25. August 2022, von ServiceLine
Seit heute erreichen die UHH Phishingmails, die laut Fußzeile im Namen des "IS&T-Service-Desk | E-Mail-Service der Universität Hamburg | E-Mail-Server der Universität Hamburg" versendet werden.
Die Mail selbst ist aufgrund der Formulierungen, des Absenders und der Gestaltung schnell als Phishing-Mail zu identifizieren.
Interessant ist eine scheinbar neue Masche bei der Gestaltung des Links in der Mail mit einer Verbindung zur UHH: hxxp://jermmal.atwebpages[.]com/?url=https://webmail.physnet.uni-hamburg.de/. Die Seite ist beim Webhoster atwebpages[.]com eingerichtet, der auf unsere Anfrage sehr schnell mit einer Löschung reagiert hat.
Die Seite selbst versucht keine Verbindung zur UHH vorzuspielen, wie z.B. die zuletzt bei weebly[.]com gehostete Seite mit einem UHH-Logo (s. Sicherheitswarnung vom 19.8. unter https://www.rrz.uni-hamburg.de/ueber-uns/aktuell/2022/2022-08-19-sicherheitswarnung-phishing.html). Es scheint sich vielmehr um eine allgemeine und weitläufig genutzte Phishingseite zu handeln, die über den URL und ein Script nach Eingabe der Zugangsdaten auf die Zielseite, in diesem Fall auf https://webmail.physnet.uni-hamburg.de/, weiterleitet. Hierüber kann das Phishing mit dem entsprechenden Link in der Mail universell gesteuert werden. Als Nebeneffekt taucht die Domain der UHH .uni-hamburg.de im Link auf und suggeriert damit einen Zusammenhang. Daher weisen wir in unseren Sicherheitswarnungen regelmäßig darauf hin, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet und zwar vor dem ersten, allein stehenden '/' in der Adresszeile.
Im Link hxxp://jermmal.atwebpages[.]com/?url=https://webmail.physnet.uni-hamburg.de/ in der vorliegenden Phishingmail ist der erste, allein stehende '/' der zwischen 'com' und dem '?', d.h. die Domain endet auf atwebpages[.]com/ und nicht auf uni-hamburg.de/, wie der im Bild verwendete Browser Firefox es auch deutlich hervorhebt. Wir bitten um erhöhte Aufmerksamkeit! Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.