SPAM-Mails vermeintlicher Kollegen (Meldung vom 22.08.2017)


Es gibt eine weitere Welle an SPAM-Mails, die eine persönliche Anrede und Link-Adresse enthalten.
Diese Mails stammen laut Anzeigenamen angeblich von einem Kollegen, nicht jedoch von dessen Mail-Adresse.
Es wird auf eine externe Link-Adresse verwiesen. Die Grußformel sieht wie eine Mail-Adresse aus.

Der Inhalt der Mail ist in etwa dieser:


Betreff: Rech MB - 253-WX6470 [IhrVorname] [IhrNachname]
Datum: Tue, 22 Aug 2017 10:50:00 +0100
Von: [Kollege]@tuhh.de [jerzy.och@daewon.eu]
An: [IhrVorname].[IhrNachname]@tu-harburg.de


Guten Tag, [IhrVorname] [IhrNachname]

siehe Anhang


Rech:
http://hpprose.com/Rech-97697381255/
[IhrVorname] [IhrNachname]


Mit freundlichen Grüße

[Kollege]@tuhh.de


Bitte prüfen Sie bei solchen Mails stets die Absende-Mail-Adresse kritisch!
Achten Sie zudem darauf, wohin der eingebettete Link Sie führt!




Alte Meldungen (Zum Lesen grünes Dreieck klicken):

  • Variation einer Phishing-Attacke (Meldung vom 24.04.2017)
    Es gibt erneut Meldungen über die Wiederholung der Phishing-Attacke vom 08.03.2017.
    Diese Mails fordern den Nutzer auf, Login-Informationen in einer Antwortmail an eine externe Mail-Adresse zu schicken.
    Der Text und die Mail-Adresse haben sich verändert. Zudem wird nun TU Hamburg anstatt TU Hamburg-Harburg verwendet.

    Der Inhalt der Mail ist in etwa dieser:


    Betreff: Bestätigen Sie dieses E-Mail-Konto
    Datum: Mon, 24 Apr 2017 15:00:00 +0200
    Von: TUHH Webmail | TUHH Technische Universität Hamburg
    Antwort an: validate@techie.com
    Organisation: TUHH Webmail | TUHH Technische Universität Hamburg


    --
    Achtung Benutzer,

    Dies ist eine automatisierte Nachricht von unseren Servern; Wenn Sie diese
    Meldung erhalten, zeigt dies an, dass Ihre Maibox zur Deaktivierung in die
    Warteschlange gestellt wurde. Aufgrund der jüngsten Trojan.Flame.A Angriffe
    werden wir die Instandhaltung auf unserer Website Mail Service / Konten
    durchführen. Um eine permanente Deaktivierung Ihres E-Mail-Kontos zu vermeiden
    und eine erhöhte Speicherkapazität von E-Mails zu ermöglichen, müssen Sie die
    folgenden Informationen mit den nächsten 72 Stunden eingeben:

    Vollständiger Name
    Email:
    Benutzername:
    Passwort:
    Bestätige das Passwort:
    Abteilung:

    Wenn Sie dieses Problem innerhalb der angegebenen Zeit nicht lösen, wird Ihr
    E-Mail-Konto dauerhaft deaktiviert. Ihr Konto bleibt jedoch gültig, nachdem
    Sie Ihre Kontoinformationen erfolgreich bestätigt haben. Wir entschuldigen
    uns für eventuelle Unannehmlichkeiten und bedanken uns für Ihr Verständnis.

    Mit freundlichen Grüßen,
    © 2017 TUHH Technische Universität Hamburg Web-Admin


    Bitte prüfen Sie bei solchen Mails stets die Absende- als auch die Ziel-Mail-Adresse kritisch!
    Außerdem fragt Sie das Rechenzentrum n i e nach Ihrem Passwort!
  • Wiederholung einer Phishing-Attacke (Meldung vom 08.03.2017)
    Seit dem letzten Wochenende gibt es vereinzelte Meldungen über eine Wiederholung der Phishing-Attacke von Ende Juli 2016.
    Diese Mails fordern den Nutzer auf, Login-Informationen in einer Antwortmail an eine externe Mail-Adresse zu schicken.

