Rechenzentrum
ACHTUNG! Phishing-Mail mit angeblichem Sharepoint-Link führt zu OWA-Phishing-Seite!
22. November 2021, von ServiceLine
Heute Vormittag erreichen die UHH Phishing-Mails, die einen Link auf ein angebliches "Wichtiges" Sharepoint-Dokument enthalten, welches zu "signieren" ist. Die Mail stammt vorgeblich vom "Uni-hamburg Sharepoint <noreply@sharepoint-uni-hamburg.de>" und hat den Betreff "You have new sharepoint document".
Die vorgebliche Absenderdomain immitiert die Sharpoint-Domain der UHH (sharepoint.uni-hamburg.de) und ersetzt dabei den '.' zwischen sharepoint und uni-hamburg durch einen '-'. Dies ist eine häufig beobachtete Methode der sogenannten Tippfehler-Domains, wobei versucht wird, Nutzer auf zweifelhafte Seite zu leiten. Im vorliegenden Fall ist die Domain allerdings nicht registriert, d.h. eine Antwortmail an <noreply@sharepoint-uni-hamburg.de> erreicht niemanden. Genauso wenig stammt die Mail von der vorgeblichen Absenderadresse und ein Blick in die Kopfzeilen (in Outlook z.B. unter Datei > Eigenschaften in der geöffneten Mail anzeigen) fördert eine Absenderadresse aus Japan zu Tage.
Die Mail wird leider nicht als **SPAM** gekennzeichnet, da sie sehr gezielt an einzelne Empfänger versendet wird und die Domain in der vorgeblichen Absenderadresse keine Subdomain zu uni-hamburg.de ist, sondern eine völlig eigenständige Domain. Daher "erkennt" der SPAM-Filter nicht den Bezug zur UHH. Des Weiteren sind die Links in den Mails personalisiert für den einzelnen Empfänger und enthalten entsprechend kodierte Informationen.
Der Link selbst hat keinerlei Bezug zur UHH bzw. zum UHH-Sharepoint und die Domain soundestlink.com gehört zur Marketingplattform Omnisend. Hierüber können personalisierte Links produziert und versendet werden, die dann über die Plattform auf den eigentlichen URL auflösen. In diesem Fall handelt es sich um eine Seite, die einen OWA-Login imitiert und die E-Mail-Adresse mittels des personalisierten Links bereits als "User Name" einträgt.
Bitte folgen Sie dem vorgeblichen Sharepoint-Link in der E-Mail nicht und geben Sie Ihre Zugangsdaten nicht auf der verlinkten OWA-Seite ein.
Wir bitten um erhöhte Aufmerksamkeit!
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.