Rechenzentrum
ACHTUNG! Phishing-Wellen gegen die UHH nehmen immer größere Ausmaße an!
11. Juni 2021, von ServiceLine
Auch in dieser Woche beobachten wir eine immer stärkere Zunahme an Phishing-Mails. Diese erreichen die UHH jetzt täglich ohne Unterbrechung und in verschiedenen Ausprägungen. Nachdem wohl bei der Phishing-Welle vom vergangenen Freitag (https://www.rrz.uni-hamburg.de/ueber-uns/aktuell/2021/2021-06-04-sicherheitswarnung-neuauflage-phishingwelle.html) erfolgreich B-Kennungen und Passwörter erbeutet werden konnten, wurden diese bereits am Montag Nachmittag verwendet, um neue Phishing-Mails UHH-intern aus einem kompromittierten UHH-Postfach heraus zu versenden.
Diese sind inhaltlich zwar sehr schnell als Phishing zu identifizieren, der hinterlegte Link führt aber über eine Weiterleitung zu einer täuschend echt aussehenden Kopie des Webmail-Service der UHH, ausschließlich zu erreichen unter https://webmail.rrz.uni-hamburg.de/. Die Seite enthält zwar das Logo der UHH und einen gültigen Link auf die Webmail-FAQ ist aber an der Adresse im Browser leicht als Fake zu entlarven.
An dieser Stelle wieder die Bitte, die Adresszeile des Browsers [hxxp://test108631.test-account.com/uni-hamburg.de.html] genauestens auf die Domain uni-hamburg.de zu prüfen. In diesem Fall handelt es sich um die Domain test-account.com, die offensichtlich nicht in Verbindung zur UHH-Domain steht. Dabei gilt es zu berücksichtigen, dass die Domainangabe vor dem ersten '/' endet. Die darauf folgende Angabe "/uni-hamburg.de.html" ist die aufzurufende HTML-Seite uni-hamburg.de.html, die nicht mit der Domain uni-hamburg.de zu verwechseln ist.
Weitere Phishingmails, die uns diese Woche erreichten, enthalten wieder einen Link auf eine gefälschte Outlook Web Access (OWA) Seite, die in der UHH ausschließlich unter https://exchange.uni-hamburg.de zu erreichen ist.
Diese Kampagne ist wohl als Fortsetzung der Phishing-Welle vom 26.4. (https://www.rrz.uni-hamburg.de/ueber-uns/aktuell/2021/2021-04-26-sicherheitswarnung-phishing-welle.html) zu sehen. Dies lässt sich anhand des Layouts der Phishing-Mail erkennen, wie auch an der verlinkten, vermutlich kompromittierten Wordpress-Instanz. Die Wortwahl suggeriert mit "müssen alle Studenten und Mitarbeiter der Universität Hamburg ihr E-Mail-Konto im Sicherheitssystem erneut validieren" die Notwendigkeit, die Kampagne zu wiederholen. Sie zeigt aber mit dem Ende des Satzes "um mehr E-Mail-Erfahrung zu ermöglichen", sowohl aufgrund des Ausdrucks als auch aufgrund der Kontextverschiebung von Sicherheit zu Komfort, dass es sich hier nicht um eine Mail aus dem RRZ handeln kann. Auch die Grussformel "Aufrichtig" am Ende der Mail ist eher ungewöhnlich.
Die bisherigen großangelegten Phishingwellen zeigen, dass das Wochenende ein präferierter Zeitraum für die Phisher ist. Vermutlich ist die Annahme, dass die Aufmerksamkeit am Freitag Nachmittag nicht mehr hundertprozentig gegeben ist und Betroffene einfacher zu überrumpeln sind. Fallen Sie bitte nicht auf diese Masche herein. Überlegen Sie stets zweimal bevor Sie das Passwort für Ihre B-Kennung auf einer Seite eingeben, deren Link Ihnen in einer E-Mail unklarer Herkunft übermittelt wurde. Auch wenn die Mail mit Universität Hamburg und RRZ unterzeichnet ist und (scheinbar) von einer @uni-hamburg.de-Adresse stammt, kann es sich um eine Phishing Mail handeln.
Wir rechnen auch am kommenden Wochenende mit weiteren Phishingwellen. Bitte bleiben Sie aufmerksam und kritisch und prüfen Sie E-Mail und enthaltene Links immer sorgfältig, bevor Sie Aufforderungen zur Eingabe Ihres Passwortes Folge leisten. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.