Rechenzentrum
ACHTUNG! Interne Phishing-Mails mit PDF-Dokument von einem kompromittierten UHH-Account
25. Oktober 2021, von ServiceLine
Heute Vormittag und über die Mittagszeit wurden Phishing-Mails von mindestens einem kompromittierten UHH-Account versendet. Dieser Account ist inzwischen gesperrt aber die Mails dürften eine größere Zahl von Adressaten erreicht haben. Da diese intern versandt wurden, werden sie auch nicht als **SPAM** im Betreff gekennzeichnet.
Die Mails haben den Betreff "Programm zur Vergebung von Mitarbeiterdarlehen" und stammen vorgeblich vom Präsidenten der UHH. Zur Verschleierung des Phishing-Aspekts enthalten diese Mails keinen direkten Link auf eine Phishingseite, sondern ein PDF-Dokument.
Der Text der Mail soll den Empfänger dazu verleiten, das PDF-Dokument zu öffnen und dem darin enthaltenen Link zu folgen. Wird der Mauszeiger über dem Dokument platziert, so wird die verlinkte Phishingseite hxxps://toyotapalembang[.]co[.]id/uni-hamburg.de angezeigt.
Spätestens an dieser Stelle ist die Mail mit dem PDF-Dokument als Phishing zu identifizieren, da die verlinkte Domain toyotapalembang.co.id in keinem Bezug zur UHH steht. Im URL (in der Adresse) der Seite wird der Versuch unternommen, dies durch den Dateinamen (hinter dem '/') 'uni-hamburg.de' zu verschleiern. Wir weisen regelmäßig darauf hin, dass Domainnamen der UHH immer auf uni-hamburg.de enden sollten. Daher liegt die Vermutung nahe, dass die Phisher hier bewusst versuchen die Wahrnehmung zu täuschen, indem 'uni-hamburg.de' ans Ende der Adresse gestellt wird. Der Domainname endet aber vor dem ersten '/' und somit auf '.co.id' und nicht auf 'uni-hamburg.de'.
Wir bitten daher um erhöhte Aufmerksamkeit!
Bitte folgen Sie diesem Link nicht und löschen Sie die Mail!
Die Domain wird inzwischen durch die meisten Browser als betrügerische Webseite gekennzeichnet und ein Aufruf ist nur durch explizites Ignorieren der Warnmeldung möglich.
Die Seite selbst suggeriert einen File Sharing Dienst und bietet unter dem Button 'Download File' die Anzeige oder den Download des in der Mail "beworbenen" vorgeblichen Dokuments des Präsidenten an. Dahinter verbirgt sich die eigentliche Phishing-Funktion, indem zur Eingabe der E-Mail-Adresse und des Passwortes aufgefordert wird.
Die dort eingegebenen Daten werden an die Phisher gesendet und im Ergebnis wird auf die Seite https://www.uni-hamburg.de/en.htmlf der UHH weitergeleitet.
Folgen Sie den Links in solchen Mails oder wie in diesem Fall in anhängenden Dokumenten nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain auf der Sie Ihre Zugangsdaten eingeben auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.