Hier werden Meldungen zur IT-Sicherheit mit besonderer Relevanz für die Bauhaus-Universität/ HfM veröffentlicht.

Für einen ständig aktuellen und umfassenden Überblick über Sicherheitsrelevante Informationen im IT-Bereich empfiehlt sich das Abonnieren einschlägiger Newsletter oder die Nutzung entsprechender Webportale (BSI, DFN-CERT, heise Security etc.).

Für die Gewährleistung des zeitnahen Einspielens von Sicherheitspachtes sollten die meist vorhandenen Automatismen des Betriebssystems, der Anwendungen und ihrer Erweiterungen genutzt werden.

07.02.2019: WARNUNG FAKE-MAIL - Betreff: Password Reminder

Die folgende Fake-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, der enthaltende Link sollte nicht angeklickt werden, die E-Mail ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Erinnerungs-E-Mails werden von uns niemals nur in Englisch verfasst.
Die Erinnerungs-E-Mails bei ablaufenden Passwörtern sind wesentlich umfangreicher und wir verwenden auch nicht den Betreff Password Reminder.
Für Webmail gibt es kein separates Passwort, ein weiterer inhaltlicher Fehler der Fake-Mail
Wir verwenden als Absender weder die Bezeichnung Bauhaus University Weimar noch die E-Mail-Adresse e-spas@uni-weimar.de.
Wir sprechen unsere Nutzerinnen und Nutzer nicht als Member an.
Der angezeigte Absendername und die Absenderadresse einer E-Mail besitzen grundsätzlich keinerlei Verlässlichkeit und können leicht gefälscht werden. Gewissheit bringt nur der Blick in den vollständigen E-Mail-Header bzw. die Nutzung digitaler Signaturen auf Absenderseite.
Wir leiten Sie bei internen Diensten niemals auf irgendwelche ominösen externen Webseiten. Zudem sollte bei einem Link niemals nur der Anzeige vertraut, sondern immer die reale Verlinkung geprüft werden.
Als abschließende Grußformel verwenden wir nicht lapidar Thank you.
Wir nutzen die an der Bauhaus-Universität übliche Signatur am Ende einer E-Mail.
--
> -----Ursprüngliche Nachricht-----
Bauhaus University Weimar (e-spas@uni-weimar.de) [tatsächlich: www-data@fas.harvard.edu]
 
Dear Member
 
Access to your Bauhaus University webmail account is about to expire, please
renew.
 
www.uni-weimar.de/owa/auth/inbox/passwordnotification/renew
...ttp://www.costablancabolig.com/js...
 
Thank you,
 
Bauhaus University, Weimar

28.01.2019: WARNUNG VOR FAKE-MAIL MIT SCHADSOFTWARE - DSGVO

Wir erhielten von den Hinweis einer anderen deutschen Hochschule, dass an sie gezielt eine Fake-Mail, die Schadsoftware enthielt, versendet wurde. In der Mail wird behauptet man hätte auf der eigenen Website gegen die EU-DSGVO verstoßen.
 
Trotz der fehlerfrei und möglicherweise seriös erscheinenden Formulierungen kann die E-Mail ganz leicht als Fälschung entlarvt werden, da ihr ein entscheidendes Merkmal fehlt.
 
In Deutschland besteht bei geschäftlichen E-Mails eine Pflicht zur E-Mail-Signatur, sprich es gibt Absenderangaben, die zwingend vorgeschrieben sind, fehlen sie droht eine Abmahnung.
www.it-recht-kanzlei.de/e-mail-pflichtangaben-signatur.html
Das weiß jeder Rechtsanwalt und alle die mit geschäftlichen E-Mails zu tun haben, sollten das eigentlich ebenfalls wissen.
Eine Mail von einem angeblichen Rechtsanwalt ohne diese Pflichtangaben ist hundertprozentig ein Fake.
 
