Phishing

Phishing (Password harvesting & fishing, gesprochen wie „fishing“) zielt auf Zugangsdaten ab, daneben gibt es aber auch ähnliche E-Mails, in denen es rein um Betrug (Scam) geht und die wir hier inzwischen auch anführen.

Die 3 zuletzt eingetragenen Phishe bzw. Betrugsversuche:

  • 15.10.2024:
    Password Notification for Tugraz on 15 October, 2024 (Tugraz)
  • 8.8.2024:
    Wichtiger Hinweis (IT Support)
  • 15.05.2024:
    Available? (Name eines/einer OE-Leiter/in)
Die älteren Phishe finden Sie im Archiv.

Ein aktueller Phishing-Versuch steht noch nicht in der Liste? Dann bitte melden, sonst die E-Mail einfach löschen!

Wir warnen nur dann explizit (per E-Mail etc.) vor Phishingversuchen, wenn diese außerordentlich gut gemacht sind oder schon mehrere Personen darauf geantwortet haben, außerdem listen wir hier nur Versuche zu Accounts der TU Graz zu kommen, Phishing-Versuche auf andere Accounts (Bankdaten, Paypal, …) können zwar auch in Ihrer Mailbox der TU Graz landen, dafür sind wir aber nicht zuständig.

Phishing

Die meisten Phishing-Versuche locken Benutzer (zumeist per E-Mail, immer mehr aber auch in sozialen Netzwerken) auf Web-Seiten, die eventuell Seiten der TU Graz täuschend ähnlich nachempfunden sind (Logo, Corporate Design, Webmail-Interface, …), um die Benutzer dort zur Eingabe ihrer Accountdaten zu verführen.
Achtung: Auch das Betrachten einer solchen Webseite kann bereits zu einer Infektion Ihres Rechners führen, weil auf solchen Seiten auch Software eingebettet sein kann, die Schwachstellen (Vulnerabilities) Ihres Browsers ausnutzt! (Drive-by-Download)
Eine andere Variante ersucht Sie um Bekanntgabe Ihrer Daten per E-Mail.

Leider ist es kaum möglich, alle Phishing-E-Mails automatisch zu erkennen und zu filtern, da sie meist nicht die typischen Merkmale von Spam-E-Mails aufweisen (die inzwischen mit einer sehr hohen Trefferrate erkannt werden).

Wir fordern Benutzer aber niemals per E-Mail auf uns ihr Kennwort bekannt zu geben (siehe auch die u. g. Phaustregeln), außerdem fragen wir Sie im Web neben unseren SSO-Seiten https://sso.tugraz.at/ und https://auth.tugraz.at/ nur auf folgenden Seiten nach Ihren TUGRAZonline-Zugangsdaten, wobei die Server auf dieser Liste (wo technisch möglich) sukzessive auf SSO umgestellt werden: (hellgrau … in Umsetzung)

  • ivpn.tugraz.at - VPN-Lösung für Institute der TU Graz
  • rds-webaccess.tugraz.at - das RDS-System (Terminal Service) der TU Graz;
    alle von dort erreichbaren Systeme sind mit einem 2. Faktor geschützt.

Folgende Dienste dienen dem Netzzugang und verwenden daher das Netzzugangskennwort und sind nicht Teil von SSO:

  • https://vpn.tugraz.at - die SSL-VPN-Lösung der TU Graz

Diese Seiten sind alle per HTTPS geschützt und die Zertifikate sind auf die TU Graz ausgestellt.

Sollten Sie trotzdem in eine solche Falle getappt sein, dann ändern Sie bitte umgehend Ihr Kennwort - die einzige Stelle, wo das getan werden kann, ist Ihre TUGRAZonline-Visitenkarte (Dienste - Kennwort ändern). Melden Sie uns, dass Sie in die Falle getappt sind, dass Sie aber das Kennwort schon geändert haben um zu verhindern, dass wir Sie auf Verdacht sperren!