    Der Inhalt der Mail ist in etwa dieser:


    Betreff: Überprüfen Sie Ihr e-Mail-Konto
    Datum: Sat, 04 Mar 2017 20:00:00 +0100
    Von: TUHH | Technische Universität Hamburg-Harburg Mail-Dienst (m.stasiak@uksw.edu.pl)
    Antwort an: webtechie12@gmail.com
    Organisation: TUHH | Technische Universität Hamburg-Harburg Mail-Dienst


    --
    Achtung TUHH Benutzer,

    Aufgrund des jüngsten Angriffs Trojan.Flame.A. Virus auf unseren
    Servern, sind wir im Begriff, Wartung auf unserem Web Dienstleistungen /
    Konto durchzuführen. Wenn Ihr Konto innerhalb von 48 Stunden nicht
    bestätigt wird, wird Ihr E-Mail-Konto dauerhaft deaktiviert. Um das
    Postfach zu bestätigen, füllen Sie die korrekten Informationen in dem
    folgenden Feld aus:

    Vollständiger Namen:
    Email:
    Benutzernamen:
    Passwort:
    Bestätige das Passwort:
    Abteilung:

    Ihr Konto bleibt gültig, nachdem Sie Ihre Konto informationen
    erfolgreich bestätigt haben.

    Dein im Dienst,
    © 2017 TUHH | Technische Universität Hamburg-Harburg Mail-Dienst


    Bitte prüfen Sie bei solchen Mails stets die Absende- als auch die Ziel-Mail-Adresse kritisch!
    Außerdem fragt Sie das Rechenzentrum n i e nach Ihrem Passwort!
  • Phishing-Attacke gegen die TUHH (Meldung vom 17.02.2017)
    Seit Freitag, den 17.02.2017, berichten TUHH Mitglieder von Phishing-Mails, die nach Login-Daten fragen. Diese Mails verlinken hierzu auf einen externen Anbieter .moonfruit.com/.

    Der Inhalt der Mail ist in etwa dieser:


    Betreff: Benachrichtigung
    Von: Technische Universität Hamburg-Harburg <info@tuhh.de>
    Datum: 17.02.2017 10:58
    An: undisclosed-recipients:;

    Ihr Abonnement ist abgelaufen E-Mail-Konto und Ihre Web-Mail-Konto über ausgesetzt werden, bestätigen Sie Ihre Konto Ihre E-Mail aktiv zu halten. klicken Sie hier, um Ihr Konto zu erweitern, oder den unten stehenden Link

    klicken Sie hier

    Webmaster
    ©2017 Technische Universität Hamburg-Harburg



    Bitte beachten Sie bei solchen Mails stets, dass die
    Eingabe des TUHH Passwortes auf externen Webseiten nicht gestattet ist!
  • Dropbox-Passworte im Umlauf (Meldung vom 20.10.2016)
    Es wurde bekannt, dass im Jahr 2012 Mail-Adressen sowie die zugehörigen verschlüsselten Passworte bei Dropbox entwendet wurden. Diese Daten stehen nun frei im Internet, so dass Angreifer versuchen können, die Passworte zu entschlüsseln, siehe auch https://www.heise.de/security/meldung/68-Millionen-verschluesselte-Passwoerter-aus-Dropbox-Hack-veroeffentlicht-3340846.html und http://www.golem.de/news/dropbox-hack-68-millionen-passworthashes-veroeffentlicht-1610-123598.html.

    Unmittelbar betroffen sind Dropbox-Accounts, bei denen das Passwort seit 2012 nicht mehr geändert wurde. Sollten Sie Dropbox seit 2012 nutzen ohne das Passwort zwischenzeitlich geändert zu haben, setzen Sie bitte zügig ein neues Passwort.

    Denken Sie an bereits verbundende Geräte. Bei der Weboberfläche unter Konto - Sicherheit lassen sich die letzten verwendeten Sitzungen sowie verknüpfte Geräte einsehen und letztere trennen.

