Phishing-Welle von TUHH Mailadresse (Meldung vom 05.05.2024)
Die Phishing-Mail behauptet, den Account verifizieren zu müssen.
Es wird eine externe Zielwebseite unter der weebly.com Domäne verlinkt.
Es wird in der URL ein 'tuhh' Hostname sowie ein TUHH Logo verwendet.
Hier ist ein Beispiel zur Aufmachung des Phishingversuchs:
Die Merkmale in der Phishing-Mail sind:
- Keine Nennung des ablaufenden Accounts
- Keine persönliche Anrede des Nutzers
- Keine signierte Funktionsmailadresse
- Link auf eine externe Domain
Sollten Sie Ihre Zugangdaten auf einer fremden Webseite eingegeben haben, ändern Sie bitte umgehend Ihr Passwort!
Archivierte Meldungen (Zum Lesen grünes Dreieck klicken):
-
Phishing-Welle mit TUHH Layout (Meldung vom 29.03.2024)Die Phishing-Mail gaukelt vor, dass eine Anmeldung erforderlich sei, um die Schließung des Accounts zu verhindern.
Es wird eine externe Zielwebseite unter der .com Domäne verlinkt, die das Layout der TUHH Hompage nachahmt.
Hier ist ein Beispiel zur Aufmachung des Phishingversuchs:
Die Merkmale in der Phishing-Mail sind:
- Keine Nennung des ablaufenden Accounts
- Keine persönliche Anrede des Nutzers
- Keine signierte Funktionsmailadresse
- Link auf eine externe Domain
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Weitere Phishing-Welle mit TUHH Logo (Meldung vom 06.12.2023)Die aktuelle Phishing-Mail gibt vor, dass ein abgelaufenes Passwort validiert werden müsse, um dieses beibehalten zu können.
Sowohl die Phishing-Mail als auch die Phishing-Webseite schreiben mehrfach tuhh.de und es wird ein TUHH-Logo eingebunden.
Hier ist ein Beispiel zur Aufmachung des Phishingversuchs:
Die Merkmale in der Phishing-Mail sind:
- Externe Mail-Adresse hinter dem Anzeigenamen
- Keine persönliche Anrede
- Link auf eine externe Domain
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Phishing-Welle mit TUHH Logo (Meldung vom 24.10.2023)Die aktuelle Phishing-Mail gibt vor, dass es einen unbefugten Anmeldeversuch gegeben hätte und man sein Mailkonto validieren müsste, um eine Sperrung zu vermeiden.
Dabei wird an mehreren Stellen TUHH, Technische Universität Hamburg sowie die aktuellen TUHH-Logos verwendet, um authentisch auszusehen.
Hier ist ein Beispiel der Phishing-Mail eines gmail-Absenders sowie die Zielwebseite, auf der die Zugangsdaten eingegeben werden sollen:
Die Merkmale in der Phishing-Mail sind:
- Unbekannte, externe Mail-Adresse hinter dem Anzeigenamen
- Unpersönliche Anrede als Nutzer
- Link auf eine externe Domain
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Mehrere Phishing-Wellen (Meldung vom 16.12.2022)Die aktuellen Phishing-Mails geben vor, dass Nachrichten zurückgehalten werden. Dazu werden bekannte Produktnamen wie z.B. SOGo genannt. Die Login-Links führen jedoch auf externe Anmeldeseiten.
Angebliche Absender sind z.B. tuhh.de Message Center, wobei hinter dem Anzeigenamen externe Mail-Adresse stehen. Dies sind mehrere Beispiele zu den Variationen der Phishing-Mails:
Die Merkmale in der Phishing-Mail sind:
- Unbekannte, externe Mail-Adresse hinter dem Anzeigenamen
- Anrede mit der TUHH-Mail-Adresse als angebliche User-ID
- Link auf eine externe Domain, teilweise mit Captcha
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Phishing-Welle mit Horde und tu_harburg_de im Link (Meldung vom 18.07.2022)Die Phishing-Mail verwendet im Link webmail_tu_harburg_de als Pfad, aber die eigentliche Domain des Servers ist extern. Auch die Zielwebseite nutzt TUHH Horde sowie das Horde Layout, um das echte Horde Webmail nachzuahmen.
Die Merkmale in der Phishing-Mail sind:
- Unbekannter, externer Absender
- Keine individuelle Mail (nicht im AN-Feld)
- Keine persönliche Anrede
- Link auf externe Domain
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Scam-Welle wieder in englischer Sprache (Meldung vom 07.07.2022)Die bereits bekannte Scam-Masche (vergleiche Warnmeldungen vom 07.02.2020, 12.05.2021 sowie 23.05.2022) nutzt einen bekannten Absendernamen, um Vertrauen zum Opfer aufzubauen.
Typisch ist weiterhin das Abhängigkeitsverhältnis, bei dem ein Professor oder eine Leitung an einzelne Mitarbeiter des Bereiches schreibt. Vermutlich stammen diese Daten von Teamwebseiten.
Die Mail-Adresse hinter dem falschen Anzeigenamen ist üblicherweise gmail.com, der verwendete Account und der Text variieren jedoch. Dies ist ein aktuelles Beispiel:
Von: [Vorname und Nachname eines TUHH Professors] [random@gmail.com]
An: [Mitarbeiter der Arbeitsgruppe des Professors]
Betreff: Do you've some free time?
Hello,
I need you to quickly handle a task for me.
Best Regards
Prof. Dr. Vorname Nachname
Bei einer Antwort an die gmail-Adresse wird man typischerweise erst um einen Gefallen und dann um den Kauf von Gutschein-Karten gebeten.
Die Codes sollen dann dem Angreifer zur Einlösung an eine weitere gmail-Adresse übermittelt werden und werden entwertet.
Der Anzeigename des Absenders und die Signatur können frei gewählt werden.
Achten Sie daher auch immer auf die Mail-Adresse hinter dem Anzeigenamen.
Der Mail-Server der TUHH erkennt externe @tuhh.de Mails und sortiert diese aus. -
Scam-Welle nun in Deutsch mit nachgeahmter Signatur (Meldung vom 23.05.2022)Die bereits in 2020 und 2021 laufende, englischsprachige Betrugsmasche nutzt nun einen deutschen Text für die Kontaktaufnahme zum Opfer.
Es wird oft ein Abhängigkeitsverhältnis bzw. eine bekannte Person verwendet, d.h. eine Leitung schreibt angeblich an ihre Mitarbeiter.
