Rechenzentrum
ACHTUNG! Phishing-Mails aus einem kompromittierten Account der TU Braunschweig | ATTENTION: Phishing mails from a compromised TU Braunschweig account
25. Oktober 2022, von ServiceLine
Am heutigen Morgen erreichten die UHH Phishing-Mails, die aus einem kompromittierten Postfach der TU Braunschweig versendet wurden. Daher wurden diese zwar nicht mit **SPAM** markiert, sind aber aufgrund des Inhalts und Aufbaus sowie aufgrund des enthaltenen Links direkt als Phishing zu identifizieren.
Der Link führt zu Caspio, dem Anbieter einer "No-Code Platform for Business Applications", der auch eine kostenlose Testversion anbietet, die hier offensichtlich genutzt wurde. An der Adresse der Seite hxxps://c3acd282.caspio[.]com/dp/ac5eb000ba16f667fa754e7f87d6 und am Layout und Inhalt ist sehr leicht zu erkennen, das es sich nicht um eine Seite der UHH handelt.
Aus der TU Braunschweig haben wir erfahren, dass die Zugangsdaten zum verwendeten Postfach mit hoher Wahrscheinlichkeit bei einer ähnlich angelegten Phishing-Kampagne in der vergangenen Woche abgephisht wurden. Diese nahm ihren Ausgang in einem kompromittierten Postfach der Uni Siegen.
Auch der in dieser Mail enthaltene Link führt zu einer Seite beim Anbieter Caspio, die aber mittlerweile abgeschaltet wurde. Der Zugriff aus dem Netz der UHH auf die Caspio-Seite aus der heutigen Phishing-Mail wurde blockiert und der Betreiber wurde um Löschung gebeten.
Aufgrund der Informationen aus der TU Braunschweig und unserer eigenen Erfahrung gehen wir davon aus, dass diese Phishing-Kampagne in den nächsten Tagen und Wochen mit neuen Phishing-Mails und Links auf gegebenefalls neue Phishing-Seiten bei Caspio aus kompromittierten Postfächern anderer Hochschulen und gegebenenfalls auch der UHH fortgesetzt wird.
Wir bitten um erhöhte Aufmerksamkeit!
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile).
Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.
--------------------------------------------------------
This morning UHH received phishing mails sent from a compromised TU Braunschweig mailbox. Although they were not marked with **SPAM**, they are directly identifiable as phishing due to their content and layout as well as the link they contain.
The link leads to Caspio, a provider of a "No-Code Platform for Business Applications", which also offers a free trial version, which was obviously used here. The address of the page hxxps://c3acd282.caspio[.]com/dp/ac5eb000ba16f667fa754e7f87d6 and the layout and content make it very easy to see that this is not a UHH page.
We have been informed by the TU Braunschweig that the access data for the mailbox used was most likely phished off in a similar phishing campaign last week. This campaign started with a compromised mailbox at the University of Siegen.
The link contained in this email also leads to a page at the provider Caspio, which has been deactivated in the meantime. Access from the UHH network to the Caspio page from today's phishing mail has been blocked and the provider has been asked to delete it.
Based on the information from the TU Braunschweig and our own experience, we assume that this phishing campaign will continue in the coming days and weeks with new phishing emails and links to possibly new phishing pages at Caspio from compromised mailboxes at other universities and possibly also at the UHH.
We ask for increased attention!
As a matter of principle, do not follow the links in such mails and do not enter your access data on unknown sites. Always make sure that the domain on which you enter your access data ends with uni-hamburg.de (before the first '/' in the address line).
If you suspect that you have been the victim of a phishing attack, please change your password immediately via the user administration at https://bv.uni-hamburg.de. Passwords can only be changed in this way. If you have any questions, please contact the RRZ Serviceline.