Universität Heidelberg
Universitätsrechenzentrum Heidelberg Logo

Phishing an das URZ melden

In dieser Anleitung wird beschrieben, wie Sie eine Phishing-Nachricht an das URZ melden können. Wir sammeln diese und informieren bei entsprechender Bedrohungslage eventuell die Universität in unseren Betriebsmeldungen. Falls es uns möglich ist, informieren wir den Betreiber der verlinkten Phishing-Seite und bitten um deren Deaktivierung.

Da es sehr einfach ist, sich im Internet neue Absender-Adressen zu erstellen, ist das sperren einzelner Absender nicht zielführend. Bitte sehen Sie von solchen Anfragen ab.

Wenn Sie sich nicht sicher sind, ob es sich bei einer bestimmten Mail um Phishing handelt, und Sie an einer Einschätzung interessiert sind, schreiben Sie dies bitte kurz in der E-Mail.

Spam oder Phishing?

Spam und Phishing sind zwei verschiedene Arten unerwünschter E-Mails. Sie unterscheiden sich maßgeblich in ihrer Absicht.

  • Spam ist meist breit gefächerte Werbung oder enthält Betrugsversuche.
  • Phishing hingegen zielt darauf ab, persönliche Daten zu stehlen - meist Zugangsdaten. Diese Form des Angriffs ist meist auf eine bestimmte Benutzergruppe (z.B. die Kunden einer Bank, eines Paketdienstleisters oder eben unserer Universität) zugeschnitten. Hierbei wird oft das Corporate Design der legitimen Nachrichten nachgeahmt oder beispielsweise ein Vorgesetzter oder wichtiger Geschäftspartner als vermeintlicher Absender genutzt.

Falls es sich bei der ihnen vorliegenden Mail um Spam handelt, können Sie diesen anhand der rechts verlinkten Anleitung melden. Bei Phishing folgen sie bitte der jeweiligen Anleitung unten für Ihren Mail-Client.

Beispiel einer Phishing-Mail

Beispiel einer Phishing-Mail und der zu beachtenden Elemente in Outlook und Thunderbird.

Phishing erkennen

Anhand markierten Punkte im Beispiel können Sie bereits die meisten Phishing-Mails erkennen:

  1. Prüfen Sie den/die Absender:in auf Verdächtiges. Während die meisten Phishing-Mails von unbekannten Empfänger versandt werden, kann es vorkommen, dass interne Absender genutzt werden oder z.B. der Name eines Vorgesetzten angezeigt wird.
  2. Der Text bezieht sich meist auf einen tatsächlich genutzten Dienst oder eine Kommunikation, die tatsächlich stattfand. In diesem Bezug wird eine negative Konsequenz angekündigt, wenn nicht schnell reagiert wird. Fast immer fehlt jedoch jegliche konkrete Information, wie Namen oder Belege der Aussagen. Eine Ausnahme hier ist das Spear-Phishing, bei dem gezielt eine Person meist mit vielen Details zum Vorgang angegriffen wird, z.B. bei einem versuchten Rechnungsbetrug. Sollte die Mail Sie unter Druck setzen, eine gewichtige Aktion schnell durchzuführen, vergewissern Sie sich bitte genau, dass alle Angaben der Wahrheit entsprechen.
  3. Falls Links enthalten sind, fahren Sie bitte zuerst lediglich mit der Maus darüber.
    Klicken Sie Links bitte erst an, sobald Sie die Mail als eindeutig vertrauenswürdig eingestuft haben!  
  4. Untersuchen Sie die angezeigte Adresse. Sollte diese nicht mit der bekannten Adresse des Dienstes übereinstimmen oder sonst verdächtig erscheinen, ist Vorsicht geboten. Ein Beispiel hierfür wäre https://exchange.beispiel.de/uni-heidelberg.de/owa/. Hier steht vor dem ersten Slash „/“ nach „https://“ „beispiel.de“. Wenn Sie Ihre Daten auf dieser Seite eingeben, gehen diese nicht die Universität sondern an einen fremden Seitenbetreiber. 
    Die Adressen unserer Dienste wie https://exchange.uni-heidelberg.de/owa/ haben vor dem ersten Slash fast immer uni-heidelberg.de. Geben Sie deshalb ihre universitären Zugangsdaten nur auf Seiten ein, deren Domain auf uni-heidelberg.de endet oder von der Sie absolut sicher sind, dass Sie von der Universität betrieben werden.

Sollte mindestens einer der Punkt oben verdächtig erscheinen, sollten Sie den vermeintlichen Absender auf einem bereits bekannten Weg (z.B. mit einer gespeicherten Telefonnummer) kontaktieren und die Echtheit der Mail bestätigen lassen. Falls dies nicht möglich ist, können wir gerne eine Einschätzung abgeben, wenn Sie die Mail wie folgt an uns senden.

Anleitung zum Melden einer Phishing-Nachricht

Da wir die potentiellen Phishing-E-Mails für weiter Untersuchungen als Ganzes benötigen, bitten wir Sie, die E-Mail wie folgt an phishing@urz.uni-heidelberg.de weiterzuleiten.

Meldung in Outlook

  1. Markieren Sie die E-Mail.
  2. Klicken rechts oben in der E-Mail-Anzeige die drei Punkte.
  3. Klicken Sie „Als Anlage weiterleiten“.
  4. Geben Sie im sich öffnenden Fenster als Empfänger 

    phishing@uni-heidelberg.de

     an und ergänzen evtl. eigene Bemerkungen.
  5. Senden Sie die E-Mail ab.
Das Bild stellt einen Screenshot des beschriebenen Vorgangs dar.

Meldung in Thunderbird

  1. Markieren Sie die E-Mail und klicken mit der rechten Maustaste auf den Eintrag.
  2. Wählen Sie im Menü „Weiterleiten und Umleiten“ bzw. „Forward and redirect“.
  3. Wählen Sie die Option „Als Anhang“ aus.
  4. Geben Sie im sich öffnenden Fenster als Empfänger 

    phishing@uni-heidelberg.de

     an und ergänzen evtl. eigene Bemerkungen.
  5. Senden Sie die E-Mail ab.
Das Bild stellt einen Screenshot des beschriebenen Vorgangs dar.

Meldung in Apple Mail

  1. Markieren Sie die E-Mail.
  2. Gehen Sie unter „Menü“ auf „Email“.
  3. Wählen Sie die Option „Als Anhang weiterleiten“ aus.
  4. Geben Sie als Empfänger 

    phishing@uni-heidelberg.de

     ein.
Das Bild stellt einen Screenshot des beschriebenen Vorgangs dar.

IT-Sicherheit