Die Mail-Adresse hinter dem Anzeigenamen ist üblicherweise gmail.com, der Account und Text variieren jedoch. Dies ist ein aktuelles Beispiel:
Von: [Titel, Vorname und Nachname eines TUHH Professors] [random@gmail.com]
An: [Mitarbeiter der Arbeitsgruppe des Professors]
Betreff: [keiner]
Hallo, bist du verfügbar?
Bitte, ich brauche dringend Ihre Hilfe.
Prof. Dr. [Vorname Nachname]
[Signatur]
Bei einer Antwort an die gmail-Adresse wird man typischerweise um den Kauf von Gutschein-Karten gebeten.
Die Codes sollen dann dem Angreifer zur Einlösung an eine weitere gmail-Adresse übermittelt werden.
Der Anzeigename des Absenders und die Signatur können frei gewählt werden.
Achten Sie daher auch immer auf die Mail-Adresse hinter dem Anzeigenamen.
Der Mail-Server der TUHH erkennt externe @tuhh.de Mails und sortiert diese aus. -
Phishing mit TUHH Logo und tu-harburg im Link (Meldung vom 21.05.2022)Die Phishing-Mail zeigt mit allen drei Links auf den Hostnamen tu-harburg-de-horde in der Domain .weebly.com. Der Hostname hat keinen Bezug zur TUHH. Entscheidend ist zunächst die Domain. Im Hintergrund der Phishing-Webseite ist das TUHH Logo als Täuschung eingebettet.
Die Merkmale in der Phishing-Mail sind:
- Unbekannter, externer Absender
- Keine individuelle Mail (nicht im AN-Feld)
- Keine persönliche Anrede
- Link auf externe Domain
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Agressive Phishing-Welle mit hoher Variation (Meldung vom 24.02.2022)Die aktuelle Phishing-Welle zielt erneut auf eine externe Weebly.com Webseite, ist aber generisch, d.h. hat keinen Bezug zur TUHH. Das Vorgehen des Spammers ist mit drei Varianten in zwei Tagen sehr hoch. Neben verschiedenen Absendern werden Verkürzungsdienste wie shorturl.at oder auch HTML-Links zur Verschleierung des eigentlichen Ziels verwendet.
Die Merkmale in der Phishing-Mail sind:
- Unbekannter, externer Absender
- Keine individuelle Mail (nicht im AN-Feld)
- Keine persönliche Anrede
- Link auf externe Domain (teilweise hinter einem Verkürzungsdienst
- Eigenartige Signatur
Prüfen Sie vor der Eingabe Ihres Passworts stets die Domain der Webseite, auf der Sie sich befinden. Die TUHH verwendet tuhh.de, tu-harburg.de und tu-hamburg.de!
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Erneute Phishing-Welle mit Horde Webmail Loginmaske (Meldung vom 20.01.2022)Die aktuelle Phishing-Mail ist eine Neuauflage vom 17.11.2021 und versucht auf eine nachgeahmte Horde Webmail Loginmaske zu locken. Nach der Eingabe der Mail-Adresse und des Passwortes wird man wieder auf die TUHH Homepage umgeleitet, um von dem Diebstahl der Credentials abzulenken.
Die Merkmale in der Phishing-Mail sind:
- Unbekannter, externer Absender
- Keine individuelle Mail (nicht im AN-Feld)
- Keine persönliche Anrede
- Link auf externe Domain
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
Phishing-Welle mit Horde Webmail Loginmaske (Meldung vom 17.11.2021)Die Phishing-Mail versucht auf eine nachgeahmte Horde Webmail Loginmaske zu locken. Nach der Eingabe der Zugangsdaten wird man auf die TUHH Homepage weitergeleitet, um von dem Diebstahl der Credentials abzulenken.
Die Merkmale in der Phishing-Mail sind:
- Unbekannter, externer Absender
- Keine persönliche Anrede
- Link auf externe Domain
Sollten Sie Ihre Zugangdaten auf der Webseite eingegeben haben, ändern Sie umgehend Ihr Passwort! -
SMS-Spam über angebliche Paketzustellung (Meldung vom 14.11.2021)Der Phishing-Versuch selbst ist relativ offensichtlich, aber das Medium ist dieses Mal nicht Mail sondern eine SMS:
- Keine persönliche Anrede
- Kein Absender (Dienst) genannt
- Fehlende Umlaute / komischer Satzbau
- Externer Link (kein bekannter Paketdienst)
- Kein Paket erwartet
Es sind nicht nur private sondern auch Diensthandynummern von Dataport betroffen, die erraten oder geleakt wurden.
Ob Mail, SMS oder Telefonanruf: Seien Sie bei der mutmaßlichen Identität des Dritten stets misstrauisch.
Geben Sie keine Informationen oder TUHH Zugangsdaten and Dritte weiter und installieren Sie auch nichts. -
Phishing-Versuch unter Nennung von SOGo (Meldung vom 20.07.2021)Es gibt mehrere Meldungen über angeblich ablaufende SOGo-E-Mails. Hier ist ein Beispiel:
Es gibt wieder die typischen Phishing-Kennzeichen:
- Externer Absender (@wels.gv.at)
- Externer Link (https://webmail.wels.gv.at/)
- Redirect zur Verschleierung (https://www.egxmail.weebly.com)
- Unpersönliche Anrede
Ablaufmeldungen Ihres TUHH-Accounts verwenden interne, signierte Mails.
Ihr Name sowie Ihr Login sind uns bekannt und werden konkret benannt. -
Anrufe durch vermeintlichen Microsoft Support (Meldung vom 24.06.2021)Es gibt einzelne Meldungen von Anrufen durch einen vermeintlichen Microsoft-Mitarbeiter an der TUHH. Bei diesen Anrufen versucht der Angreifer einen Zugriff auf die jeweiligen Endgeräte durch Ferninstallation einer speziellen Software zu erlangen. Die Gespräche verlaufen dabei meist in gebrochenem Englisch.
Scam-Angriffe müssen nicht immer nur per Mail erfolgen. Gerade die Social-Engineering Komponente am Telefon ist äußerst erfolgreich, wenn der Angreifer nett und hilfsbereit ist. Beenden Sie solche Gespräche umgehend, diese sind nicht zielführend und melden Sie den Vorfall im RZ.
Microsoft führt unter keinen Umständen unaufgeforderte Telefonanrufe durch.