    Es besteht die Möglichkeit zu prüfen, ob Ihre Mailadresse in diesem oder anderen Fällen im Zusammenhang mit gestohlenen Datensätzen veröffentlicht worden ist: https://haveibeenpwned.com/

    Wir empfehlen auch zu prüfen, ob dieselbe oder eine ähnliche Kombination aus Mailadresse und Passwort an anderer Stelle verwendet wird. Falls zutreffend, sollte das Passwort an diesen Stellen wesentlich geändert werden, damit es nicht einfach erraten werden kann.
    Zur Erinnerung:
    Das Passwort für den TUHH-Account darf für keine anderen Dienste verwendet werden!
  • Weitere Phishing-Attacke gegen die TUHH (Meldung vom 01.08.2016)
    Am Wochenende 30.-31.07.2016 wurden erneut Phishing-Mails an einzelne Mitglieder der TUHH versendet. Diese Mails fordern den Nutzer auf, wichtige Informationen in einer Antwortmail an webtechie12@gmail.com preiszugeben.

    Der Inhalt der Mail ist in etwa dieser:


    Von: TUHH | Technische Universität Hamburg-Harburg WebMail Admin
    Datum: 30. Juli 2016 16:00:00 MESZ
    An: undisclosed-recipients:;
    Betreff: Überprüfen Sie Ihr Konto
    Antwort an: webtechie12@gmail.com


    --
    Achtung TUHH Benutzer,

    Dies ist eine automatisierte Nachricht von unseren Servern; Wenn Sie diese Nachricht erhalten, wird Ihre E-Mail-Adresse für die Deaktivierung der Warteschlange. Aufgrund der jüngsten Angriff Trojan.Flame.A. Virus auf unseren Servern, wir sind über die Wartung unserer Webmail-Services auszuführen. Um eine dauerhafte Deaktivierung Ihres E-Mail-Konto zu vermeiden und für eine größere Speicherkapazität ermöglichen und verfügt über Ihrer Mailbox, werden Sie auf diese Nachricht zu reagieren, erforderlich und geben Sie die erforderlichen Informationen in den Raum innerhalb der nächsten 72 Stunden zur Verfügung gestellt.

    Vollständiger Name:
    E-mail:
    Benutzername:
    Passwort:
    Passwort bestätigen:
    Abteilung:

    Wir entschuldigen uns für die Unannehmlichkeiten und bedanken uns für Ihr Verständnis.

    Vielen Dank für E-Mail-Dienste TUHH verwenden.

    Mit freundlichen Grüßen,
    (C) 2016 TUHH | Technische Universität Hamburg-Harburg WebMail Admin


    Diesmal handelt es sich zwar nicht um eine Eingabe auf einer fremden Webseite, aber es gilt natürlich trotzdem:
    Verschicken Sie Ihr Passwort nicht im Klartext per Mail an (fremde) Personen!
    Ihr Kerberos-Passwort darf stets nur Ihnen bekannt sein!
  • Phishing-Mail gegen die TUHH (Meldung vom 01.07.2016)
    Seit dem 28.06.2016 wird eine Phishing-Webseite unter der Domain weblogin.site betrieben, die eine genaue Kopie der WebVPN-Anmeldeseite des Rechenzentrums ist.

    Geben Sie keine Daten auf dieser Webseite ein!

    Außerdem werden Phishing-Mails von TUHH-fremden Absendern verschickt, die vorgeben, dass der VPN Account zur weiteren Benutzung dringend reaktiviert werden müsste.
    Die Phishing-Mails haben in etwa diese Form:

    Subject: VPN Account
    Date: Fri, 1 Jul 2016 12:00:00 +0430
    From: University Libraries <library.uni.edu@gmail.com>
    To: vorname.nachname@tuhh.de


    Dear User,

    Your VPN account has expired, therefore you must reactivate it
    immediately or it will be closed automatically. If you intend to use
    this service in the future, you must take action at once!
    To reactivate your account, simply visit the following page and login
    with your VPN account.
    *Login Page http://webvpn.rz. tu-harburg.de.weblogin.site/CSCOE/logon/*

    Sincerely,

    --
    /Technische Universität Hamburg-Harburg/
    /21071 Hamburg/
    /Germany/
    /phone: +49 40 428 78 0 /
    /fax: +49 40 428 78 2288 /
    /ITS@tuhh.de /


    Sollten Sie sich auf dieser Webseite eingeloggt haben, ändern Sie bitte umgehend Ihr Passwort!
  • Schädliche Mail-Anhänge (Meldung vom 25.02.2016)
    Es wurden dem RZ seit Beginn der Woche mehrere Fälle von Mails mit schädlichem Anhang gemeldet, die an Mailadressen der TUHH versendet wurden. In mindestens zwei Fällen handelte es sich um den Krypto-Virus Locky, über den derzeit auch in den Medien berichtet wird, vergleiche z.B.
    http://www.heise.de/security/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html

    Krypto-Viren werden auch als Erpresser-Trojaner bezeichnet. Sie verschlüsseln die Daten auf der Festplatte, so dass diese für den Benutzer unbrauchbar werden. Dann wird ein Lösegeld gefordert, falls der Benutzer die Daten wieder entschlüsseln will.

