Vorsicht! Das hätte schief gehen können ...

Bösartige E-Mails werden häufig unter Vorwand von einem falschen Absender versendet.
Oft werden externe Mail-Adresse, welche eine ähnliche Schreibweise aufweisen, jedoch eine externe Domain beinhalten verwendet, z.B. (unibox@gmail.com, unibox@serviceonline.de). 
 

In unserem speziellen Fall, war dies etwas schwieriger zu erkennen. Da die E-Mail von einem scheinbar gekaperteten uni-internen Account versendet wurde. 
Dies ist kein abwegiges Szenario, dass ein Angreifer im Namen eines Mitarbeiternden oder Studierenden eine solche E-Mail verschickt, wenn er vorher dessen Account übernommen hat. 

Im Normalfall lassen sich Phishing-Mails bei der Prüfung der Absenderadresse schnell und eindeutig erkenne, da oft offensichtlich fremde und kryptische Absenderadressen verwendet werden. 
Bei gezielten Angriffen (wie bei unserem Test) kann das Erkennen deutlich schwieriger werden, daher schauen Sie bitte genau!
 

Phishing-E-Mails verwenden häufig eine allgemeine Begrüßung, anstatt Sie mit Ihrem Namen anzusprechen. 
Zudem enthalten sie häufig Rechtschreib- und Grammatikfehler oder unpassende Formulierungen, denn meistens wurden sie nicht in Deutsch verfasst und mit einem Übersetzungsdienst aus einer anderen Sprache übersetzt. 
Ein weitere Hinweis auf solche E-Mails sind Zeichensatzfehler, wie etwa kyrillische Buchstaben oder fehlende Umlaute. 

Phishing-Mails nutzen häufig den Umstand, dass der Empfänger zu schnell und ohne kritische Prüfung auf Links klickt. Die sich öffenende Webseite sieht ggf. dem Original sehr ähnlich, um Sie zur Eingabe der Zugangsdaten zu verleiten oder im Hintergrund startet ein Download. Die Mail leitet auf eine gefälschte Webseite.

Wie erkennt man dies?
Bevor Sie auf den Link klicken, nehmen Sie sich die Zeit und fahren mit dem Mauszeiger über den Link ohne zu klicken. Das Mailprogramm zeigt dann an, welche Webadresse im Webbrowser geöffnet würde. 
Die hinterlegte Link-Adresse sollte ein Bezug zum Absender haben, z.B. bei einer Paketankündigung tatsächlich auf dhl.com oder hermes.de verweisen. Zudem sollte Domain zu der Absenderdomain der E-Mail passen. 
 

In unserem speziellen Fall, war dies etwas schwieriger zu erkennen. Da der Link auf eine Domain der Universität Rostock verwies auf einen Rechner, der scheinbar vom Angreifer übernommen und verändert wurde.
Dies ist kein abwegiges Szenario, dass ein Angreifer sich Zugriff auf ein System im näheren Umfeld verschafft und dieses für seine Angriffe nutzt und beispielsweise ein Phishing-Tool installiert, um vertrauenswürdigkeit zu wecken.
Allerdings wurde hier ein Rechner genutzt, der im Namen nicht auf die Unibox verweist. 

In Phishing-Mails wird sehr oft Druck durch angeblich dringenden Handlungsbedarf ausgeübt. 
Werden Sie in einer E-Mail aufgefordert, ganz dringend und innerhalb einer bestimmten (kurzen) Frist zu handeln, sollten Sie ebenfalls stutzig werden. Insbesondere, wenn diese Aufforderung mit einer Drohung verbunden ist, z.B., dass Ihre Kreditkarte oder Online-Zugang sonst gesperrt werden. 

Sie werden aufgefordert eine Datei zu öffnen (Anhang der E-Mail oder über Link). Bekommen Sie eine unerwartete E-Mail mit einer Datei, sollten Sie diese nicht runterladen oder öffnen. 
In der Regel beinhaltet diese Datei ein schädliches Programm (z.B. Viren, Trojaner, etc.) 

Bei E-Mails mit Dateianhängen, welche Sie nicht erwarten oder es sich ggf. sogar nicht aus dem Text ergibt, sollten Sie grundsätzlich misstrauisch gegenüber sein.

Meist werden hier URLs verwendet, die dem Original ähnlich sehen aber z.B. einen Buchstabendreher enthalten oder Buchstaben ersetzt, wie z.B. ein O mit einer 0, oder von einer fremden Domain stammen.
Bei einer Phishing-Mail, welche einen Paketdienstleister nachstellt könnte die Domain beispielsweise paketservice.de lauten. In den meisten Fällen, lässt sich auf den ersten Blick erkennen, dass es sich um eine nicht dem Dienst zugehörige Domain handelt. 
Die URL in der Adresszeile ist immer eine andere als die der Originalseite.

In unserem speziellen Fall, war dies etwas schwieriger zu erkennen. Da der Link auf eine Domain der Universität Rostock verwies auf einen Rechner, der scheinbar vom Angreifer übernommen und verändert wurde.
Dies ist kein abwegiges Szenario, dass ein Angreifer sich Zugriff auf ein System verschafft und dieses für seine Angriffe nutzt und beispielsweise ein Phishing-Tool installiert, um vertrauenswürdigkeit zu wecken.
 

Bei nachgebauten Webseiten, kommt es häufig vor, dass bestimmte Elemente auf der nachgestellen Webseite nicht vorhanden sind.
Im Falle des durchgeführten Beispiels fehlen z.B. die Links zu den Nutzungsbedingungen, Clients, Doku usw. 

Ein gutes Indiz kann auch sein, wenn Sie auf der Seite auf das "Kontakt" Feld klicken. Wenn es dies nicht gibt oder es dort keine glaubwürdigen Kontaktangaben gibt, ist es sehr wahrscheinlich, dass es sich um eine Phishing-Webseite handelt.
Darüber hinaus haben gefälschte Webseiten oft kein Impressum und einen beschränkten Funktionsumfang.

Häufig findet man auf den nachgestellten Webseiten auch Rechtschreib- & Grammatikfehler, welche z.B. durch Übersetzungsdienste entstehen können.

Oft versuchen Angreifer die gefälschten Webseiten glaubhafter erscheinen zu lassen, indem Sie Verlinkungen auf die originale Seite des Unternehmens vornehmen. 
Somit können Verlinkungen auf der Webseite ggf. zu bekannten originalen Webseiten führen.

Früher war es ein gutes Indiz, wenn die Webseite statt auf https:// auf eine http:// Seite verwies. Inzwischen verwenden aber auch die Angreifer Zertifikate, um die Webseite auf den ersten Blick sicher und vertrauenwürdig darzustellen. 
Hier kann ein Blick auf das Zertifikat manchmal helfen, ob es von einer bekannten vertrauendwürdigen Zertifizierungsstelle ausgestellt wurde oder es sich ggf. um ein Self-Signed Zertifikat handelt.