{"id":6942,"date":"2020-02-07T15:00:33","date_gmt":"2020-02-07T14:00:33","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=6942"},"modified":"2025-02-24T11:18:21","modified_gmt":"2025-02-24T10:18:21","slug":"phishing-attacke-rwth-e-mail","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2020\/02\/07\/phishing-attacke-rwth-e-mail\/","title":{"rendered":"Phishing-Attacke auf RWTH-E-Mail-Accounts: Datenklau -Nicht mit uns!"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_6942 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_6942')){$('.twoclick_social_bookmarks_post_6942').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2020\\\/02\\\/07\\\/phishing-attacke-rwth-e-mail\\\/\",\"post_id\":6942,\"post_title_referrer_track\":\"Phishing-Attacke+auf+RWTH-E-Mail-Accounts%3A+Datenklau+-Nicht+mit+uns%21\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Es vergeht kaum ein Tag, an dem nicht in den Medien \u00fcber Datenklau durch Phishing, Trojaner und Co. berichtet wird. Auch die <a href=\"https:\/\/www.rwth-aachen.de\/\">RWTH Aachen University<\/a> ist in den letzten Wochen attackiert worden. Bereits seit mehreren Monaten werden unsere Postf\u00e4cher mit <a href=\"https:\/\/blog.rwth-aachen.de\/itc?s=SPAM\">SPAM-Mails<\/a> \u00fcberflutet. F\u00fcr uns als IT-Provider der RWTH Aachen bedeutet dies, dass wir Euch nicht in die Phishing-Fallen und weitere Gefahren laufen lassen wollen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>In diesem Blogbeitrag findet Ihr alles, was Ihr wissen m\u00fcsst, um Eure Daten und Postf\u00e4cher vor Phishing zu sch\u00fctzen, damit es gar nicht erst zum Datenklau kommt!<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p><!--more--><\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h3 class=\"wp-block-heading\">Was bisher geschah: Phishing-Attacke mit gef\u00e4lschter RWTH Mail App<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Am 29.01.2020 sind 1.418 RWTH-E-Mail-Konten im Rahmen einer Phishing-Attacke kontaktiert worden. Die RWTH-Angeh\u00f6rigen erhielten E-Mails, die unter anderem einen Link zu einer gef\u00e4lschten Weboberfl\u00e4che enthielten, die der RWTH-Login-Maske zur RWTH Mail App zum Verwechseln \u00e4hnlich sah. Mit dem blo\u00dfen Auge ist die F\u00e4lschung der <a href=\"https:\/\/mail.rwth-aachen.de\/\">RWTH Mail App<\/a> kaum zu erkennen.<\/p>\r\n\r\n<div id=\"attachment_6943\" style=\"width: 615px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6943\" class=\"wp-image-6943\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik.png\" alt=\"Augen auf im Webgebrauch: Gef\u00e4lschte Weboberfl\u00e4che der RWTH Mail App. Der j\u00fcngste Phishing-Versuch. Die URL zeigt eindeutig, dass es sich nicht um eine offizielle RWTH-Webanwendung handelt. \" width=\"605\" height=\"455\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik.png 605w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik-300x226.png 300w\" sizes=\"auto, (max-width: 605px) 100vw, 605px\" \/><p id=\"caption-attachment-6943\" class=\"wp-caption-text\">Augen auf im Webgebrauch: Gef\u00e4lschte Weboberfl\u00e4che der RWTH Mail App. Der j\u00fcngste Phishing-Versuch. Die URL zeigt eindeutig, dass es sich nicht um eine offizielle RWTH-Webanwendung handelt. <br \/>Quelle: Eigene Darstellung<\/p><\/div>\r\n<p style=\"text-align: left;\">\u00a0<\/p>\r\n<!-- \/wp:post-content -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:heading {\"level\":3} -->\r\n<h3>\u00a0<\/h3>\r\n<h3>Die Folge<\/h3>\r\n<!-- \/wp:heading -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Gibt man seine Zugangsdaten in diese gef\u00e4lschte Login-Maske ein, werden diese unverschl\u00fcsselt abgegriffen. Damit hat der Angreifer Zugriff auf Deine Mailbox \u2013und wahrscheinlich noch vielem mehr.