Sie sollten unter keinen Umständen Links in einer verdächtigen E-Mail anklicken oder Anhänge öffnen.

Wenn Sie auf einen Link geklickt haben, oder einen Anhang geöffnet haben, besteht die Gefahr, dass Ihr Gerät oder Ihre Accounts kompromittiert sind. Führen Sie in diesem Fall bitte unverzüglich die Maßnahmen für kompromittierte Accounts und Geräte aus.

Sollten Sie sich nicht sicher sein, ob eine E-Mail vertrauenswürdig ist, sollten Sie diese mit besonderer Vorsicht behandeln.

Anhaltspunkte für eine verdächtige E-Mail sind z.B.:

• Markierung als Spam vom E-Mail-Programm oder im Betreff
• Unklarer Absender
• Anrede mit einem Benutzernamen, einem generischen oder falschen Namen
• Unerwünschte oder unerwartete E-Mail
• Unerwartete Anhänge (Besonders bei Datei-Endungen wie .zip / .rar / .tar.gz / .7z / .exe / .bat / .com / .cmd / .scr / .pif)
• Fehlende E-Mail-Signatur bei E-Mails von offizieller Stelle
• Formatierungs- und Rechtschreibfehler
• Unstimmigkeiten
• Sie werden zu einer Zahlung aufgefordert (z. B. Geschenkkarten kaufen, Rechnung)
  • E-Mails, die hierbei Vorgesetzte imitieren, sind als "CEO Fraud" bekannt
  • Fake-Konferenzen können nach Anmeldegebühren oder Abstracts fragen
• Links in der E-Mail, über die Sie sich anmelden sollen
• Fragen nach Zugangsdaten, persönlichen Daten oder anderen sicherheitsrelevanten Informationen
• Es wird Druck aufgebaut (z.B. durch Fristen, Zahlungsforderungen oder durch Beschuldigungen)
• Sie werden zur Geheimhaltung aufgefordert oder es wird eine Rücksprache mit dem vermeintlichen Absender untersagt
• Die Absenderadresse oder Links enthalten verdächtige Zusätze, insbesondere am Anfang der Adresse/des Links
• Es wird eine nicht sichere Webseite verlinkt. Diese Warnung wird Ihnen links neben der Adresse in Ihrem Browser angezeigt. Bitte klicken Sie im Zweifelsfall keine Links in der E-Mail an, auch nicht probeweise!

Das Vorgehen bei einer verdächtigen E-Mail hängt von der Art der E-Mail ab:

• Die E-Mail ist als Spam markiert
• Die E-Mail ist mit "*****VIRUS REMOVED / ENTFERNT*****" markiert
• Die E-Mail ist eine unerkannte Spam-Mail
• Die E-Mail ist eine unerkannte Phishing-Mail oder enthält einen unerkannten Virus

Die E-Mail ist als Spam markiert

Alle E-Mails, die die RWTH Aachen erreichen, werden auf Spam-Mails überprüft.

Wenn eine entsprechende E-Mail entdeckt wird, wird der Text "***** SPAM *****" vor dem eigentlichen Text der Betreffzeile eingefügt.

Es sind keine weiteren Schritte erforderlich, solange Sie nichts Weiteres mit der E-Mail machen, außer sie zu löschen. Die E-Mail wurde vom System schon als Spam erkannt und gekennzeichnet.

Die E-Mail ist mit "*****VIRUS REMOVED / ENTFERNT*****" markiert

Alle E-Mails, die die RWTH Aachen erreichen, werden auf virulente Attachments (E-Mail-Anhang) überprüft. Das gleiche gilt für E-Mails, die die RWTH Aachen über den Server relay.rwth-aachen.de, relay-auth.rwth-aachen.de oder smarthost.rwth-aachen.de verlassen.

Wenn verdächtiger Code in einem Attachment entdeckt wird, wird dieses Attachment durch folgenden Text ersetzt:

  This attachment contained a virus and was stripped.
     Filename: Dateiname
     Content-Type: Dateitype
     Virus(es): Virentyp und Name

Zusätzlich wird, am Anfang der Betreffzeile, der Text:  "***** VIRUS REMOVED / ENTFERNT *****" eingefügt. Es sind keine weiteren Schritte erforderlich, solange Sie nichts Weiteres mit der E-Mail machen, außer sie zu löschen.

Die E-Mail ist eine unerkannte Spam-Mail

Wenn Sie eine unerwünschte E-Mail erhalten, die nicht vom System erkannt und markiert wird, sollten Sie diese weiterleiten. Diese ermöglicht es den Spamfilter (Ironport) schnellstmöglich zu verbessern.

Es ist wichtig, dass die ursprünglich Spam-Mail als Anhang (hier reicht eine einfache Weiterleitung nicht aus!) an spam@access.ironport.com weitergeleitet wird.

Bei Spam-Mails wie Hoaxes oder Werbe-Mails, von denen keine technische Gefahr ausgeht, sind nach der Weiterleitung keine weiteren Schritte erforderlich. Die E-Mail kann gelöscht werden.

Die E-Mail ist eine unerkannte Phishing-Mail oder enthält einen unerkannten Virus

Unerkannte böswillige E-Mails wurden in aller Wahrscheinlichkeit als Spam an mehrere Empfänger versendet. Es ist möglich, dass einige Empfänger auf die E-Mail hereingefallen sind, also melden Sie bitte solche E-Mails frühzeitig an das IT-ServiceDesk, um den Schaden zu begrenzen.

Bitte senden Sie hierzu die ursprüngliche böswillige E-Mail als Anhang (eine einfache Weiterleitung reicht für diese Zwecke nicht aus!) an servicedesk@itc.rwth-aachen.de UND an spam@access.ironport.com. Die E-Mail kann dann analysiert werde und es können Gegenmaßnahmen eingeleitet werden.

Sollte in der verdächtigen E-Mail eine ältere E-Mail zitiert werden, bitte leiten Sie uns die originale E-Mail als Anhang (eine einfache Weiterleitung reicht für diese Zwecke nicht aus!) an servicedesk@itc.rwth-aachen.de weiter oder teilen Sie uns bitte das Versanddatum und den Adressatenkreis dieser E-Mail mit. Das erleichtert uns die Analyse möglicher Leaks von Postfächern.

Blog Beiträge:

• CEO Fraud: Wenn „Vorgesetzte” Geld fordern

• Social Engineering – oder: Wie wir ausgetrickst werden

• Sicherheit geht vor: Vorsicht vor Phishing Mails mit RWTH Namen!

• Phishing-Attacke auf RWTH-E-Mail-Accounts: Datenklau -Nicht mit uns!