Hellhörig sollte man auch werden, wenn Personen kontaktiert werden, die mit der adressierten Thematik nichts zu tun haben. Die Kontaktmöglichkeit zum Datenschutzbeauftragten findet sich am Fuße jeder Webseite der Bauhaus-Universität.
 
Die angehängte Zip-Datei sollte auf gar keinen Fall geöffnet oder entpackt werden. Sie enthält neben einem Dokument auch JavaScript-Code (js-Datei), der für die Infektion des System mit Schadsoftware sorgt.
 
Auf eine derartige E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
Bei suspekten E-Mails hilft häufig eine Online-Suche, um Warnungen vor gefährlichen Fake-Mails zu erhalten, so auch hier:
www.onlinehaendler-news.de/e-recht/rechtsfragen/130395-vorsicht-virus-fake-abmahnungen-wegen-dsgvo
 
Originaltext der genannten Mail:
--------------------------------
Sehr geehrte Damen und Herren,
 
hiermit zeige ich an, dass mich unsere Mandantschaft mit der Wahrnehmung ihrer rechtlichen Interessen beauftragt hat.
 
Die entsprechende Vollmacht liegt hier im Original vor und kann von ihnen als Kopie im angehängten Archiv begutachtet werden.
 
Gegenstand meiner Beauftragung ist, die von ihnen auf ihrer Website begangene Informationspflichtverletzung, nach Artikel 13 EU-DSGVO, nach der bisher in verschiedenen Gesetzen
geregelten Informationspflichten zusammengefasst und nun aufführt, welche Informationen den Betroffenen explizit zur Verfügung stehen müssen.
 
Die neue Regelung der EU-DSGVO geht dabei weit über das bisher erforderliche ihrer Website hinaus.
 
Nehmen Sie die beigefügten Dokumente zur Kenntnis.
 
Mit freundlichen Grüßen
 
Rechtsanwalt Dominik Schlegel

21.01.2019: WARNUNG FAKE-MAIL - Betreff: Beratungsstelle

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist eigentlich auch ganz leicht als unseriös zu identifizieren (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, er wurde in der Sophos Web Protection gesperrt.

  • Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
  • Wir verwenden als Absenderbezeichnung Vorname und Name aber niemals ITS ADMIN.
  • Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
  • Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns weder eine Beratungsstelle, noch einen ITS ADMIN und auch kein Systemadministrator-Team. Der Betreff macht somit auch keinen Sinn und passt zudem gar nicht zum Inhalt.
  • Wir verwenden eine persönliche Anrede und eine abschließende Grußformel.
  • Bei offiziellen Mails sollte auch immer die an der Bauhaus-Uni übliche Signatur vorhanden sein, diese fehlt hier.
  • Sprachliche Fehler sind ein weiteres Indiz für eine Fälschung.
  • Inhaltlich macht die Mail überhaupt keinen Sinn, das es bei E-Mail keine extra festgelegten Speicherlimits gibt.

--FAKE-MAIL--
Absender: ITS ADMIN (mail@lmu.de)
 
Ihr Postfach hat den von unserem E-Mail-Administrator festgelegten Speicherlimit überschritten und Sie können keine neue Mail-Unit erhalten, die Sie erneut validieren. Um Ihr E-Mail-Konto erneut zu validieren.
 
Klick hier (https://corrde.000webhostapp.com/web...)
 
Beratungsstelle
Systemadministrator-Team

17.01.2019: WARNUNG VOR GEFÄLSCHTEN BEWERBUNGEN MIT SCHADSOFTWARE

zurzeit wird vor angeblichen Bewerbungen gewarnt, in denen sich ein Verschlüsselungs-Trojaner verbirgt:
 
www.heise.de/security/meldung/Erste-Dynamit-Phishing-Welle-des-Jahres-Trojaner-GandCrab-ist-zurueck-4278333.html
 
Aktuell ist die vermeintliche Absenderin der E-Mail mit dem Betreff 'Bewerbung auf die angebotene Stelle' eine 'Saskia Heyne', diese Angaben können von den Angreifern aber auch schnell verändert werden.
 
