Rechenzentrum
ACHTUNG! Phishing-Mails mit dem Betreff "E-Mail-Speicherbenachrichtigung" | ATTENTION! Phishing emails with the subject "email cache notification"
19. Oktober 2022, von ServiceLine
English version below
Seit gestern erreichen die UHH Phishing-Mails die vorgeben, dass Sie "jetzt den Cache löschen" müssen um "zu verhindern, dass Nachrichtenempfang und -versand blockiert werden". Diese Mails sollen dem Anzeigenamen nach von der "Universität Hamburg" stammen aber die angezeigte E-Mail-Adresse weist unmittelbar auf den Ursprung aus Japan hin. Ebenso enthüllen der Betreff und der Inhalt der Mail unmittelbar den Phishingcharakter.
Alle drei Punkte des, zur Prüfung einer zweifelhaften Mail empfohlenen, 3-Sekunden-Checks sind erfüllt:
- Kenne ich die E-Mail-Adresse (nicht nur den Anzeigenamen) des Absenders? --> Die E-Mail-Adresse "...@muc.biglobe.ne.jp" aus Japan hat offensichtlich keinen Bezug zum Anzeigenamen "Universität Hamburg"
- Ist der Betreff sinnvoll? --> Ein Betreff "E-Mail-Speicherbenachrichtigung" ergibt inhaltlich wenig Sinn, insbesondere in Verbindung mit der ersten Zeile der Mail "Vollständige Speicherbenachrichtigung" und dem weiteren Satz "Sie haben Ihre gesamte Speicherkapazität aufgebraucht". Wie sollten Sie die Mail empfangen können, wenn die "gesamte Speicherkapazität aufgebraucht" ist? Ein sinnvoller Betreff wäre gegebenenfalls "Speicherplatz für E-Mails ist fast vollständig ausgelastet", wobei die Betonung auf "fast" liegt, denn Sie müssen ja die Gelegenheit haben, auf die Warnung zu reagieren.
- Erwarte ich einen Anhang oder einen Link? --> Warum sollte ein Link in der E-Mail enthalten sein? Sie sind ja bereits in Ihrem Postfach angemeldet, um die Mail lesen zu können. Sie können also unmittelbar aktiv werden und Mails löschen, den Ordner "Gelöschte Elemente" leeren oder Mails archivieren, um Speicherplatz zu sparen. Dazu benötigen Sie keinen Link, der zu einem angeblichen "Cache leeren" führt.
Der Link hxxps://nunesboys[.]com/ weist auch nicht auf eine Seite der UHH, wie bei einem Mouse-Over leicht an der Domain zu erkennen ist (s. Bild der Mail oben). Hinter diesem Link verbirgt sich eine Weiterleitung auf die Seite hxxp://aki-plan[.]com/hamburg.de/hamburg.de.html. Die Domain aki-plan[.]com wird durch Google Safe Browsing bereits als "Betrügerische Website" eingeordnet und in gängigen Browsern (wie z.B. Firefox) entsprechend blockiert.
Bitte nehmen Sie diese Warnung ernst und versuchen Sie nicht, die Seite trotzdem aufzurufen. Die Phisher versuchen zwar mit dem Verzeichnis- und Dateinamen "hamburg.de" die eigentliche Domain zu verschleiern, dies sollte Sie aber nicht zu einem Aufruf der Seite verleiten. Sollten Sie die Warnung ignorieren oder der verwendete Browser das Google Safe Browsing nicht unterstützen, so gelangen Sie auf eine Kopie der OWA-Seite der UHH.
Allerdings ist am Adresseintrag im Browser deutlich zu erkennen, dass es sich nicht um das OWA der UHH unter https://exchange.uni-hamburg.de/ handelt, auch wenn der Dateiname auf hamburg.de.html endet. Ein Blick in den Quelltext der Seite enthüllt, dass diese von der UHH-Seite kopiert wurde und dass Sie bei Eingabe Ihrer B-Kennung und Ihres Passwortes auf die Seite der UHH weitergeleitet werden. Sie würden also gegebenenfalls nicht einmal bemerken, dass Ihre Zugangsdaten abgephisht wurden.
Wir bitten um erhöhte Aufmerksamkeit!
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile).
Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.
Since yesterday, UHH has been receiving phishing mails claiming that you have to "clear the cache now" to "prevent message reception and sending from being blocked". According to the display name, these mails are supposed to come from the "University of Hamburg", but the displayed e-mail address immediately indicates that they originate from Japan. The subject and the content of the mail also immediately reveal the phishing character.
All three points of the 3-second check recommended for checking a dubious mail are fulfilled:
- Do I know the e-mail address (not only the display name) of the sender? --> The e-mail address "...@muc.biglobe.ne.jp" from Japan obviously has no relation to the display name "University of Hamburg".
- Does the subject make sense? --> A subject "E-mail memory notification" makes little sense in terms of content, especially in connection with the first line of the mail "Full memory notification" and the further sentence "You have used up all your memory capacity". How should you be able to receive the mail if the "entire storage capacity has been used up"? A sensible subject, if applicable, would be "Email storage space is almost completely used up", with the emphasis on "almost", because you must have the opportunity to react to the warning.
- Am I expecting an attachment or a link? --> Why should there be a link in the email? After all, you are already logged in to your mailbox to be able to read the mail. You can therefore take immediate action and delete mails, empty the "Deleted Items" folder or archive mails to save storage space. To do this, you do not need a link that leads to an alleged "empty cache".
The link hxxps://nunesboys[.]com/ does not point to a UHH page either, as can easily be seen from the domain when you mouse-over (see the image of the mail above). Behind this link is a redirect to the page hxxp://aki-plan[.]com/hamburg.de/hamburg.de.html. The domain aki-plan[.]com is already classified as a "malicious website" by Google Safe Browsing and blocked accordingly in common browsers (such as Firefox).
Please take this warning seriously and do not try to access the site anyway. The phishers try to disguise the actual domain with the directory and file name "hamburg.de", but this should not tempt you to call up the page. If you ignore the warning or the browser you are using does not support Google Safe Browsing, you will be taken to a copy of the UHH OWA page.
However, it is clear from the address entry in the browser that this is not the UHH's OWA at https://exchange.uni-hamburg.de/, even though the file name ends in hamburg.de.html. A look at the source code of the page reveals that it was copied from the UHH page and that you will be redirected to the UHH page if you enter your B identifier and password. So you might not even notice that your access data has been phished off.
We ask for increased attention!
Do not follow the links in such mails and do not enter your access data on unknown sites. Always make sure that the domain on which you enter your access data ends with uni-hamburg.de (before the first '/' in the address line).
If you suspect that you have been the victim of a phishing attack, please change your password immediately via the user administration at https://bv.uni-hamburg.de. Passwords can only be changed via this channel. If you have any questions, please contact the RRZ Serviceline.