Rechenzentrum
ACHTUNG! Phishing-Mails aus verschiedenen Quellen mit UHH-Logo und von angeblichem IT-Support | ATTENTION: Phishing mails from different sources with UHH logo and from alleged IT support
3. April 2023, von ServiceLine
Seit gestern erreichen die UHH Phishing-Mails, die von unterschiedlichen Absendern stammen (u.a. aus kompromittierten Postfächern der Uni Oldenburg) aber über den Anzeigenamen vorgeben, von einem "IT-Support - Universität Hamburg" versendet zu sein. Aufgrund dessen werden diese Mails im Betreff "**SPAM** Ihr Postfach ist voll." mit **SPAM** gekennzeichnet. Daher sind diese Mails sehr einfach als Phishing zu identifizieren.
Die angegebene Telefondurchwahl gehört(e) zu einer wissenschaftlichen Mitarbeiterin der Erziehungswissenschaften und scheint daher willkürlich gewählt. Sie steht genauso wenig im Zusammenhang mit dem RRZ wie die angegebene postalische Adresse im Mittelweg. Auch die angegebene E-Mail-Adresse existiert nicht. Hinter den beiden Angaben zur E-Mail-Adresse und zur UHH-Seite ist jeweils dieselbe Phishing-Seite verlinkt.
Die verlinkte Phishing-Seite hxxps://globaltrustabadi[.]com/it-support.uni-hamburg.de enthält als Dateinamen "it-support.uni-hamburg.de". Offenbar soll damit von der eigentlichen Domain globaltrustabadi[.]com abgelenkt und ein Bezug zur UHH suggeriert werden. Wir weisen daher regelmäßig darauf hin, dass die eigentliche Domain vor dem ersten '/' in der Adresse (also der Teil zwischen der Protokollangabe 'https://' und dem darauf folgenden ersten '/') auf uni-hamburg.de enden muss. Dies ist hier nicht der Fall und somit ist auch die Seite selbst direkt als Phishing zu identifizieren, auch wenn der Dateiname it-support.uni-hamburg.de ist.
Die Seite wird bereits durch den Dienst "Google Safe Browsing" als betrügerisch gekennzeichnet und ist aus dem internen UHH-Netz gesperrt.
Sollten Sie die Seite von außerhalb des UHH-Netzes aufrufen und Ihr Browser den Dienst "Google Safe Browsing" nicht unterstützen bzw. sollten Sie die Warnung ignorieren, so gelangen Sie auf die entsprechende Phishing-Seite, die Sie zur Eingabe der Kennung und des Passwortes auffordert.
Auf dieser Seite wird mit der Bezeichnung "Willkommen beim IT-Servicedesk {Rechenzentrum} - Universität Hamburg" und mit "© 2023 Universität Hamburg" eine Verbindung zur UHH suggeriert. Sollten Sie Ihre Zugangsdaten auf der Seite eingeben und auf "Anmeldung" klicken, so werden Sie auf die OWA-Login-Seite der UHH unter https://exchange.uni-hamburg.de/ weitergeleitet.
Wir bitten Sie weiterhin um Ihre erhöhte Aufmerksamkeit im Umgang mit E-Mails, Links und Dokumenten aus Ihnen unbekannten Quellen.
Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile).
Öffnen Sie keine Mail-Anhänge, die Sie nicht erwarten oder deren Absender Ihnen unbekannt ist. Fragen Sie gegebenenfalls beim Absender nach.
Bitte beachten Sie die Informationen im News-Artikel zum Thema Phishing unter https://www.uni-hamburg.de/newsroom/intern/2023/0117-phishing-welle.html und auf den Seiten des RRZ https://www.rrz.uni-hamburg.de/services/sicherheit/email/phishing/phishing-erkennen.html.
Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-Serviceline.
Since yesterday, UHH has been receiving phishing mails from different senders (including from compromised mailboxes of the University of Oldenburg) but pretending to be sent by an "IT support - University of Hamburg" via the display name. Because of this, these mails are marked with **SPAM** in the subject line "**SPAM** Your mailbox is full". Therefore, these mails are very easy to identify as phishing.
The telephone extension number given belongs to a research assistant in educational sciences and therefore seems to have been chosen arbitrarily. It is no more connected to the RRZ than the given postal address in Mittelweg. The e-mail address does not exist either. Behind both the e-mail address and the UHH page, the same phishing page is linked.
The linked phishing page hxxps://globaltrustabadi[.]com/it-support.uni-hamburg.de contains the file name "it-support.uni-hamburg.de". This is obviously intended to distract from the actual domain globaltrustabadi[.]com and to suggest a reference to UHH. We therefore regularly point out that the actual domain before the first '/' in the address (i.e. the part between the protocol specification 'https://' and the first '/' following it) must end with uni-hamburg.de. This is not the case here and thus the page itself can also be directly identified as phishing, even if the file name is it-support.uni-hamburg.de.
The page is already flagged as fraudulent by the "Google Safe Browsing" service and is blocked from the internal UHH network.
If you access the page from outside the UHH network and your browser does not support the "Google Safe Browsing" service or if you ignore the warning, you will be taken to the corresponding phishing page, which will ask you to enter your ID and password.
On this page, "Welcome to the IT Service Desk {Computer Centre} - University of Hamburg" and "© 2023 University of Hamburg" suggest a connection to the UHH. Should you enter your login details on the page and click on "Login", you will be redirected to the UHH OWA login page at https://exchange.uni-hamburg.de/
We continue to ask for your Increased Attention when dealing with emails, links and documents from sources you do not know.
As a matter of principle, do not follow the links in such mails and do not enter your access data on unknown sites. Always make sure that the domain on which you enter your access data ends with uni-hamburg.de (before the first '/' in the address line).
Do not open any mail attachments that you are not expecting or whose sender is unknown to you. If necessary, ask the sender.
Please note the information in the news articles on phishing at https://www.uni-hamburg.de/newsroom/intern/2023/0117-phishing-welle.html and on the RRZ website https://www.rrz.uni-hamburg.de/services/sicherheit/email/phishing/phishing-erkennen.html.
If you suspect that you have been the victim of a phishing attack, please change your password immediately via the user administration at https://bv.uni-hamburg.de. Passwords can only be changed via this channel. If you have any questions, please contact the RRZ Serviceline.