Rechenzentrum
ACHTUNG! Mails mit Schadsoftware erreichen die UHH in großer Zahl! | ATTENTION: UHH is receiving a large number of mails containing malware!
17. März 2023, von ServiceLine
English Version below
ACHTUNG! Mails mit Schadsoftware erreichen die UHH in großer Zahl, dabei teilweise mit Bezug zu älteren Mail-Verläufen. Wir bitten um höchste Aufmerksamkeit. Die angehängten .html-Dateien keinesfalls öffnen
Seit gestern gehen in verschiedenen Bereichen der UHH unterschiedliche Mails ein, die eines gemeinsam haben. Diese Mails enthalten einen Anhang als .html-Datei, die beim Öffnen im Browser versucht, Schadsoftware aus dem Internet herunterzuladen. Die Mails haben unterschiedliche Inhalte und die anhängenden Dateien zusätzlich auch unterschiedliche Namen. Ein Teil der Mails gibt vor, eine Antwort auf eine ehemals vom Empfänger versandte Mail zu sein, indem Text aus vorherigen Mails als Verlauf zitiert wird. Da die Mails von externen Adressen stammen und der Inhalt keinen Spam-Verdacht auslöst, werden die Mails leider nicht mit SPAM im Betreff gekennzeichnet.
Die .html-Dateien zeigen nach dem Öffnen im Browser einen beliebigen Text an und laden im Hintergrund die Schadsoftware herunter, wobei ein Pop-up-Fenster dann z.B. zur Installation einer Software auffordert. Andere .html-Dateien zeigen ein vorgebliches Login, um ein Excel-Online-Spreadsheet anzeigen zu können.
Inzwischen werden die Mail-Anhänge u.a. von Sophos erkannt und sollten nicht mehr aufrufbar sein. Sollten Sie eine solche Mail in Ihrem Postfach haben, öffnen Sie bitte keinesfalls die anhängende .html-Datei und löschen Sie die Mail. Sollten Sie den Anhang bereits geöffnet und gegebenenfalls auch die Ausführung des erfolgten Downloads auf einem Endgerät mit Microsoft Windows bestätigt haben, dann ist von einer Kompromittierung Ihres Endgerätes auszugehen. Wir empfehlen in diesem Fall immer eine komplette Neu-Installation, da die Entfernung der Schadsoftware aufgrund der Komplexität meist nicht möglich ist. Für vom RRZ betreute Geräte wenden Sie sich bitte an die RRZ-Serviceline, für andere Geräte an Ihren jeweiligen lokalen Fakultäts- bzw. Fachbereichs-IT-Support. Ändern Sie bitte auch umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de von einem nicht kompromittierten Gerät, z.B. Ihrem Smartphone.
Wir bitten Sie weiterhin um Ihre erhöhte Aufmerksamkeit im Umgang mit E-Mails, Links und Dokumenten aus Ihnen unbekannten Quellen.
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile).
Öffnen Sie keine Mail-Anhänge, die Sie nicht erwarten oder deren Absender Ihnen unbekannt ist. Fragen Sie gegebenenfalls beim Absender nach.
Bitte beachten Sie die Informationen im News-Artikel zum Thema Phishing unter https://www.uni-hamburg.de/newsroom/intern/2023/0117-phishing-welle.html und auf den Seiten des RRZ https://www.rrz.uni-hamburg.de/services/sicherheit/email/phishing/phishing-erkennen.html.
Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.
ATTENTION: UHH is receiving a large number of mails containing malware, some of which refer to older mail histories. We ask for your utmost attention. Do not open the attached .html files!
Since yesterday, different mails have been received in different areas of the UHH, which have one thing in common. These mails contain an attachment in the form of an .html file which, when opened in a browser, attempts to download malware from the Internet. The mails have different contents and the attached files also have different names. Some of the mails pretend to be a reply to a mail previously sent by the recipient by quoting text from previous mails as history. Since the mails originate from external addresses and the content does not trigger any suspicion of spam, the mails are unfortunately not marked with SPAM in the subject.
The .html files display any text after opening in the browser and download the malware in the background, with a pop-up window then prompting to install software, for example. Other .html files show a pretended login to be able to display an Excel online spreadsheet.
In the meantime, the mail attachments are detected by Sophos and others and should no longer be accessible. If you have such a mail in your mailbox, please do not open the attached .html file under any circumstances and delete the mail. If you have already opened the attachment and, if applicable, also confirmed the execution of the download on a device with Microsoft Windows, then it can be assumed that your device has been compromised. In this case, we always recommend a complete reinstallation, as the removal of the malware is usually not possible due to its complexity. For devices managed by the RRZ, please contact the RRZ ServiceLine, for other devices contact your respective local faculty or department IT support. Please also change your password immediately via the user administration at https://bv.uni-hamburg.de from a non-compromised device, e.g. your smartphone.
We continue to ask for your Increased Attention when dealing with emails, links and documents from sources you do not know.
As a matter of principle, do not follow the links in such mails and do not enter your access data on unknown sites. Always make sure that the domain on which you enter your access data ends with uni-hamburg.de (before the first '/' in the address line).
Do not open any mail attachments that you are not expecting or whose sender is unknown to you. If necessary, ask the sender.
Please note the information in the news articles on phishing at https://www.uni-hamburg.de/newsroom/intern/2023/0117-phishing-welle.html and on the RRZ website https://www.rrz.uni-hamburg.de/services/sicherheit/email/phishing/phishing-erkennen.html.
If you suspect that you have been the victim of a phishing attack, please change your password immediately via the user administration at https://bv.uni-hamburg.de. Passwords can only be changed via this channel. If you have any questions, please contact the RRZ Serviceline.