Gehen Sie nicht auf Forderungen nach Vorauszahlungen oder Nachfragen nach Kreditkarteninformationen ein, auch nicht unter dem Vorwand von Sicherheitsupdates oder der Verifikation von Windows- oder Office-Lizenzen. -
Anhaltende Scam-Welle (Meldung vom 12.05.2021)Seit mehreren Wochen gibt es vereinzelte Meldungen über eine englischsprachige Betrugsmasche.
Dieser Scam erinnert sehr stark an die Warnmeldung vor einem Jahr (siehe 07.02.2020 unten).
Der Text und die gmail-Mail-Adressen variierien jedoch. Dies ist ein aktuelles Beispiel:
Von: [Vorname und Nachname eines TUHH Professors] [direcctorr11@gmail.com]
An: [Mitarbeiter der Arbeitsgruppe des Professors]
Betreff: Available?
When you have a minute, could you please drop me an email
Best Regards
Prof. Dr. [Vorname Nachname]
Bei einer Antwort an die gmail-Adresse wird man um den Kauf von Gutschein-Karten gebeten.
Die Codes sollen dann dem Angreifer zur Einlösung übermittelt werden.
Der Anzeigename des Absenders und die Signatur können frei gewählt werden.
Achten Sie daher auch immer auf die Mail-Adresse hinter dem Anzeigenamen.
Der Mail-Server der TUHH erkennt externe @tuhh.de Mails und sortiert diese aus. -
Weiterer Phishing-Versuch (Meldung vom 14.04.2021)Diese ungerichtete Phishing-Mail hat keinen konkreten TUHH Bezug.
Die Absende-Mailadresse hinter dem Anzeigenamen sowie der Link sind beide extern.
Dienste der TUHH werden unter den Domains tuhh.de und tu-harburg.de betrieben.
Passworteingaben in TUHH Diensten sind stets verschlüsselt (HTTPS, nicht nur HTTP).
Mails der TUHH stammen ebenfalls von diesen Domains und sind in der Regel persönlich. -
Phishing-Versuch über SOGo (Meldung vom 31.03.2021)Die Phishing-Mail verlinkt zu einer externen SOGo-Webseite mit TUHH Logo.
Dabei soll der Anzeigename des Absenders Tuhh.de offiziell wirken.
Der Betrugsversuch lässt sich aber an den üblichen Kritierien erkennen:
- Die deutsche Übersetzung hapert leicht (Betreff: "SEHR DRINGEND BITTE.").
- Die Mail ist nicht persönlich an einen Nutzer gerichtet (kein AN, Anrede).
- Es wird Druck aufgebaut, umgehend zu handeln und sich anzumelden.
- Absende-Mail-Adresse und Ziel-Link sind beide extern (siehe Screenshots).
Dienste der TUHH werden unter den Domains tuhh.de und tu-harburg.de betrieben.
Passworteingaben in TUHH Diensten sind stets verschlüsselt (HTTPS, nicht nur HTTP).
Mails der TUHH stammen ebenfalls von diesen Domains und sind in der Regel persönlich. -
Phishing-Welle (Meldung vom 18.09.2020)Die Phishing-Mail ist leidlich gut ins Deutsche übersetzt. Außerdem wird in der URL tu-harburg als auch auf der Webseite TUHH verwendet. Der Betrugsversuch lässt sich aber an den üblichen Kritierien erkennen:
Fremder Absender wumtcenter003@gmail.com,
externer Link auf .weebly.com,
und keine persönliche Anrede, vergleiche:
Betreff: Beachtung
Datum: Thu, 17 Sep 2020 23:47:59 +0100
Von: Willkommen bei TUHH Webmail [wumtcenter003@gmail.com]
Willkommen bei TUHH Webmail Service Announcment 2020,
Aufgrund zu vieler nicht verwendeter Konten durch Abonnenten haben wir beschlossen, jedes Konto zu aktualisieren, damit wir alle nicht verwendeten Konten von unserem System entfernen können. Damit wir nicht wissen, dass Ihre aktiv ist, müssen Sie sich mit Ihrem tu-harburg.de-Konto über den unten angegebenen Link bei Ihrem Online-Konto anmelden.
Für den sofortigen Zugriff verwenden Sie diesen Link, um Ihr Konto zu aktualisieren> https://webmail-tu-harburg-de-horde-login-php-2020 .weebly.com/
WARNUNG! Der Kontoinhaber, der sich weigert, sein Konto innerhalb von 48 Stunden nach Erhalt dieser Warnung zu aktualisieren und zu pflegen, verliert sein Konto dauerhaft.
Willkommen bei TUHH Webmail | Datenschutzerklärung | Nutzungsbedingungen | Über unsere Anzeigen | Sitemap | Hilfe © 2020 Willkommen bei TUHH Webmail
Danke für Ihre Kooperation.
Mit freundlichen Grüßen,
Seitenadministrator
Service Account Management Team.
Die eigentliche Phishing-Webseite ahmt das bekannte Horde-Design nach, enthält aber kein TUHH Logo
Das RZ löscht keine Mail-Postfächer innerhalb von 48 Stunden. Das ist völlig unrealistisch.
Wie immer sollten Passworteingaben auf bisher unbekannten Seiten kritisch geprüft werden. -
Phishing-Welle (Meldung vom 29.04.2020)Die Sprache der aktuellen Phishing-Mail ist sehr gut, aber an den üblichen drei Kritierien lässt sich die Spam-Mail erkennen:
Fremder Absender TUHH Webmail [xxx@rect.uh.cu | xxx.xxx@uniparthenope.it],
externer Link bit.ly auf xxx-xxx.atwebpages.com
und keine persönliche Anrede, vergleiche:
Betreff: [TUHH] E-Mail-Benachrichtigung
Datum: Wed, 29 Apr 2020 08:33:49 +0200
Von: TUHH Webmail [joa@rect.uh.cu]
An: undisclosed-recipients
Sehr geehrter Webmail-Benutzer,
Bitte Ihr Konto wurde aufgrund verdächtiger Aktivitäten vorübergehend deaktiviert. Wenn Sie der Meinung sind, dass wir dies versehentlich getan haben, besuchen Sie bitte unseren sicheren TUHH REACTIVATION WEB SERVER HIER -> TUHH Webmail-Authentifizierungsdienst [bit.ly/ 2VNPwbb] <- um Ihre WEBMAIL sofort wieder zu aktivieren.
Vielen Dank. Wir entschuldigen uns für etwaige Unannehmlichkeiten.