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Bei der RWTH Mail App handelt es sich um eine der meist genutzten Webanwendungen der Hochschule. So ziemlich alle RWTH-Angeh\u00f6rigen haben mindestens eine E-Mail-Adresse, die \u00fcber diese Anwendung abrufbar ist. So ist es leider passiert, dass einige wenige Nutzende ihre Logindaten eingegeben haben. Im Zuge dessen sind von der zust\u00e4ndigen Fachabteilung alle notwendigen Schutzma\u00dfnahmen getroffen und die Betroffenen informiert worden. Grunds\u00e4tzlich kann so etwas jedem passieren. Wichtig ist blo\u00df der achtsame Umgang und die Meldung beim <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/Services\/Support-Moeglichkeiten\/~smkoi\/IT-ServiceDesk\/\">IT-ServiceDesk<\/a>, wenn es sich um Sicherheitsrisiken im www handelt.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Aus diesem Anlass wurde selbstverst\u00e4ndlich der Provider \u00fcber die gef\u00e4lschte Weboberfl\u00e4che informiert sowie die URL gesperrt, um den Gefahrenherd so schnell wie m\u00f6glich aus dem Verkehr zu ziehen.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:heading {\"level\":3} -->\r\n<h3>\u00a0<\/h3>\r\n<h3>Was Du tun kannst, um auf Nummer sicher zu gehen?<br \/><br \/><\/h3>\r\n<!-- \/wp:heading -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:list -->\r\n<ul>\r\n<li>Zun\u00e4chst einmal gilt es f\u00fcr uns alle Websites auf ihre Echtheit zu \u00fcberpr\u00fcfen. Das kannst Du tun, indem Du den Link bzw. die URL \u00fcberpr\u00fcfst. H\u00e4ufig sagt Dir bereits Dein Browser, dass es sich wohlm\u00f6glich um eine nicht sichere Seite handelt. Das rote Ausrufezeichen ist Dein zus\u00e4tzlicher Warnhinweis.<\/li>\r\n<li>Ist Dir die vermeintliche RWTH-URL nicht bekannt oder sogar auff\u00e4llig? Dann melde sie bitte umgehend dem <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/Services\/Support-Moeglichkeiten\/~smkoi\/IT-ServiceDesk\/\">IT-ServiceDesk<\/a>.<\/li>\r\n<\/ul>\r\n<!-- \/wp:list -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:image {\"id\":6947} -->\r\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"184\" height=\"126\" class=\"wp-image-6947\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/Pfeil.png\" alt=\"\/\" \/><\/figure>\r\n<!-- \/wp:image -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:image {\"id\":6945,\"width\":532,\"height\":71} -->\r\n<figure class=\"wp-block-image is-resized\">\r\n<div id=\"attachment_6945\" style=\"width: 542px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6945\" class=\"wp-image-6945\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik-1.png\" alt=\"Sowohl der Browser als auch die URL zeigen an, dass es sich um eine nicht sichere Seite handelt. Daher schaut bitte explizit in die Browserzeile!\" width=\"532\" height=\"71\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik-1.png 532w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/02\/grafik-1-300x40.png 300w\" sizes=\"auto, (max-width: 532px) 100vw, 532px\" \/><p id=\"caption-attachment-6945\" class=\"wp-caption-text\">Sowohl der Browser als auch die URL zeigen an, dass es sich um eine nicht sichere Seite handelt. Daher schaut bitte explizit in die Browserzeile! <br \/>Quelle: Eigene Darstellung<\/p><\/div>\r\n<\/figure>\r\n<!-- \/wp:image -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:list -->\r\n<ul>\r\n<li>Die RWTH Single Sign-On-Anwendungen wie zum Beispiel RWTHmoodle, RWTHonline oder der RWTH Selfservice beginnen beispielsweise immer mit \u201esso.rwth-aachen.de\u201c. Im direkten Vergleich mit der gef\u00e4lschten Login-Maske der RWTH Mail App wird dies nochmal deutlich (siehe oben).<\/li>\r\n<li>Achte bitte auch auf die korrekte Schreibweise in der URL. Schon kleine Abweichungen wie das dreifach-a https:\/\/www.rwth-aachen.de\/go\/id\/a\/ sind potenzielle Gefahrenstellen<\/li>\r\n<li>Wenn Du dir nicht sicher bist und auf eine vertrauensw\u00fcrdige Quelle zur\u00fcckgreifen m\u00f6chtest, dann rufe zun\u00e4chst IT Center Help auf. Hier haben wir nicht nur die Anleitungen zu unseren IT-Services parat, sondern auch immer die Links zu den Anwendungen.<\/li>\r\n<li>Vom <a href=\"https:\/\/app.rwth-aachen.de\/myitcenter\/#home?\">My IT Center-Portal<\/a> aus kommst Du aber auch auf eine Vielzahl von Webanwendungen, die an der RWTH Aachen genutzt werden.