In jedem Fall sollte sehr vorsichtig mit (angeblichen) Bewerbungen umgegangen werden. Der Verschlüsselungstrojaner verbirgt sich meist - auch im vorliegenden Fall - in dem Makro eines angehängten Word-Dokuments.
 
Damit er wirksam werden kann, muss die Makrofunktionalität aktiviert werden.
 
Bei zentral administrierten Systemen ist die Makro-Funktionalität standardmäßig deaktiviert und sollte es auch möglichst bleiben. Keinesfalls sollte bei Dokumenten, deren Seriosität nicht zweifelfrei feststeht, die Makrofunktionalität aktiviert werden. Auch wenn - wie im vorliegenden Fall - die Meldung ausgegeben wird, dass das 'Dokument mit einer älteren Version von Word erstellt' worden sein soll und man verleitet werden soll per Kompatibilitätsmodus aktive Inhalte zu aktivieren, sollte dieser Anweisung auf gar keinen Fall nachgekommen werden. Wird das Makro aktiviert, kann der enthaltene Trojaner auf das System zugreifen und wichtige Daten verschlüsseln, an die man schlimmstenfalls nicht mehr herankommt.
Es ist nicht auszuschließen, dass der an der Bauhaus-Universität Weimar eingesetzte Virenschutz die Schadsoftware noch nicht erkennt, gerade deshalb ist ein vorsichtiges Agieren angezeigt.
 
Merkmale für eine Fälschung können sein, dass keine konkreten Angaben zur Stelle auf die man sich bewirbt gemacht werden (wir fordern immer die Angabe der Kennziffer) und dass, obwohl an der Bauhaus-Universität meist mehrere Stellen parallel angeboten werden oder Personen kontaktiert werden, die nicht als Ansprechpartner in den auf unseren Webseiten publizierten Bewerbungen genannt werden. Auch andere Dinge, die merkwürdig und nicht stimmig erscheinen, sollten einen stutzig machen. Bei früheren ähnlichen Vorgängen konnte auch die Google Bildersuche das mitgesendete Foto als Fälschung entlarven.

15.01.2019: WARNUNG VOR WEITEREN FAKE-MAILS MIT SCHADSOFTWARE

neben der Fake-E-Mail der bereits veröffentlichten Warnung, scheinen weitere abgewandelte Fake-Mails zu kursieren, für die das bereits gesagte gilt.
 
ACHTUNG: auch hier enthält die angehängte Word-Datei Schadsoftware, die der Sophos Schadsoftwareschutz noch nicht erkennt!
Der Anhang darf auf keinen Fall geöffnet werden!
Ein Sample wurde an Sophos gesendet.
 
Grundsätzlich gilt: angezeigter Absendername und angezeigte Absenderadresse einer E-Mail besitzen keinerlei Verlässlichkeit und können leicht gefälscht werden. Der Hack eines Mail-Accounts ist hierfür nicht erforderlich und in der Masse der Fälle auch nicht erfolgt. Siehe:
de.wikipedia.org/wiki/Mail-Spoofing
 
E-Mail sollte als unsicheres Kommunikationsmittel betrachtet werden, bei dem ein vorsichtiger und umsichtiger Umgang angeraten ist.
 
Die Mails können leicht als Fälschung entlarvt werden, da immer etwas nicht passt.
 
Bei der unten stehenden Mail:

  • Verwendung einer externen Mailadresse,
  • Name des Angeschiebenen fehlt in der Grußformel,
  • der Vorgang selbst ist nicht stimmig,
  • Schreibfehler,
  • die Absenderangaben passen nicht (keine Weimarer Telefon-Vorwahlen),

die Bankdaten passen nicht (angegebene BIC ist nicht die der DKB Bank).
 
