Richtig aufgepasst

14. März 2025

In der Personalversammlung letzte Woche habe ich ein spontanes Plädoyer dafür gehalten, bei ankommenden E-Mails immer eine Sekunde inne zu halten und nachzudenken. Ein gesundes Misstrauen zu entwickeln. Kann das sein? Entspricht das dem, was ich erwarten würde? Oder verbirgt sich dahinter vielleicht doch ein Phishing-Versuch? Wird Druck generiert, ein ungewöhnlicher Handlungsauftrag erteilt?

Diese Haltung ist umso wichtiger, weil die KI inzwischen Kriminelle dabei unterstützt, gut nachgebaute und glaubwürdige E-Mails zu versenden. Auf dem ersten Blick – und oft auch noch auf dem zweiten – fällt man sehr leicht darauf rein.

Heute meldete sich eine Kollegin bei mir und fragte „Ist dies hier SPAM, oder kann ich auch so einen Link vertrauensvoll klicken? Das ist das erste Mal, dass ich einem Link auf diese Weise folgen muss, statt das mir ein FAU Kollege seine Nachricht einfach direkt schreibt.“

Die Fake-Mail

Und in der Tat, die Mail ist täuschend echt: Es wirkt so, dass die Leiterin von G5 im Auftrag des Leiters von G3 eine Nachricht des CISO sendet. Das ganze ist betitelt mit „Offizielle Mitteilung des CISO-Büros der FAU Erlangen-Nürnberg“ und die Aufforderung ist, auf den Link zu klicken, um die Nachricht lesen zu können. Auch die Signatur wirkt so, wie wir sie von dem Kollegen kennen.

Screenshot der Phishing-Mail
Screenshot der Phishing-Mail

Die Phishing-Seite

Klickt man auf den Link, wird man auf eine halbwegs glaubwürdig nachgebaute Anmeldung für die Outlook Webapplikation geleitet:

Screenshot der Fake-Anmeldemaske
Screenshot der Fake-Anmeldemaske

So schaut dagegen das Original aus:

Screenshot der FAU-OWA-Anmeldemaske
Screenshot der FAU-OWA-Anmeldemaske

Wie viele Fehler können Sie finden? Ich habe 7 gefunden und freue mich über Ihre Antworten per Mail – Auflösung gibt es in den nächsten Tagen.

Fazit

Dies war einer der am besten gemachten Phishing-Versuche, die ich bisher gesehen habe, kein Vergleich zu dem plumpen Versuch vor einigen Jahren. Aktuelles Thema (der CISO hatte am Vortag tatsächlich eine Rundmail verschickt), glaubwürdige Absenderin, echte Mail-Signatur mit Logo. Nur die Zertifikatssignatur hat gefehlt.

Mich hat es jedenfalls sehr gefreut, dass mein Aufruf offensichtlich auf aufmerksame Ohren gestoßen ist und die Kollegin dem Aufruf auch direkt gefolgt ist: nachdenken, bevor man handelt. Danke dafür.

Und wenn Sie sich unsicher sind, lieber einmal zu viel nachfragen als einmal zu wenig. Wenn Sie z.B. eine Mail bekommen, bei der Sie auch nur ein vages Gefühl haben, dass irgendwas nicht ganz richtig ist, dann leiten Sie sie gerne weiter an soc@fau.de und abuse@fau.de. Die dortigen Kolleginnen und Kollegen ergreifen dann weitere Maßnahmen, wie den Absender zu sperren und entsprechende Warnmeldungen heraus zu geben.

Nächste Schritte

Wenn Sie Ihre Anmeldedaten bei der Fake-Anmeldemaske eingegeben haben (was diesmal wirklich leicht passieren konnte!), müssen Sie davon ausgehen, dass Ihr Account kompromittiert wurde, sofern Sie keine 2-Faktor-Authentisierung verwenden.

In diesem Fall:

  1. Bitte ändern Sie umgehend Ihr IdM-Passwort:

    Screenshot von der IdM-Seite zum ändern des Passworts
    Screenshot von der IdM-Seite zum ändern des Passworts

  2. Überprüfen Sie, ob Ihre Wiederherstellungsmail geändert wurde.

    Screenshot der IdM-Seite zum Eintragen einer Wiederherstellungsmailadresse
    Screenshot der IdM-Seite zum Eintragen einer Wiederherstellungsmailadresse

  3. Befassen Sie sich mit dem Thema Multi-Faktor-Authentifizierung und richten diese auch bei IdM ein.
  4. Wenn Sie das Gefühl haben, dass Angreifer bereits Schaden mit Ihrem Account angerichtet haben, melden Sie sich bitte beim SOC:

    Notfallkarte Cyberangriff
    Notfallkarte Cyberangriff

Auf einen so gut gemachten Angriff herein zu fallen ist keine Schande. Bitte lassen Sie sich unterstützen, falls Sie Hilfe brauchen. Auch dafür sind wir da.

 

Dr. Monica Hinrichs-Mayer, 14.03.2025

Kategorie: Allgemein