<\/li>\r\n<li>Lies dir auf jeden Fall die <a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhb2fhkpjhb7\/article\/be30ec29f4b747aeb2582f6004c1c9ce\/\">Sicherheitshinweise<\/a> durch, die wir auf IT Center Help hinterlegt haben. Hier erf\u00e4hrst Du, wie man im Detail eine Website auf ihre Echtheit \u00fcberpr\u00fcft.<br \/><br \/><\/li>\r\n<\/ul>\r\n<!-- \/wp:list -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:heading {\"level\":3} -->\r\n<h3>Phishing-Website ist weg. Und nun?<\/h3>\r\n<!-- \/wp:heading -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Eine gef\u00e4lschte Website kommt selten allein. Immer wieder werden gef\u00e4lschte Websites erstellt, um Daten abzugreifen. Wir halten Euch auf dem Laufenden \u00fcber alle uns zur Verf\u00fcgung stehenden Kan\u00e4le, rund um das Thema Phishing und Sicherheit im Netz. Deswegen empfehlen wir, regelm\u00e4\u00dfig unsere Aktuelles Meldungen und Social Media Beitr\u00e4ge im Blick zu behalten.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Mit den Anleitungen, Screenshots und Handlungsempfehlungen und aktuellen Informationen tun wir was wir k\u00f6nnen, um euch vor Phishing und Co. zu sch\u00fctzen.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Hier nochmal alle wissenswerten Links und Quellen im \u00dcberblick:<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:list -->\r\n<ul>\r\n<li>RWTH Mail App: <a href=\"https:\/\/mail.rwth-aachen.de\/owa\">https:\/\/mail.rwth-aachen.de\/owa<\/a><\/li>\r\n<li><a href=\"https:\/\/app.rwth-aachen.de\/myitcenter\/#home?\">My IT Center-Portal<\/a><\/li>\r\n<li><a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/~fehb\/Aktuelle-Meldungen\/\">Aktuelles Meldungen auf der IT Center Homepage<\/a><\/li>\r\n<li><a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhb2fhkpjhb7\/article\/be30ec29f4b747aeb2582f6004c1c9ce\/\">Sicherheitshinweise<\/a> auf IT Center Help<\/li>\r\n<li>Kontakt zum <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/Services\/Support-Moeglichkeiten\/IT-ServiceDesk\/~sqqto\/Kontakt-Oeffnungszeiten\/\">https:\/\/www.itc.rwth-aachen.de\/go\/id\/ljdv<\/a><\/li>\r\n<\/ul>\r\n<!-- \/wp:list -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Lasst euch auch nicht die Videos vom KIT entgehen zum Erkennen von gef\u00e4hrlichen Anh\u00e4ngen und Links:<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:list -->\r\n<ul>\r\n<li><a href=\"https:\/\/secuso.aifb.kit.edu\/english\/1047.php\">https:\/\/secuso.aifb.kit.edu\/english\/1047.php<\/a><\/li>\r\n<\/ul>\r\n<!-- \/wp:list -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph -->\r\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x076EFD6C62ADCF4D868FB7134A14B07C&amp;lidx=1&amp;allou=1\">Nicole Filla<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0xA54936838B734444B130F51A7DE93286&amp;allou=1\">Thorsten Kurth<\/a>.<\/p>\r\n<!-- \/wp:paragraph -->\r\n<p>&nbsp;<\/p>\r\n<!-- wp:paragraph \/-->","protected":false},"excerpt":{"rendered":"<p>&nbsp; Es vergeht kaum ein Tag, an dem nicht in den Medien \u00fcber Datenklau durch Phishing, Trojaner und Co. berichtet wird. Auch die RWTH Aachen University ist in den letzten [&hellip;]<\/p>\n","protected":false},"author":1413,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[61,70,49],"class_list":["post-6942","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","tag-it-sicherheit","tag-phishing","tag-spam"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/6942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/1413"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=6942"}],"version-history":[{"count":24,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/6942\/revisions"}],"predecessor-version":[{"id":21515,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/6942\/revisions\/21515"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=6942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=6942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=6942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}