Rechenzentrum
ACHTUNG! Update! Phishing-Mails von einem kompromitierten Account der Medizinischen Uni Wien und des Uniklinikum Düsseldorf (UKD). Weitere Phishingmails mit gleichem Kontext.
1. Juli 2022, von ServiceLine
Update 01.06.2022 12:45
Wie bereits gemeldet (s.u.), sieht sich die UHH nach wie vor einer großangelegten Phishing-Kampagne ausgesetzt. Neben den beschriebenen Varianten, erreichen die UHH vermehrt E-Mails, die einen kompromittierten Dateianhang enthalten:
Der angezeigte Klarname des Absenders suggeriert einen Bezug zur UHH - wobei die daneben angezeigte E-Mail-Adresse direkt als UHH-fremd erkennbar ist. Die Signatur imitiert ebenfalls einen UHH-Bezug. Im Anhang der E-Mail befindet sich eine Excel-Datei, die laut Dateinamen eine Rechnung beinhaltet. Die Datei beinhaltet allerdings einen EMOTET-Downloader, der versucht Schadsoftware aus dem Internet herunterzuladen.
Bitte löschen Sie derartige E-Mails entsprechend.
Update 28.06.2022 14:58
Die UHH sieht sich gegenwärtig großangelegten Phishing-Kampagnen ausgesetzt. Wie gestern bereits gemeldet (s.u.), erreichen die UHH gegenwärtig Phishing-Mails von einem kompromittierten Account des UKD. Heute gehen ähnlich lautende Phishing-Mails von einem kompromittierten Account der Medizinischen Universität Wien bei uns ein. Beide Einrichtungen wurden darüber informiert und ergreifen entsprechende Maßnahmen.
Der Link in der aktuellen Mail verweist auf dieselbe Phishing-Seite, die aus dem internen Netz der UHH seit gestern, aufgrund einer Sperre, nicht mehr zu erreichen ist.
Weiterhin erreichen die UHH heute Phishing-Mails im gleichen Kontext, die vermutlich von einem kompromittierten Freenet-Account stammen und auch nicht vorgeben, aus der UHH versendet worden zu sein. Sie werden daher ebenfalls nicht als **SPAM markiert.
Bei der verlinkten Phishing-Seite handelt es sich um eine "kostenlose Website" des Anbieters Yola.com, wie direkt im URL hxxps://hamburg-mail[.]yolasite.com/ zu erkennen ist. Auf der Seite wird nicht das Layout der UHH imitiert sondern der Zugang zum Dienst Hamburg-Mail der Stadt Hamburg unter hamburg.de.
Auf eine Phishing-Seite im passenden OWA-Layout möchte eine weitere Phishing-Mail am heutigen Tage die Empfänger locken, indem auf ein abgelaufenes Passwort verwiesen wird. Auch in dieser Mail hat weder der Absender noch der enthaltene Link einen Bezug zur UHH und die Mail ist daher direkt als Phishing zu identifizieren.
Wir bitten um erhöhte Aufmerksamkeit!
-------
Aktuell erreichen die UHH Phishing-Mails, die wohl von einem kompromittierten Account des Universitätsklinikum Düsseldorf (UKD) stammen und diese Herkunft auch nicht verschleiern. Nur der Betreff nimmt Bezug auf einen vorgeblichen "IT-Servicedesk". Da die Mail von einem validen Account stammt und nicht vorgibt, aus der UHH versendet worden zu sein, wird diese Mail auch nicht als **SPAM** gekennzeichnet.
Die Mail enthält einen Link auf eine vorgebliche Validierungsseite, wobei der Link und auch die darüber aufzurufende Webseite keinerlei Bezug zur UHH oder zum UKD haben.
Daran, wie auch an den Formulierungen, ist diese Mail sehr einfach als Phishing zu identifizieren.
Wir bitten um erhöhte Aufmerksamkeit!
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-ServiceLine.