironport.com

Nach erfolgreicher Meldung sollte die Absender-E-Mail-Adresse dann freigeschaltet werden und zukünftige E-Mails dann wieder normal bei Ihnen ankommen.

Bitte beachten Sie bei der Weitergebe von Informationen an diese externe E-Mail-Adresse ggf. vorhandene Geheimhaltungsverträge (NDAs) sowie datenschutzrechtliche Vorgeben, die einer Weitergabe von Informationen entgegenstehen können.

Zusätzlich kann es sinnvoll sein die Einstellungen für den Spam-Ordner im verwendeten E-Mail-Client oder der RWTH MailApp anzupassen. Die Anweisungen dazu finden Sie in der folgenden Anleitung.

III. Unerkannte verdächtige E-Mails

Unerkannte Spam-Mails:

• Wenn Sie eine verdächtige oder unerwünschte E-Mail erhalten, die nicht vom System erkannt und markiert wird, sollten Sie diese melden.
• Es ist wichtig, dass die ursprünglich Spam-Mail als Anhang (hier reicht eine einfache Weiterleitung nicht aus!) an spam@access.ironport.com.
  • Die E-Mail-Adressen sollten dann vom Spamfilter (Ironport) gesperrt werden / ankommenden E-Mails sollten mit “***** SPAM *****” makriert werden.
  • Das selbstständige Melden durch Nutzende ermöglicht es solche Mails schneller flächendeckend zu erkennen und den Spamfilter (Ironport) zu verbessern.
• Bei Spam-Mails wie Hoaxes oder Werbe-Mails, von denen keine technische Gefahr ausgeht, sind nach der Weiterleitung keine weiteren Schritte erforderlich. Die E-Mail kann gelöscht werden.

Unerkannte Phishing-Mails oder unerkannte Mails mit enthaltenem Virus:

• Unerkannte böswillige E-Mails wurden in aller Wahrscheinlichkeit als Spam an mehrere Empfänger versendet.
• Es ist möglich, dass einige Empfänger auf die E-Mail hereingefallen sind, also melden Sie bitte solche E-Mails frühzeitig an das IT-ServiceDesk, um den Schaden zu begrenzen.
  • Bitte senden Sie hierzu die ursprüngliche böswillige E-Mail als Anhang (eine einfache Weiterleitung reicht für diese Zwecke nicht aus!) an servicedesk@itc.rwth-aachen.de UND an spam@access.ironport.com.
  • Die E-Mail kann dann analysiert werde und es können Gegenmaßnahmen eingeleitet werden.
• Sollte in der verdächtigen E-Mail eine ältere E-Mail zitiert werden, leiten Sie uns bitte zusätzlich auch die originale E-Mail als Anhang (eine einfache Weiterleitung reicht für diese Zwecke nicht aus!) an servicedesk@itc.rwth-aachen.de weiter.
  • Teilen Sie uns bitte darüber hinaus das Versanddatum und den Adressatenkreis dieser E-Mail mit. Das erleichtert uns die Analyse möglicher Leaks von Postfächern.

3. Vorgehen bei kompromittierten Accounts und Geräten

Sofern eines der nachfolgenden Szenarien bei Ihnen zutrifft, oder Sie generell die Befürchtung haben, dass ihr Gerät kompromittiert ist, führen Sie sämtliche nachfolgende Schritte für kompromittierte Accounts und Geräte durch.

• Wenn Sie Anmeldeinformationen auf einer Phishing-Webseite eingegeben oder auf andere Wege geteilt haben, könnte Ihr betroffener Account kompromittiert worden sein.
• Beim Ausführen von böswilligen Dateien oder verlinkten Webseiten besteht ebenfalls die Gefahr, dass Ihr Gerät kompromittiert worden ist.
• Falls Sie auf eine Spam- / Phishing-Mail oder einen Hoax hereingefallen sind und Links oder Dateien geöffnet haben, kann ihr Account oder Gerät kompromittiert worden sein.
• Wenn Accounts ohne Ihr Wissen kompromittiert wurden, können diese Accounts wegen verdächtigem Verhalten vom IT Center gesperrt werden.
• Wenn ein Gerät ohne Ihr Wissen kompromittiert wurde, können Sie eine Virenwarnung vom IT-ServiceDesk bekommen und es können Ihre Accounts vom IT Center gesperrt werden.