--Mail - angeblicher interner Absender unkenntlich gemacht--
Von: vorname nachname (vorname.nachname@uni-weimar.de) (top21@chol.com)
Betreff: SEPA Mandat
 
Sehr geehrter ,
 
ab dem 15.01.2019 ändert sich mein Bankkonto aufgrund einer neuen Bankinstitution.
Daher bitte ich Sie den Betrag von 1.057,15 EUR ab dem 15.01.2019 von folgendem Konto abzubuchen.
 
vorname nachname
DKB Deutsche Kreditbank Ag
IBAN: DE03 6913 7767 8231 2990 32
BIC: SICUAW3740B
 
 
 
Mit freundlichen Grüße,
 
 
vorname nachname
 
Büro: +49 5400 738435 0
Fax: +49 5400 733126 0
vorname.nachname@uni-weimar.de

15.01.2019: WARNUNG - SCHADSOFTWARE IN MAIL MIT ANGEBLICHER RECHUNG

zurzeit erhalten einige Nutzer E-Mails, die angeblich vom Leiter SCC versendet wurden und eine Rechnung erhalten sollen.
 
ACHTUNG: Die angehängte Word-Datei enthält Schadsoftware, die der Sophos Schadsoftwareschutz noch nicht erkennt!
Die Datei darf auf keinen Fall geöffnet werden!
Ein Sample wurde an Sophos gesendet.
 
Die Mail ist leicht als Fälschung zu entlarven:

  • es wird keine Mailadresse der Bauhaus-Universität verwendet,
  • die angebliche Rechnung lässt sich keinem bekannten Vorgang zuordnen,
  • die angegebenen Telefonnummer verwenden die Vorwahl von Dresden, statt von Weimar und bei der Mobilfunknummer wurde die Festnetzvorwahl eingetragen,
  • Rechnungsnummer im Text und Anhang stimmen nicht überein,
  • es werden heute unübliche Formulierungen - wie allfällig - verwendet,
  • es gibt sprachliche Fehler,
  • es fehlt die an der Bauhaus-Universität übliche Mailsignatur,
  • außerdem nutzt der Leiter SCC kein iPhone.

Auf die Mail sollte nicht reagiert werden, sie ist zu löschen!
 
--Mail:
Von: Hartmut Hotzel hartmut.hotzel@uni-weimar.de (recepcion@labarracamall.com)
Betreff: Rechnung vom 15.01.2019
 
Sehr geehrte Damen und Herren,
 
Anbei finden Sie Ihre Rechnung M46E90X vom 15.01.2019 zu Kundennummer
9530
 
Bei allfälligen Rückfragen steht Ihnen gerne zur Verfügung.
 
Verbleiben mit freundlichen Grüßen
 
Hartmut Hotzel
 
Mob: 0351/1725950
Büro: 0351/1725950062
Fax: 0351/1725950688
hartmut.hotzel@uni-weimar.de
 
Von meinem iPhone gesendet.

14.01.2019: WARNUNG FAKE-MAIL - Betreff: Nachricht vom Sicherheitsdienst...

Einige unserer Nutzerinnen und Nutzen haben eine E-Mail erhalten, die vorgibt, dass Systeme und Daten kompromittiert wurden und in der Lösegeld gefordert wird.
 
Als Beweis wird als Absender der eigene Name und die eigene E-Mail-Adresse des Opfers verwendet. Das beweist allerdings gar nichts, da hierzu kein Account kompromittiert werden muss, sondern lediglich eine entwicklungsbedingte Schwäche von E-Mail ausgenutzt wird (E-Mail-Spoofing), die zur Folge hat, dass angezeigter Absendername und Absender-E-Mail-Adresse keinerlei Verlässlichkeit besitzen und leicht gefälscht werden können.
 
