Rechenzentrum
ACHTUNG! Webmail-Phishing mit verschiedenen Mails vom selben externen Absender
7. Februar 2022, von ServiceLine
Update 09.02.2022 12:15 Uhr:
2.Update: Die UHH steht diese Woche unter "Phishing-Dauerfeuer"
Seit gestern Abend erreicht die UHH die vierte Phishing-Welle in dieser Woche. Es handelt sich dabei um eine Mail von einem GMail-Account, die daher nicht mit **SPAM** im Betreff gekennzeichnet wird. In der Mail wird weder über die Verschleierung des Absenders noch über den Inhalt versucht, eine Nachricht des RRZ der UHH zu imitieren. Sie ist daher sehr einfach als Phishing zu identifizieren.
Der enthaltene Link verweist auf ein Formular des Anbieters jotform.com. Bereits in der Mail ist der Link als nicht zur UHH gehörig zu identifizieren und auch die Seite selbst hat keinerlei Bezug zur UHH.
Dieselbe Mail ist bislang in zwei Wellen eingegangen und enthielt jeweils unterschiedliche Links auf Jotform-Formulare. Der Link in den seit gestern Nachmittag eingehenden Mails war bereits gestern nicht mehr aktiv. Für die heute eingehenden Mails wurde das verlinkte Formular heute gegen 11:25 entfernt.
Wenn Sie also die Mail erhalten haben und dem Link vorher gefolgt sind und Ihre Zugangsdaten dort eingegeben haben, dann ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Bitte beachten Sie auch die Hinweise am Ende dieser Sicherheitswarnung.
Update 08.02.2022 10:50 Uhr:
UPDATE! Weitere Phishing-Mail erreicht die UHH heute Vormittag
Heute erreicht die UHH eine weitere Welle an Phishing-Mails im Kontext der gestrigen beiden Wellen. Die Mail kommt nun von einem anderen Account und gibt in der Standard-Ansicht vor, von "Universität Hamburg <Help-desk@uni-hamburg.de>" zu stammen. Abgesehen davon das diese Adresse nicht existiert, wird die Mail auch deshalb im Betreff mit **SPAM** gekennzeichnet, weil sie tatsächlich nicht von einem Account der UHH stammt. Dies lässt sich sehr einfach in den Kopfzeilen der Mail überprüfen, in Outlook z.B. zu finden unter Datei > Eigenschaften > Internetkopfzeilen. Dieser Aufwand ist hier allerdings nicht erforderlich, da die Mail ja bereits als **SPAM** gekennzeichnet ist.
Wir bitten Sie daher um entsprechende Aufmerksamkeit. Bitte prüfen Sie immer den Anfang der Betreffzeile, bevor Sie den vermeintlichen Absender als @uni-hamburg.de verifizieren.
Die unter "AKTUALISIEREN" verlinkte Phishing-Seite führt wieder zu demselben Server eytsfnx.ga, der auch in der zweiten Mail am gestrigen Tage verlinkt wurde. Allerdings hat sich jetzt der URL zu hxxps[:]//eytsfnx.ga/6545.54/16.5.779.0/ verändert und unternimmt damit nicht einmal mehr den Versuch, eine Web-Seite der UHH zu suggerieren. Der Inhalt der Seite ist identisch wie am gestrigen Tage.
Die Domain eytsfnx.ga wird seit gestern Nachmittag aus dem internen Netz der UHH blockiert und die verlinkte Seite wird durch "Google Safe Browsing" als "Malicious for eytsfnx.ga" eingestuft. Dort können Sie gerne auch selbst aktiv entdeckte Phishing-Seiten melden. Sie helfen damit anderen und bewahren sie vor einer erfolgreichen Phishing-Attacke.
Auf dem Server gibt es leider noch weitere Aktivitäten, die weitere Wellen an Phishing-E-Mails begründen könnten.
Durch die Vielzahl an angelegten Verzeichnisnamen wird wohl versucht, den Schutzmaßnahmen auszuweichen. Der gestern verwendete Verzeichnispfad /uni-hamburg/Webmail wurde inzwischen vom Server entfernt. Wir rechnen mit weiteren Phishingwellen und bitten daher um Ihre erhöhte Aufmerksamkeit.
Heute erreichen die UHH in mehreren Wellen Phishing-Mails unterschiedlichen Inhalts von einem (vermutlich) kompromittierten Account der Ev.-Luth. Kirche in Ungarn, die derzeit nicht mit **SPAM** im Betreff gekennzeichnet werden.
Die ersten, heute Vormittag aufgetauchten Mails, enthielten einen Link hxxps[:]//uni-hamburgde1.ukit.me/ auf eine Phishingseite beim "Website Builder for Business" ukit, wobei durch die Subdomain uni-hamburgde1 der offensichtliche Phishing-Charakter verschleiert werden sollte.
Die Phishing-Seite war zu diesem Zeitpunkt bereits durch ukit abgeschaltet worden und es erscheint derzeit die Meldung "The website is blocked".
Heute Nachmittag erreichte uns dann die zweite Welle mit einem anderen Mail-Inhalt und mit einem Link hxxps[:]//eytsfnx.ga/uni-hamburg/Webmail auf eine funktionierende Phishingseite.
Die Phishingseite versucht zwar nicht, die Webmail-Login-Seite der UHH nachzuahmen, aber durch den hinteren Teil des URL ".../uni-hamburg/Webmail" soll der Eindruck erweckt werden, dass es sich um eine UHH-Seite handelt.
Wenn Sie auf dieser Seite Ihre Daten eingeben, so werden diese nach dem Klick auf den Login-Button der Seite per Mail an die Phisher übermittelt und Ihr Browser wird auf die Webmail-Seite der UHH https://webmail.rrz.uni-hamburg.de/ umgeleitet. Damit soll verschleiert werden, dass Sie Ihre Login-Daten in fremde Hände gegeben haben. Der Vergleich der beiden URLs zeigt Ihnen aber deutlich den Unterschied zwischen einer Seite der UHH, bei der die Adresse auf .uni-hamburg.de/ endet und der einer Phishing-Seite. In beiden heutigen Mails endet die Adresse nicht auf uni-hamburg.de. Stattdessen wird im ersten Fall versucht, dies durch eine Subdomain zu verschleiern, aber die Adresse endet auf ukit.me. Im zweiten Fall hat die Adresse eytsfnx.ga nichts mit der UHH zu tun und hier wird mit einem Verzeichnisnamen "/uni-hamburg/Webmail" von diesem Umstand abgelenkt.
Bitte achten Sie immer auf den Eintrag in der Adresszeile Ihres Browsers und vertrauen Sie nicht auf Subdomains oder Verzeichnisnamen wie im vorliegenden Fall.
Bitte folgen Sie dem Link in der E-Mail nicht und geben Sie Ihre Zugangsdaten nicht auf der verlinkten Phishing-Seite ein.
Wir bitten um erhöhte Aufmerksamkeit!
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.