Webmailsystem der TUHH,
Technischen Universität Hamburg (TUHH)
Das RZ kennt die Account-Inhaber und würde sich in einem solchen Fall persönlich melden.
Wie immer sollten Passworteingaben auf bisher unbekannten Seiten kritisch geprüft werden. -
Weitere Phishing-Welle (Meldung vom 17.04.2020)Das Angriffsmuster ähnelt der letzten Phishing-Mail:
Fremder Absender tuhh.de [noreply@sendgrid.com] mit dem Betreff Verstoß gegen die Allgemeinen Geschäftsbedingungen !, keine persönliche Anrede, Ziel-Webseite hinter einem kryptischen Link extern auf sinfronterascb.com.
Es wird zusätzlich Druck durch eine Fristsetzung und einen Countdown erzeugt, vergleiche:
Das RZ kennt die Account-Inhaber und würde sich in einem solchen Fall persönlich melden.
Wie immer sollten Passworteingaben auf bisher unbekannten Seiten kritisch geprüft werden. -
Erneute Phishing-Welle (Meldung vom 13.04.2020)Angeblich müssen Mail-Postfächer validiert werden. Das gemeine ist, dass die Mail als auch die Ziel-Webseite die Begriffe "TUHH Helpdesk" (nicht Servicedesk) und "Technische Universität Hamburg(TUHH)" verwenden, um authentisch zu wirken.
Der Absender ist ein portugisischer Account, es gibt keine persönliche Anrede (undisclosed-recipients) und die Ziel-Webseite liegt durch einen Verkürzungs-Link verschleiert in der Cloud, vergleiche auch
Geben Sie Ihr TUHH Passwort nicht auf fremden Webseiten ein.
Generell sollten Sie eine solche Aufforderung immer misstrauisch prüfen. -
Phishing-Welle zu Covid-19/Corona (Meldung vom 13.03.2020)Es kursieren derzeit Mails, die unaufgefordert über den Corona-Virus berichten und vorgeben, nützliche Informationen zu enthalten. Absender ist angeblich u.a. die Weltgesundheitsorganisation (WHO), die z.B. über Hygiene-Tipps zur Prophylaxe informieren will. Die Links in den Mails führen zu Dokumenten, die Schadcode bzw. einen Computer-Virus enthalten.
Unsere Empfehlung ist daher:
- Prüfen Sie bei nicht angeforderten Mails den Absender kritisch. Der Anzeigename allein reicht nicht, welche Mail-Adresse steht dahinter?
- Prüfen Sie, wohin ein Link tatsächlich führt. Am PC indem Sie mit dem Mauszeiger über den Link gehen ohne zu klicken.
- Führen Sie insbesondere *keine Macros* in Office-Dokumenten wie .doc aus, weil es angeblich eine ältere/neuere Office Version ist.
-
Phishing-Welle mit TUHH Logo (Meldung vom 24.02.2020)Die folgende Mail stammt nicht vom Rechenzentrum.
Ausgang ist ein komprommitierter Account der OTH Regensburg.
Die Kurz-URL gehört zur Domain c1.bz und nicht zur tuhh.de.
Die Webseite dahinter gehört dem Angreifer, der die Passwörter abgreift.
Falls Sie Ihr Passwort auf der Ziel-Webseite eingegeben haben, ändern Sie es umgehend!
-
Englische Scam-Mail (Meldung vom 07.02.2020)Über eine Google-Mail wie 'professorsmail22@gmail.com' wird zunächst Kontakt aufgenommen. Dabei ist der Anzeigenahme der des Professors. Angeschrieben werden einzelne Mitarbeiter. Möglicherweise stammen die Namen / Beziehung von den Team-Webseiten des jeweiligen Institutes.
Die Mail ist kurz und sieht so oder ähnlich aus:
Von: Prof. Dr. (Institutsleiter) [mailto:professorsmail22@gmail.com]
An: (Mitarbeiter im Institut)
Betreff: Urgent Request
Hello
I need a favor from you right now Kindly email me back as soon as possible.
Regards
Prof. Dr. (Institutsleiter)
Head Institute of (Institut)
Sent from my iPhone
Bei einer Antwort werden aus Gefälligkeit Gutschein-Codes von mehreren 100 Euro verlangt.
Diese Codes sollen dem Angreifer dann über eine seperate Mail-Adresse zugstellt werden.
Achten Sie bei Mails auf den Absender und fragen Sie bei ungewöhnlichen Anliegen über einen bekannten Kommunikationskanal nach.
-
HTML-Rechnungen (Meldung vom 07.02.2020)Es gibt mehrere Meldungen von Mails mit einem HTML-Anhang 'Rechnung Nr. 2020010063.html'.
Darin befindet sich ein Kurzlink 'bit.do/(random)' über den die eigentliche Schadsoftware von einem externen Server heruntegalden werden soll.
Der Anzeigename und das Layout eines IT-Systemhauses sind gut nachgeahmt. Sowohl die Absende-Adresse als auch der Empfänger sind aber unsinnig.
Unpersönliche Rechnungen von jemand anderen in BCC (Blind Carbon Copy) sind für professionelle Dienstleister ungewöhnlich.
Achten Sie bei eingebetteten Links darauf, wohin diese führen.
-
Emotet Phishing-Welle (Meldung vom 10.12.2018)Warnmeldungen des BSI sowie auf Heise Security greifen die aktuelle Phishing-Welle bereits auf.
Die Aufmachung der Mail variiert, lehnt sich aber an dem alten Schema an:
Betreff: Rechnung 2018 RE07162_4
Datum: Mon, 10 Dec 2018 10:00:00 -0600
Von: Max Mustermann ["max.mustermann@tuhh.deinfo"@random-company.de]
An: Sie
Sehr geehrter Kunde,
Wir entschuldigen uns für diese Unannehmlichkeiten und würden uns sehr freuen, wenn Sie uns weiterhelfen könnten.
Liebe Grüße!
Max Mustermann
-
0529 290 621 - 30 [Telefonzentrale]
0529 290 621 - 26 [Faxeingang]
max.mustermann@tuhh.de
-
Von meinem iPhone gesendet.
An die Mail angehängt ist üblicherweise ein Microsoft Word Dokument (.doc), das einen Makro-Virus enthält.
Häufige Namen sind 'RE-id.doc', 'RECH-id.doc' oder 'RECHNUNG-id.doc' (id = zufällige Nummer / Datum).
Bitte prüfen Sie bei Mail-Dateianhängen den Absender genau.