    Wieso erkennt der Mail-Server den Virus nicht?
    Im Fall des obigen Locky wird dieser Krypto-Virus erst über ein Java-Skript nachgeladen, welches sich in einem ZIP-Anhang der Mail befindet. Hierdurch ist eine Überprüfung durch den Anti-Virus-Filter auf dem Mail-Server nicht möglich, da die schädliche Datei selbst ja nicht enthalten ist.
    Es besteht zudem auch immer die Gefahr, dass eine ganz neue Variante des Viruses noch nicht in der Datenbank der Anti-Virus-Software enthalten ist.

    Wie erkenne ich solche Mails?
    Prüfen Sie, ob Sie den Absender kennen und auch ob dessen Absendeadresse authentisch ist. Hinterfragen Sie, ob Sie z.B. eine solche Rechnung erwarten.
    Das ist nicht immer leicht zu entscheiden, aber Mail-Anhänge unbekannter Absender sollten stets kritisch betrachtet werden.

    Was kann man tun, wenn es doch passiert?
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt als eine Schutzmaßnahme gegen Krypto-Viren ein regelmäßiges Backup, vergleiche:
    https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto-Trojaner_22022016.html

    Das verwendete Speichermedium sollte dabei nicht dauerhaft verbunden sein, da Krypto-Viren auch angeschlossene USB-Geräte und Teamlaufwerke befallen und diese verschlüsseln.
    Ein Mehrwert des Teamlaufwerkes des RZ stellt im Übrigen die Versionierung und das automatische Backup dar, welche mehrere Herstellungspunkte von Daten in den vergangenen Wochen erlauben.
  • Root-Zertifikat auf Dell-Rechnern kompromittiert (Meldung vom 01.12.2015)
    Es ist eine Sicherheitslücke bei einigen Dell Rechnern bekannt geworden. Diese Sicherheitslücke besteht, wenn das von Dell vorinstallierte Windows-Betriebssystem mit den Serviceprogrammen Dell-Foundation-Services und Dell System Detect verwendet wird.
    Dell hat auf den betroffenen Systemen nicht vertrauenswürdige Wurzelzertifikate für alle möglichen Anwendungszwecke hinzugefügt.

    Dadurch kann
    • die Verschlüsselung einer HTTPS-Verbindung im Internet Explorer ausgehebelt werden,
    • ein Treiber / Schadcode als sicher beglaubigt werden (Code-Signing).

    Nachweislich an der TUHH betroffen sind Dell Geräte mit vorinstalliertem Windows und den Service Programmen Dell-Foundation-Services und Dell System Detect.
    Bisher ohne Funde sind Tower-/Desktop-PCs sowie Notebooks, die eine frische Windows-Installation (z.B. über Empirum) erhalten haben.
    Wir empfehlen im Zweifel Dell Systeme zu prüfen / patchen,

    da im Internet bereits Exploits existieren, die auf diese Zertifikats-Schwachstelle zielen!


    Für weitere Informationen siehe auch:


    Vorgehensweise

    Zum Prüfen, ob das eDellRoot und/oder DSDTestProvider-Zertifikat vorliegt, gibt es zwei Möglichkeiten:
    • a) Aufruf der Webseite im Internet Explorer (Firefox und Chrome nutzen eigene Zertifikatsspeicher, dies löst aber nur das Browsing-Problem):

      https://edell.tlsfun.de/de/

    • b) Manuelle Suche im Zertifikatsspeicher:
      • Starten einer Shell (Windows-Bubble, Suchen/Ausführen "cmd")
      • Zertifikatsmanager via Befehl "certmgr.msc" starten.
      • Auswahl "Zertifikate - Aktueller Benutzer / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate"
      • Zertifikat "eDellRoot" und "DSDTestProvider" suchen (alphabetisch sortiert).