Phaustregeln gegen Phishing

  1. Ein Rechner mit Windows 8.1 (oder noch älter) ist nicht nur ungeeignet für das Arbeiten mit vertraulichen Daten, ein solcher Rechner hat im Internet nichts verloren.
  2. Ein Windows-Rechner, den auch andere Familienmitglieder benutzen, ist für das Arbeiten mit vertraulichen Daten nicht geeignet.
  3. Ein Windows-Rechner, der zumindest ein nicht legal erworbenes Programm oder Spiel bzw. Tauschbörsen-Software enthält, ist für das Arbeiten mit vertraulichen Daten nicht geeignet.
  4. Vor dem Starten des Computers Hirn hochfahren - niemals umgekehrt.
  5. Wenn der Rechner Windows startet und irgendwann fertig gestartet hat - sofort „Windows Update“ drücken, sodann Virenscanner - aber pronto! - auf den neuesten Stand bringen.
  6. Vor dem Outlook-Öffnen Hirn benutzen und diesen Kausalschluss prozessieren: „TUGRAZonline schickt niemals E-Mails aus, in denen Angehörige der TU Graz zu Dateneingaben in Online-Formulare aufgefordert werden.“
    Daher gilt: „Wenn ich eine E-Mail von TUGRAZonline erhalte, die mich auffordert, Daten in Online-Formulare einzugeben, dann stammt diese E-Mail nicht von TUGRAZonline, sondern von einer Betrügerbande.“
  7. Vorgang wiederholen.

(zitiert aus: Futurzone, angepasst im Jänner 2014 bzw. 2020 und 2021)

7 Tipps zum Thema Phishing

von Niklas Hellemann und Markus Schaffrin (zitiert von der Homepage des Verband der Internetwirtschaft eco.de) angepasst an die TU Graz:
  1. Machen Sie sich ständig bewusst, dass Cyberkriminelle jederzeit versuchen könnten, mit Ihrer Hilfe Zugang zu den Systemen der TU Graz zu erhalten.
    Nehmen Sie regelmäßig an Schulungen teil - an der TU Graz ist die Teilnahme an jährlichen Awareness-Schulungen zum Thema Cybersecurity für alle Mitarbeitenden gemäß Rektoratsbeschluss 027 vom 9.4.2024 verpflichtend.
  2. Sollten Sie sich unsicher sein, ob Sie möglicherweise Opfer einer Phishing-Attacke geworden sind, melden Sie das bitte sofort Ihren EDV-Beauftragten, dem it-support@tugraz.at oder an it-security@tugraz.at und leiten Sie die entsprechende E-Mail weiter.
    Sollte die E-Mail nicht als Spam oder verdächtig gekennzeichnet sein, melden Sie die E-Mail.
    Informieren Sie die Verantwortlichen auch darüber, wenn Sie kritische Informationen am Telefon weitergegeben haben.
  3. Teilen Sie persönliche Daten wie Passwörter, Kreditkarten- oder Transaktions-Nummern niemals per E-Mail, Messanger-Dienst, Social Media oder am Telefon mit.
    Das klingt selbstverständlich, doch im Home-Office sind Sie gefährdeter für Manipulationen, Beeinflussungen und Täuschungen.
  4. Vermeiden Sie es generell, auf Links in E-Mails zu klicken, die zu Log-in-Seiten führen.
    Speichern Sie stattdessen lieber Adressen zu häufig besuchten Seiten in der Favoritenliste Ihres Browsers oder surfen Sie die in der E-Mail genannte Seite über die Startseite der Organisation an.
  5. Klicken Sie auf keine Links, die bei Ihnen per SMS eingehen.
    Hier ist es besonders leicht, den Absender zu fälschen. Smishing ist eine Angriffsmethode per Textnachricht oder SMS, in der dazu aufgerufen wird, einem Link zu folgen oder eine Nummer anzurufen. Surfen Sie die Seite des Absenders lieber direkt im Browser an.
  6. Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, wenn Sie sich nicht hundertprozentig sicher sind.
    Starten Sie stattdessen nach Möglichkeit Downloads stets direkt von der Anbieter-Website bzw. von der Homepage oder dem ftp-Server der TU Graz.
  7. Bevor Sie Dateien im Anhang einer E-Mail öffnen, versichern Sie sich, dass die E-Mail tatsächlich von einem vertrauenswürdigen Absender stammt.
    Kontaktieren Sie im Zweifelsfall den Absender oder die Absenderin telefonisch, um sich zu vergewissern, dass die E-Mail tatsächlich von ihm oder ihr stammt und weisen Sie ihn oder sie auf die Möglichkeit digitaler E-Mail-Zertifikate hin.
    Verwenden Sie dazu nicht die in der E-Mail angegebene Telefonnummer, sondern schauen Sie auf der offiziellen Homepage der Organisation nach! Auch die angezeigten Telefonnummern der TU Graz wurden bereits gefälscht, wenn Sie sich nicht sicher sind, rufen Sie die Nummer an.

Tipps zur E-Mail-Sicherheit

Wenn möglich vermeiden Sie HTML-E-Mails!
Wenn Sie glauben unbedingt dauerhaft HTML-E-Mails verwenden zu müssen, dann überprüfen Sie bitte genau, wohin ein Link wirklich zeigt - Beispiel: https://security.tugraz.at/