Die Signatur ist häufig unsinnig (keine +49 40 42878-xxxx)
Aktivieren Sie auf keinen Fall Makros "zur korrekten Anzeige"!
-
Ähnliche Phishing-Welle (Meldung vom 04.12.2018)Aktuell gibt es eine verbesserte Phishing-Welle, bei der Nutzer Ihre Credentials eingeben sollen.
Eine typische Aufmachung der Mail ist diese:
Sehr geehrter E-Mail-Benutzer,
Wir migrieren alle E-Mail-Konten auf die neue Outlook Web App 2019.
Daher müssen alle aktiven Kontoinhaber dies überprüfen und sich anmelden, damit das Upgrade und die Migration jetzt automatisch wirksam werden.
Dies geschieht, um die Sicherheit und Effizienz aufgrund kürzlich eingegangener Spam-Mails zu verbessern.
Um Dienstunterbrechungen zu vermeiden, klicken Sie bitte auf den Link unten, um Ihre Datensätze zu aktualisieren
Outlook Web App 2019 (http://miteduservicedesk.000webhostapp.com/) und Melden Sie sich an, um weitere Spam-Mails zu migrieren und zu blockieren.
Wenn Sie Ihr Konto nicht innerhalb von 48 Stunden migrieren, wird Ihr Konto vorübergehend gesperrt, sodass Sie keine E-Mails empfangen / senden können.
ITS-Helpdesk
Informationstechnische Dienstleistungen
Bitte achten Sie stets auf die Domain der URL, d.h. auf den Teil links vom ersten einzelnen /
Die Domain 000webhostapp.com/ ist nicht Teil der TUHH!
Der Absender ist ebenfalls nicht die TUHH, es werden u.a. Adressen aus Norwegen und von Hotmail.com genutzt. -
Verbesserte Phishing-Mails (Meldung vom 28.08.2018)Die aktuelle Phishing-Welle gaukelt nun auch die bekannte Mail-Adresse im Anzeigenamen vor.
Dabei gibt es eine bessere und eine schlechtere Variante.
Alte Phishing-Mail:
"Max Mustermann" [asdfghjkl@outlook.com]
Neue Variante der aktuellen Welle:
"Max Mustermann [max.muestermann@tuhh.de]" [asdfghjkl@outlook.com]
Fehlerbehaftete Variante:
Max Mustermann ["max.muestermann@tuhh.deasdfghjkl"@outlook.com]
Das RZ empfiehlt stets die Absendeadresse im Mail-Programm anzeigen zu lassen!
Dieser sollte insbesondere bei unerwarteten Datei-Anhängen kritisch geprüft werden. -
Phishing-Welle (Meldung vom 30.04.2018)Aktuell gibt es wieder eine Phishing-Welle, bei der Nutzer Ihre Credentials eingeben sollen.
Eine typische Aufmachung der Mail ist diese:
Ihre Mailbox hat das von Ihrem E-Mail-Administrator festgelegte
Speicherlimit überschritten.
Und Sie werden nicht in der Lage sein, neue E-Mails zu erhalten, bis Sie
Ihr Webmail erneut validieren.
Klicken Sie hier, um erneut zu validieren:
https://osas28.000webhostapp.com /tu-harburg.de/tu-harburg.de.htm
Systemadministrator
Webmail-Administrator
https://osas28.000webhostapp.com /tu-harburg.de/tu-harburg.de.htm
Bitte achten Sie stets auf die Domain der URL, d.h. auf den Teil links vom ersten einzelnen /
Die Domain 000webhostapp.com/ ist nicht Teil der TUHH! -
BSI warnt vor E-Mails mit gefälschtem BSI-Absender (Meldung vom 15.01.2018)Derzeit gibt es eine Spam-Welle, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) nachahmt.
Sowohl die gefälschte BSI-für-Bürger Mail als auch die gefälschte BSI Webseite sehen dabei täuschend echt aus.
Auf der Seite des BSI kann die Spam-Mail und Fake-Webseite betrachtet werden.
Falls Sie eine E-Mail mit dem Betreff "Kritische Sicherheitslücke - Wichtiges Update" oder ähnlich des BSI erreicht, öffnen Sie den darin enthaltenen Link nicht.
Die Originalmeldung gibt es hier: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Gefaelschte_BSI-Mails_12012018.html -
SPAM-Mails vermeintlicher Kollegen (Meldung vom 22.08.2017)
SPAM-Mails vermeintlicher Kollegen (Meldung vom 22.08.2017)
Es gibt eine weitere Welle an SPAM-Mails, die eine persönliche Anrede und Link-Adresse enthalten.
Diese Mails stammen laut Anzeigenamen angeblich von einem Kollegen, nicht jedoch von dessen Mail-Adresse.
Es wird auf eine externe Link-Adresse verwiesen. Die Grußformel sieht (häufig) wie eine Mail-Adresse aus.
Der Inhalt der Mail ist in etwa dieser:
Betreff: Rech MB - 253-WX6470 [IhrVorname] [IhrNachname]
Datum: Tue, 22 Aug 2017 10:50:00 +0100
Von: [Kollege]@tuhh.de [jerzy.och@daewon.eu]
An: [IhrVorname].[IhrNachname]@tu-harburg.de
Guten Tag, [IhrVorname] [IhrNachname]
siehe Anhang
Rech:
http://hpprose.com/Rech-97697381255/
[IhrVorname] [IhrNachname]
Mit freundlichen Grüße
[Kollege]@tuhh.de
Was kann man tun?
Kritisch bei unerwarteten Mail-Anhängen sein.
⇒ Wer ist der Absender? Ist die Mail für mich? Erwarte ich ein Dokument?
Echtheit der Mail prüfen.
⇒ Passt die Mail-Adresse zum Anzeigenamen? Passt ein Link zum Absender? Stimmt die Domain?
Text-Mail im Mail-Programm einstellen.
⇒ Fehlende HTML Formatierungen erschweren eine Täuschung / die Einbindung von Schadcode in die Mail.
System/Browser/AV-Scanner regelmäßig aktualisieren.
⇒ Viele Angriffe sind erfolglos, wenn Sicherheitslücken geschlossen wurden.
Im Zweifel Absender kontaktieren.
⇒ Bei bekannten Kommunikationspartnern über anderen Kanal (Telefon, vertraute Mail-Adresse) nachfragen.
Makros in Office deaktivieren.
⇒ Es sollten niemals Skripte/Makros automatisch ausgeführt bzw. aus unsicherer Quelle aktiviert werden.