    Zum Beheben des Problems reicht es, die Zertifikate zu deaktivieren.

    Rechts-Klick, Eigenschaften, "Alle Zwecke für dieses Zertifikat deaktivieren" auswählen und mit Ok bestätigen.
    Alternativ kann das von Dell bereitgestellte automatische Removal-Tool oder die händische Anleitung verwendet werden:

    https://dellupdater.dell.com/Downloads/APP009/DellCertFix.exe

    https://www.dell.com/support/article/us/en/19/SLN300321

    Microsoft hat angekündigt, die oben genannte Sicherheitslücke selbst schließen zu wollen.
    Unklar ist jedoch, ob dies bereits mit dem kommenden Patchday (08.12.) per Windows-Update passieren oder lediglich der Windows Defender und Windows Safety Scanner die Zertifikate zukünftig erkennen wird.
    Letztere sind bei neueren Windows-Versionen (8.0+) aufgrund anderer Sicherheitssoftware z.T. inaktiv.

    Nachtrag:
    Die betroffenen Zertifikate wurde aus dem Zertifikatsspeicher entfernt.

  • Phishing-Welle an der TUHH (Meldung vom 07.09.2015)
    Das Rechenzentrum der TUHH beobachtet seit dem Wochenende ein hohes Aufkommen an so genannten "Phishing-Mails", also Nachrichten, die Sie dazu verleiten sollen, Ihren Benutzernamen und Ihr Passwort auf einer fremden Seite preis zu geben.

    Diese Mails tragen als Absender-Namen wie z.B.
    • "servicedesk@tuhh.de" <Rupert.Amann@colostate.edu>
    • "RZ-ServiceDesk" <utsavdeepak.dave@ugent.be>

    und als Betreff
    • TUHH Mailbox System Aktualisieren!
    • TUHH Mailbox-Quota Überschritten!

    In den Mails wird dann auf eine TUHH ähnliche, aber dennoch fremde Webseite verwiesen, auf der Sie sich mit dem Kerberos-Passwort anmelden sollen, u.a. auf
    • tuhh.16mb.com
    • tu-hharburg.tk

    Die Mails sind in ziemlich schlechtem Deutsch geschrieben. Die Weiterleitung auf die Webseite der Universität Köln oder deren Logo sind spätestens auffällig.


    Leider ist es technisch nicht möglich, zuverlässig alle diese Täuschungsversuche mit einem SPAM-Filter zu verhindern, daher prüfen Sie bei Mails, die wichtige Informationen von Ihnen abfragen, bitte immer kritisch
    • den Absender (ein Mauszeiger über dem Namen offenbart normalerweise die verwendete Mail-Adresse)
    • den Inhalt (meistens holpert dieser, aber versucht Sie unter (Zeit-)Druck zu setzen)
    • den Link (auch hier zeigt ein Mauszeiger über der URL, wo es wirklich hingeht)


    Trauen Sie keinen Informationen oder Links in einer eventuellen Phishing-Mail. Sicherer ist es, die URL von Hand einzugeben oder über die bekannte TUHH oder RZ Homepage zum Webmail oder der Passwortänderungsseite zu gelangen.
    Server des RZ erlauben zudem eine sichere Verbindung über das Protokoll HTTPS (HTTP Secure) und verfügen über ein Zertifikat (Schlosssymbol), das sie als vertrauenswürdig kennzeichnet.

    Geben Sie niemals Ihren TUHH-Benutzernamen und Ihr Passwort auf fremden Servern ein!

    Im Zweifel wenden Sie sich bitte persönlich, telefonisch oder per Mail an das User-Service-Center oder den Service Desk.


    Sie können uns helfen und eindeutige Betrugsversuche selbst melden. Hierzu gibt es eine Initiative von Google unter https://www.google.com/safebrowsing/report_phish/



Warnmeldungen vom DFN-CERT

Alle Warnmeldungen vom DFN-CERT zu aktuellen Sicherheitsproblemen verteilen wir weiter an die Mailling-Liste sys-admins.

Zum Ein- und Austragen auf der Liste verwenden Sie bitte das Web-Interface.