Pishing E-Mail ?

Roberto Mazzoni  April 9 2010 11:41:09 AM
Gestern mussten wir an alle Benutzerinnen und Benutzern, bei welchen die Migration nach Lotus noch bevorsteht eine E-Mail schicken. Sie wurden aufgefordert, in der Kontoadministration einzuloggen und dort ihre verschiedenen Konten zu koppeln. Und wir haben in der E-Mail auch den Link zur Kontoadministration erwähnt. Mit den modernen E-Mail Clients lässt sich kaum mehr verhindern, dass eine solche Adresse nicht direkt zu einem Link umgewandelt wird. Erfreulich viele Benutzerinnen und Benutzer haben nachgefragt, ob die E-Mail tatsächlich von uns stammt oder es sich um eine Pishing-Attacke handelt. Erfreulich deshalb, weil das doch zeigt, dass die Sensibilität gegen Pishing Attacken durchaus vorhanden ist.

Aber das ermuntert mich doch, darauf hinzuweisen, wie jede und jeder selbst so weit wie möglich sich gegen solche Attacken schützen kann. Erhält man eine E-Mail, welche einen solchen Link enthält, dann ist die erste Vorsichstsmassnahme, nicht auf den Link zu klicken, sondern diesen im Browser im Adressfenster einzutippen.



Image:Pishing E-Mail ?
Adresse im Browser eintippen.



Damit wird verhindert, dass eine Adresse angewählt wird, die zwar als korrekte Adresse in der E-Mail erscheint, sich unter dem Link aber eine andere Adresse versteckt.

Der nächste Schritt ist der, das Zertifikat der Website zu überprüfen. Kein seriöser Anbieter verlangt eine Passworteingabe über unverschlüsselte Kanäle. Der Link muss also mit https:// beginnen. Ist dies nicht der Fall und handelt es sich um einen http:// Link, ist Vorsicht angezeigt und das Passwort würde in jedem Fall unverschlüsselt übermittelt.

Bei verschlüsselten Verbindungen mit https:// muss der Server dem Browser, in Endeffekt also dem Benutzer und der Benutzerin, ein Zertifikat präsentieren. Erhalten Sie eine Warnung, dass das Zertifikat nicht gültig ist, dürfen Sie nicht weiterfahren. Dann stimmt die Adresse die Sie eingegeben haben nicht mit der Adresse überein, welche im Serverzertifikat hinterlegt ist.



Image:Pishing E-Mail ?

Get me out of here! in solchen Fällen die richtige Wahl




Als nächsten Schritt können Sie das Zertifikat auch überprüfen, welches Ihnen der Server anzeigt. Je nach Browser muss das Zertifikat auf unterschiedliche Weise überprüft werden. Im Firefox ist es ein kleines Schlösschen unten Rechts im Browser-Rahmen, das angeklickt werden muss, im Safari finden Sie das Schloss oben rechts im Browser Rahmen und im Internet Explorer erscheint das Schloss am Ende der Adresszeile.



Image:Pishing E-Mail ?

https geschützte Seite im Internet Explorer




Durch Click auf das Schloss wird Ihnen das Zertifikat angezeigt.



Image:Pishing E-Mail ?
Zertifikatsinformation




Sie können so sehen, dass das Zertifikat zur Website www.intranet.uzh.ch gehört, und das stimmt mit der eingetippten Adresse überein.

Jetzt können Sie das Zertifikat noch detailliert ansehen. Das Zertifikat für die Benutzeradministration sieht wie folgt aus:



Image:Pishing E-Mail ?
Angaben zum Zertifikate für die Kontoadministration




Wenn Ihnen Ihr Browser dieselben Angaben macht, können Sie mit der Kopplung weiterfahren: Sie sind auf der richtigen Website. Das Zertifikat enthält auch die Angabe, dass es für die Universität Zürich ausgestellt wurde und erneut finden Sie den Common Name (CN) des Webservers im Zertifikat. Es kann sein, dass dieser Name nicht sofort ersichtlich ist, weil ein Server über mehrere Adressen angesprochen werden kann. Dann müssen Sie die Adresse in den Zertifkatsdetails überprüfen.



Image:Pishing E-Mail ?
Zertifkat auch gültig für die Adresse www.intranet.unizh.ch




Im Falle der Kontoadministration sehen Sie, dass dieses Zertifikat auch noch für die Adresse in der Domäne .unizh.ch gültig ist.

Natürlich hätte ich die E-Mail liebend gerne digital signiert verschickt, aber vielen Benutzerinnen und Benutzern ist der Umgang mit solchen Mechanismen ebenso wenig vertraut wie das Überprüfen der Zertifikate einer Website. Leider!
Comments

1Patrik Spiess  04/09/2010 3:42:31 PM  Pishing E-Mail ?

Hoi Roberto

Vielen Dank für diesen Blog-Eintrag. Meiner Meinung nach kann man die Benutzer nie genug sensibilisieren. Und Dein Beitrag macht nicht einfach nur Angst vor den bösen Angriffen, sondern zeigt konkret auf, wie man sich absichern kann.

Gruess

Patrik

Creative Commons License
Dieser Werk ist unter einer Creative Commons-Lizenz lizenziert.