Sensibilisierung
⇒ DV-Beauftragte / Leitungen sollten Mitarbeiter in ihren Bereichen auf aktuelle Gefährdungen hinweisen. -
Variation einer Phishing-Attacke (Meldung vom 24.04.2017)Es gibt erneut Meldungen über die Wiederholung der Phishing-Attacke vom 08.03.2017.
Diese Mails fordern den Nutzer auf, Login-Informationen in einer Antwortmail an eine externe Mail-Adresse zu schicken.
Der Text und die Mail-Adresse haben sich verändert. Zudem wird nun TU Hamburg anstatt TU Hamburg-Harburg verwendet.
Der Inhalt der Mail ist in etwa dieser:
Betreff: Bestätigen Sie dieses E-Mail-Konto
Datum: Mon, 24 Apr 2017 15:00:00 +0200
Von: TUHH Webmail | TUHH Technische Universität Hamburg
Antwort an: validate@techie.com
Organisation: TUHH Webmail | TUHH Technische Universität Hamburg
--
Achtung Benutzer,
Dies ist eine automatisierte Nachricht von unseren Servern; Wenn Sie diese
Meldung erhalten, zeigt dies an, dass Ihre Maibox zur Deaktivierung in die
Warteschlange gestellt wurde. Aufgrund der jüngsten Trojan.Flame.A Angriffe
werden wir die Instandhaltung auf unserer Website Mail Service / Konten
durchführen. Um eine permanente Deaktivierung Ihres E-Mail-Kontos zu vermeiden
und eine erhöhte Speicherkapazität von E-Mails zu ermöglichen, müssen Sie die
folgenden Informationen mit den nächsten 72 Stunden eingeben:
Vollständiger Name
Email:
Benutzername:
Passwort:
Bestätige das Passwort:
Abteilung:
Wenn Sie dieses Problem innerhalb der angegebenen Zeit nicht lösen, wird Ihr
E-Mail-Konto dauerhaft deaktiviert. Ihr Konto bleibt jedoch gültig, nachdem
Sie Ihre Kontoinformationen erfolgreich bestätigt haben. Wir entschuldigen
uns für eventuelle Unannehmlichkeiten und bedanken uns für Ihr Verständnis.
Mit freundlichen Grüßen,
© 2017 TUHH Technische Universität Hamburg Web-Admin
Bitte prüfen Sie bei solchen Mails stets die Absende- als auch die Ziel-Mail-Adresse kritisch!
Außerdem fragt Sie das Rechenzentrum n i e nach Ihrem Passwort! -
Wiederholung einer Phishing-Attacke (Meldung vom 08.03.2017)Seit dem letzten Wochenende gibt es vereinzelte Meldungen über eine Wiederholung der Phishing-Attacke von Ende Juli 2016.
Diese Mails fordern den Nutzer auf, Login-Informationen in einer Antwortmail an eine externe Mail-Adresse zu schicken.
Der Inhalt der Mail ist in etwa dieser:
Betreff: Überprüfen Sie Ihr e-Mail-Konto
Datum: Sat, 04 Mar 2017 20:00:00 +0100
Von: TUHH | Technische Universität Hamburg-Harburg Mail-Dienst (m.stasiak@uksw.edu.pl)
Antwort an: webtechie12@gmail.com
Organisation: TUHH | Technische Universität Hamburg-Harburg Mail-Dienst
--
Achtung TUHH Benutzer,
Aufgrund des jüngsten Angriffs Trojan.Flame.A. Virus auf unseren
Servern, sind wir im Begriff, Wartung auf unserem Web Dienstleistungen /
Konto durchzuführen. Wenn Ihr Konto innerhalb von 48 Stunden nicht
bestätigt wird, wird Ihr E-Mail-Konto dauerhaft deaktiviert. Um das
Postfach zu bestätigen, füllen Sie die korrekten Informationen in dem
folgenden Feld aus:
Vollständiger Namen:
Email:
Benutzernamen:
Passwort:
Bestätige das Passwort:
Abteilung:
Ihr Konto bleibt gültig, nachdem Sie Ihre Konto informationen
erfolgreich bestätigt haben.
Dein im Dienst,
© 2017 TUHH | Technische Universität Hamburg-Harburg Mail-Dienst
Bitte prüfen Sie bei solchen Mails stets die Absende- als auch die Ziel-Mail-Adresse kritisch!
Außerdem fragt Sie das Rechenzentrum n i e nach Ihrem Passwort! -
Phishing-Attacke gegen die TUHH (Meldung vom 17.02.2017)Seit Freitag, den 17.02.2017, berichten TUHH Mitglieder von Phishing-Mails, die nach Login-Daten fragen. Diese Mails verlinken hierzu auf einen externen Anbieter .moonfruit.com/.
Der Inhalt der Mail ist in etwa dieser:
Betreff: Benachrichtigung
Von: Technische Universität Hamburg-Harburg
Datum: 17.02.2017 10:58
An: undisclosed-recipients:;
Ihr Abonnement ist abgelaufen E-Mail-Konto und Ihre Web-Mail-Konto über ausgesetzt werden, bestätigen Sie Ihre Konto Ihre E-Mail aktiv zu halten. klicken Sie hier, um Ihr Konto zu erweitern, oder den unten stehenden Link
klicken Sie hier
Webmaster
©2017 Technische Universität Hamburg-Harburg
Bitte beachten Sie bei solchen Mails stets, dass die
Eingabe des TUHH Passwortes auf externen Webseiten nicht gestattet ist!Dropbox-Passworte im Umlauf (Meldung vom 20.10.2016)Es wurde bekannt, dass im Jahr 2012 Mail-Adressen sowie die zugehörigen verschlüsselten Passworte bei Dropbox entwendet wurden. Diese Daten stehen nun frei im Internet, so dass Angreifer versuchen können, die Passworte zu entschlüsseln, siehe auch https://www.heise.de/security/meldung/68-Millionen-verschluesselte-Passwoerter-aus-Dropbox-Hack-veroeffentlicht-3340846.html und http://www.golem.de/news/dropbox-hack-68-millionen-passworthashes-veroeffentlicht-1610-123598.html.
Unmittelbar betroffen sind Dropbox-Accounts, bei denen das Passwort seit 2012 nicht mehr geändert wurde. Sollten Sie Dropbox seit 2012 nutzen ohne das Passwort zwischenzeitlich geändert zu haben, setzen Sie bitte zügig ein neues Passwort.