Anmerkung: Mails von der eigenen Adresse

Absende Adressen und Headerzeilen können leicht gefälscht werden. Die Absenderadresse ist im Simple Mail Transfer Protocol (SMTP) ein Freitextfeld. Das SMTP als solches enthält keine Sicherheitsmaßnahmen, um die Authentizität der eingegebenen Adresse sicherzustellen. Daher können Spammer jede beliebige Absenderadresse verwenden, ohne dass der Mail-Account des vermeintlichen Absenders kompromittiert sein muss.

In einigen Fällen werden Phishing-E-Mails mit dem Empfänger als Absender versendet, um vorzutäuschen, dass die Spammer Zugang zum Postfach oder Rechner haben (z.B. um den Empfänger zu erpressen). Falls Sie oder jemand in Ihrem Umfeld also eine verdächtige E-Mail mit Ihrer Absenderadresse erhalten hat, muss dies also nicht bedeuten, dass Ihr Mail-Account kompromittiert ist. Der tatsächliche Absender kann anhand der Headerzeile ermittelt werden. Bitte senden Sie diese E-Mails im Zweifelsfall als Anhang (hier reicht eine einfache Weiterleitung nicht aus!) an servicedesk@itc.rwth-aachen.de für eine Analyse. Wir würden empfehlen vorsichtshalber trotzdem die nachfolgenden Schritte durchzuführen.

I. Kompromittierte Accounts

• Ändern Sie die Kennwörter für die betroffenen Accounts:
  • Benutzen Sie dafür ein anderes Gerät, dass nicht kompromittiert ist, bzw. nicht kompromittiert werden konnte
  • Benutzen Sie niemals Links, um Kennwörter zu ändern, die Ihnen ungefragt zugesendet wurden.
• Informieren Sie das IT-ServiceDesk indem Sie den Sachverhalt schildern und die verdächtige E-Mail als Anhang an servicedesk@itc.rwth-aachen.de weiterleiten. Eine einfache Weiterleitung reicht hier nicht aus!

II. Kompromittierte Geräte

• Kontaktieren Sie unverzüglich das IT-ServiceDesk für weitere Hilfe:
  • Leiten Sie die verdächtige E-Mail als Anhang an servicedesk@itc.rwth-aachen.de weiter und schildern Sie den Sachverhalt
  • Das IT-ServiceDesk kann Ihnen bei der Virenentfernung helfen
• Es wird der Virenscanner 'Sophos Anti-Virus' kostenlos für Einrichtungen und Angehörige der RWTH Aachen und der FH Aachen zur Verfügung gestellt.
  • Der Download muss aus dem Hochschulnetz erfolgen
• Die Software Malwarebytes kann kostenlos genutzt werden
• Der Virus kann sich auf mehrere Geräte in Ihrem Netzwerk verbreitet haben, also sollten Sie diese auch überprüfen

• Weitere Informationen zu Spam:
  • http://hoax-info.tubit.tu-berlin.de/software/spam.shtml
  • http://de.wikipedia.org/wiki/Spam
  • CEO Fraud: Wenn „Vorgesetzte” Geld fordern
  • Social Engineering – oder: Wie wir ausgetrickst werden
  • Sicherheit geht vor: Vorsicht vor Phishing Mails mit RWTH Namen!
  • Phishing-Attacke auf RWTH-E-Mail-Accounts: Datenklau -Nicht mit uns!
• Erläuterung Statistiken zum Spamfilter
• Einstellungen für den Spam-Ordner
• Vorgehen bei deaktivierten VPN Accounts