Rechenzentrum
ACHTUNG! SPAM/Phishing im Namen des Präsidenten der UHH
15. Mai 2020, von ServiceLine
Wir erhalten derzeit E-Mails mit dem Betreff "Corona-virus (COVID-19) information for Universität Hamburg" und einem angehängten Dokument "Universität Hamburg.pdf", die vorgeblich vom Präsidenten der UHH stammen.
Diesbezüglich wurde bereits heute Mittag eine Warnung des Präsidialbereichs per E-Mail mit dem Betreff "Gefälschte Email des Präsidenten im Umlauf" an die gesamte UHH versandt. Wir bitten um entsprechende Beachtung.
Der tatsächliche Absender der E-Mail ist nicht nur im Anzeigenamen, sondern durch einen Trick auch in der angezeigten E-Mail-Adresse geschickt verschleiert: Dieter Lenzen <"email:praesident"@uni-hamburg.de>. Wir bitten daher um erhöhte Aufmerksamkeit.
Am Ende der Mail wird mittels geeigneter Formulierungen versucht, Druck zum Öffnen des Dokumentes aufzubauen.
Bitte folgen Sie dieser Aufforderung nicht!
Das angehängte Dokument enthält zwar keine Schadsoftware aber einen Link auf einen vorgeblichen Microsoft PDF-Reader. Dahinter verbirgt sich eine Phishing-Webseite. Auf dieser Seite werden Sie aufgefordert, Ihre Benutzer-Id bzw. Ihre E-Mailadresse und Ihr Passwort einzugeben, um die Datei herunterladen zu können.
Da dort als Beispiel für eine "Email Id" "BAO1234" steht müssen wir davon ausgehen, dass unser System aus Benutzer-Id (vlg. B-Kennung) und dazugehöriger E-Mail-Adresse den Phishern bekannt ist. Wenn Sie auf dieser Seite also Ihre B-Kennung und Ihr Passwort eingegeben haben, so sind diese kompromittiert und müssen unmittelbar über die Benutzerverwaltung unter https://bv.uni-hamburg.de/ geändert werden. Bei Fragen wenden Sie sich bitte an die Serviceline.
Nach Eingabe von User-Id und Passwort erhalten Sie den Lagebericht vom 4.5. aus den Corona-FAQs auf der UHH-Web-Seite (https://www.uni-hamburg.de/newsroom/intern/2020/0131-corona-faq/202000504-lagebericht.pdf) angezeigt. Dies dient der Ablenkung und soll das Ab-Phishen der B-Kennung und des Passwortes verschleiern und gleichzeitig verhindern, dass Sie auf das Phishing aufmerksam werden und Ihr Passwort ändern.
Nach ersten Analysen handelt es sich wohl ausschließlich um einen Phishing-Angriff, um in den Besitz gültiger Zugangsdaten zu kommen. Es wurde dabei wohl keine Schadsoftware verteilt.
Wenn Sie betroffen waren und bereits Ihr Passwort über die Benutzerverwaltung geändert haben und auch bei allen anderen Zugängen, bei denen Sie dieselbe Kombination aus Benutzerkennung/E-Mail-Adresse und Passwort bzw. auch nur dasselbe Passwort verwenden, dann brauchen Sie keine weiteren Maßnahmen zu ergreifen.
Bitte achten Sie weiterhin auf ungewöhnliche E-Mails in Ihrem Posteingang, da Ihre eingegebene Benutzerkennung/E-Mail-Adresse sicher für weiteres Phishing verwendet wird.