Denken Sie an bereits verbundende Geräte. Bei der Weboberfläche unter Konto - Sicherheit lassen sich die letzten verwendeten Sitzungen sowie verknüpfte Geräte einsehen und letztere trennen.
Es besteht die Möglichkeit zu prüfen, ob Ihre Mailadresse in diesem oder anderen Fällen im Zusammenhang mit gestohlenen Datensätzen veröffentlicht worden ist: https://haveibeenpwned.com/
Wir empfehlen auch zu prüfen, ob dieselbe oder eine ähnliche Kombination aus Mailadresse und Passwort an anderer Stelle verwendet wird. Falls zutreffend, sollte das Passwort an diesen Stellen wesentlich geändert werden, damit es nicht einfach erraten werden kann.
Zur Erinnerung:
Das Passwort für den TUHH-Account darf für keine anderen Dienste verwendet werden!Weitere Phishing-Attacke gegen die TUHH (Meldung vom 01.08.2016)Am Wochenende 30.-31.07.2016 wurden erneut Phishing-Mails an einzelne Mitglieder der TUHH versendet. Diese Mails fordern den Nutzer auf, wichtige Informationen in einer Antwortmail an webtechie12@gmail.com preiszugeben.
Der Inhalt der Mail ist in etwa dieser:
Von: TUHH | Technische Universität Hamburg-Harburg WebMail Admin
Datum: 30. Juli 2016 16:00:00 MESZ
An: undisclosed-recipients:;
Betreff: Überprüfen Sie Ihr Konto
Antwort an: webtechie12@gmail.com
--
Achtung TUHH Benutzer,
Dies ist eine automatisierte Nachricht von unseren Servern; Wenn Sie diese Nachricht erhalten, wird Ihre E-Mail-Adresse für die Deaktivierung der Warteschlange. Aufgrund der jüngsten Angriff Trojan.Flame.A. Virus auf unseren Servern, wir sind über die Wartung unserer Webmail-Services auszuführen. Um eine dauerhafte Deaktivierung Ihres E-Mail-Konto zu vermeiden und für eine größere Speicherkapazität ermöglichen und verfügt über Ihrer Mailbox, werden Sie auf diese Nachricht zu reagieren, erforderlich und geben Sie die erforderlichen Informationen in den Raum innerhalb der nächsten 72 Stunden zur Verfügung gestellt.
Vollständiger Name:
E-mail:
Benutzername:
Passwort:
Passwort bestätigen:
Abteilung:
Wir entschuldigen uns für die Unannehmlichkeiten und bedanken uns für Ihr Verständnis.
Vielen Dank für E-Mail-Dienste TUHH verwenden.
Mit freundlichen Grüßen,
(C) 2016 TUHH | Technische Universität Hamburg-Harburg WebMail Admin
Diesmal handelt es sich zwar nicht um eine Eingabe auf einer fremden Webseite, aber es gilt natürlich trotzdem:
Verschicken Sie Ihr Passwort nicht im Klartext per Mail an (fremde) Personen!
Ihr Kerberos-Passwort darf stets nur Ihnen bekannt sein!Phishing-Mail gegen die TUHH (Meldung vom 01.07.2016)Seit dem 28.06.2016 wird eine Phishing-Webseite unter der Domain weblogin.site betrieben, die eine genaue Kopie der WebVPN-Anmeldeseite des Rechenzentrums ist.
Geben Sie keine Daten auf dieser Webseite ein!
Außerdem werden Phishing-Mails von TUHH-fremden Absendern verschickt, die vorgeben, dass der VPN Account zur weiteren Benutzung dringend reaktiviert werden müsste.
Die Phishing-Mails haben in etwa diese Form:
Subject: VPN Account
Date: Fri, 1 Jul 2016 12:00:00 +0430
From: University Libraries <library.uni.edu@gmail.com>
To: vorname.nachname@tuhh.de
Dear User,
Your VPN account has expired, therefore you must reactivate it
immediately or it will be closed automatically. If you intend to use
this service in the future, you must take action at once!
To reactivate your account, simply visit the following page and login
with your VPN account.
*Login Page http://webvpn.rz. tu-harburg.de.weblogin.site/CSCOE/logon/*
Sincerely,
--
/Technische Universität Hamburg-Harburg/
/21071 Hamburg/
/Germany/
/phone: +49 40 428 78 0 /
/fax: +49 40 428 78 2288 /
/ITS@tuhh.de/
Sollten Sie sich auf dieser Webseite eingeloggt haben, ändern Sie bitte umgehend Ihr Passwort!Schädliche Mail-Anhänge (Meldung vom 25.02.2016)Es wurden dem RZ seit Beginn der Woche mehrere Fälle von Mails mit schädlichem Anhang gemeldet, die an Mailadressen der TUHH versendet wurden. In mindestens zwei Fällen handelte es sich um den Krypto-Virus Locky, über den derzeit auch in den Medien berichtet wird, vergleiche z.B.
http://www.heise.de/security/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html
Krypto-Viren werden auch als Erpresser-Trojaner bezeichnet. Sie verschlüsseln die Daten auf der Festplatte, so dass diese für den Benutzer unbrauchbar werden. Dann wird ein Lösegeld gefordert, falls der Benutzer die Daten wieder entschlüsseln will.
Wieso erkennt der Mail-Server den Virus nicht?
Im Fall des obigen Locky wird dieser Krypto-Virus erst über ein Java-Skript nachgeladen, welches sich in einem ZIP-Anhang der Mail befindet. Hierdurch ist eine Überprüfung durch den Anti-Virus-Filter auf dem Mail-Server nicht möglich, da die schädliche Datei selbst ja nicht enthalten ist.
Es besteht zudem auch immer die Gefahr, dass eine ganz neue Variante des Viruses noch nicht in der Datenbank der Anti-Virus-Software enthalten ist.
Wie erkenne ich solche Mails?
Prüfen Sie, ob Sie den Absender kennen und auch ob dessen Absendeadresse authentisch ist. Hinterfragen Sie, ob Sie z.B. eine solche Rechnung erwarten.
Das ist nicht immer leicht zu entscheiden, aber Mail-Anhänge unbekannter Absender sollten stets kritisch betrachtet werden.
Was kann man tun, wenn es doch passiert?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt als eine Schutzmaßnahme gegen Krypto-Viren ein regelmäßiges Backup, vergleiche:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto-Trojaner_22022016.html
Das verwendete Speichermedium sollte dabei nicht dauerhaft verbunden sein, da Krypto-Viren auch angeschlossene USB-Geräte und Teamlaufwerke befallen und diese verschlüsseln.
Ein Mehrwert des Teamlaufwerkes des RZ stellt im Übrigen die Versionierung und das automatische Backup dar, welche mehrere Herstellungspunkte von Daten in den vergangenen Wochen erlauben.Root-Zertifikat auf Dell-Rechnern kompromittiert (Meldung vom 01.12.2015)Es ist eine Sicherheitslücke bei einigen Dell Rechnern bekannt geworden. Diese Sicherheitslücke besteht, wenn das von Dell vorinstallierte Windows-Betriebssystem mit den Serviceprogrammen Dell-Foundation-Services und Dell System Detect verwendet wird.
Dell hat auf den betroffenen Systemen nicht vertrauenswürdige Wurzelzertifikate für alle möglichen Anwendungszwecke hinzugefügt.
Dadurch kann- die Verschlüsselung einer HTTPS-Verbindung im Internet Explorer ausgehebelt werden,
- ein Treiber / Schadcode als sicher beglaubigt werden (Code-Signing).
Nachweislich an der TUHH betroffen sind Dell Geräte mit vorinstalliertem Windows und den Service Programmen Dell-Foundation-Services und Dell System Detect.
Bisher ohne Funde sind Tower-/Desktop-PCs sowie Notebooks, die eine frische Windows-Installation (z.B. über Empirum) erhalten haben.
Wir empfehlen im Zweifel Dell Systeme zu prüfen / patchen,da im Internet bereits Exploits existieren, die auf diese Zertifikats-Schwachstelle zielen!
Für weitere Informationen siehe auch:
- Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen:
- DFN-CERT-2015-1830 Advisory:
- Dell Sicherheitsupdate SLN300321
Vorgehensweise
Zum Prüfen, ob das eDellRoot und/oder DSDTestProvider-Zertifikat vorliegt, gibt es zwei Möglichkeiten:
- a) Aufruf der Webseite im Internet Explorer (Firefox und Chrome nutzen eigene Zertifikatsspeicher, dies löst aber nur das Browsing-Problem):
- b) Manuelle Suche im Zertifikatsspeicher:
- Starten einer Shell (Windows-Bubble, Suchen/Ausführen "cmd")
- Zertifikatsmanager via Befehl "certmgr.msc" starten.
- Auswahl "Zertifikate - Aktueller Benutzer / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate"
- Zertifikat "eDellRoot" und "DSDTestProvider" suchen (alphabetisch sortiert).
Zum Beheben des Problems reicht es, die Zertifikate zu deaktivieren.Rechts-Klick, Eigenschaften, "Alle Zwecke für dieses Zertifikat deaktivieren" auswählen und mit Ok bestätigen.
Alternativ kann das von Dell bereitgestellte automatische Removal-Tool oder die händische Anleitung verwendet werden:https://dellupdater.dell.com/Downloads/APP009/DellCertFix.exe
https://www.dell.com/support/article/us/en/19/SLN300321
Microsoft hat angekündigt, die oben genannte Sicherheitslücke selbst schließen zu wollen.
Unklar ist jedoch, ob dies bereits mit dem kommenden Patchday (08.12.) per Windows-Update passieren oder lediglich der Windows Defender und Windows Safety Scanner die Zertifikate zukünftig erkennen wird.
Letztere sind bei neueren Windows-Versionen (8.0+) aufgrund anderer Sicherheitssoftware z.T. inaktiv.
Nachtrag:
Die betroffenen Zertifikate wurde aus dem Zertifikatsspeicher entfernt.Phishing-Welle an der TUHH (Meldung vom 07.09.2015)Das Rechenzentrum der TUHH beobachtet seit dem Wochenende ein hohes Aufkommen an so genannten "Phishing-Mails", also Nachrichten, die Sie dazu verleiten sollen, Ihren Benutzernamen und Ihr Passwort auf einer fremden Seite preis zu geben.
Diese Mails tragen als Absender-Namen wie z.B.
- "servicedesk@tuhh.de" <Rupert.Amann@colostate.edu>
- "RZ-ServiceDesk" <utsavdeepak.dave@ugent.be>
und als Betreff
- TUHH Mailbox System Aktualisieren!
- TUHH Mailbox-Quota Überschritten!
In den Mails wird dann auf eine TUHH ähnliche, aber dennoch fremde Webseite verwiesen, auf der Sie sich mit dem Kerberos-Passwort anmelden sollen, u.a. auf
- tuhh.16mb.com
- tu-hharburg.tk
Die Mails sind in ziemlich schlechtem Deutsch geschrieben. Die Weiterleitung auf die Webseite der Universität Köln oder deren Logo sind spätestens auffällig.
Leider ist es technisch nicht möglich, zuverlässig alle diese Täuschungsversuche mit einem SPAM-Filter zu verhindern, daher prüfen Sie bei Mails, die wichtige Informationen von Ihnen abfragen, bitte immer kritisch
- den Absender (ein Mauszeiger über dem Namen offenbart normalerweise die verwendete Mail-Adresse)
- den Inhalt (meistens holpert dieser, aber versucht Sie unter (Zeit-)Druck zu setzen)
- den Link (auch hier zeigt ein Mauszeiger über der URL, wo es wirklich hingeht)
Trauen Sie keinen Informationen oder Links in einer eventuellen Phishing-Mail. Sicherer ist es, die URL von Hand einzugeben oder über die bekannte TUHH oder RZ Homepage zum Webmail oder der Passwortänderungsseite zu gelangen.
Server des RZ erlauben zudem eine sichere Verbindung über das Protokoll HTTPS (HTTP Secure) und verfügen über ein Zertifikat (Schlosssymbol), das sie als vertrauenswürdig kennzeichnet.
Geben Sie niemals Ihren TUHH-Benutzernamen und Ihr Passwort auf fremden Servern ein!
Im Zweifel wenden Sie sich bitte persönlich, telefonisch oder per Mail an das User-Service-Center oder den Service Desk.
Sie können uns helfen und eindeutige Betrugsversuche selbst melden. Hierzu gibt es eine Initiative von Google unter https://www.google.com/safebrowsing/report_phish/
Warnmeldungen vom DFN-CERT
Alle Warnmeldungen vom DFN-CERT zu aktuellen Sicherheitsproblemen verteilen wir weiter an die Mailling-Liste sys-admins.Zum Ein- und Austragen auf der Liste verwenden Sie bitte das Web-Interface.