Neben verschiedener Merkmale, die auf einen Fake hindeuten:

  •  anonyme Anrede,
  • keinerlei Nennung konkreter Details des vermeintlichen Hacks, sowie der angeblichen brisanten Daten,
  • es sollen Webseiten besucht worden, sein das vermeintliche Opfer belasten können (gemeint sind wohl pornografische Inhalte), hat man solche Seiten nicht besucht, kann das auch nichts Belastendes existieren,
  • dann will der Angreifer Aufnahmen vom Opfer beim Betrachten der Seiten gemacht haben, gibt es am eigenen Geräte keine Videokamera oder ist diese abgedeckt (viele Produkte besitzen mechanische Abdeckungen) sind Aufnahmen technisch gar nicht möglich,
  • die Aussage" Versuchen Sie nicht, mich zu kontaktieren (Dies ist nicht möglich, ich habe Ihnen diese E-Mail von Ihrem Konto aus gesendet)." ist natürlich kompletter Unsinn, hätte der Angreifer den Account tatsächlich übernommen, denn dann würde er sämtliche Mails mitlesen können (alle ein- und ausgehende E-Mails).
  • unübliches Vorgehen (tatsächlich kompromittierte Systeme werden verschlüsselt und es wird Lösegeld zur Freigabe gefordert oder der Angreifer verhält sich still, um Daten auszuspähen oder das System als Teil eines BotNetzes zu missbrauchen).

finden sich im Internet bereits vielfach Warnungen vor dem Fake, so auch bei der Polizei:

www.polizei-praevention.de/aktuelles/erpressungsmail-welle-geht-weiter.html
Hier werden auch Handlungsempfehlungen gegeben.
 
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
-------- Weitergeleitete Nachricht --------
Betreff: Nachricht vom Sicherheitsdienst. Der Zugang zu Ihrem Konto erfolgt uber Dritte.
Von: [eigener vorname.eigener nachname]@uni-weimar.de
 
Ich grüße Sie!
 
Ich habe schlechte Nachrichten für dich.
28.06.2018 - an diesem Tag habe ich Ihr Betriebssystem gehackt und vollen Zugriff auf Ihr Konto erhalten [eigener vorname.eigener nachname]@uni-weimar.de.
 
Wie war es:
In der Software des Routers, mit der Sie an diesem Tag verbunden waren, gab es eine Sicherheitsanfälligkeit.
Ich habe diesen Router zuerst gehackt und meinen bösartigen Code darauf abgelegt.
Bei der Eingabe im Internet wurde mein Trojaner auf dem Betriebssystem Ihres Geräts installiert.
 
Danach habe ich alle Daten auf Ihrer Festplatte gespeichert (ich habe Ihr gesamtes Adressbuch, den Verlauf der angezeigten Websites, alle Dateien, Telefonnummern und Adressen aller Ihrer Kontakte).
 
Ich wollte dein Gerät sperren. Und benötigen Sie eine kleine Menge Geld für das Entsperren.
Aber ich habe mir die Websites angesehen, die Sie regelmäßig besuchen, und kam zu dem großen Schock Ihrer Lieblingsressourcen.
Ich spreche von Websites für Erwachsene.
 
Ich möchte sagen - du bist ein großer Perverser. Sie haben ungezügelte Fantasie!
 
Danach kam mir eine Idee in den Sinn.
Ich habe einen Screenshot der intimen Website gemacht, auf der Sie Spaß haben (Sie wissen, worum es geht, oder?).
Danach nahm ich Ihre Freuden ab (mit der Kamera Ihres Geräts). Es stellte sich wunderbar heraus, zögern Sie nicht.
 
Ich bin fest davon überzeugt, dass Sie diese Bilder Ihren Verwandten, Freunden oder Kollegen nicht zeigen möchten.
Ich denke, 334€ sind ein sehr kleiner Betrag für mein Schweigen.
Außerdem habe ich viel Zeit mit dir verbracht!
 
Ich akzeptiere nur Bitcoins.
Meine BTC-Geldbörse: 18Pt4B7Rz7Wf491FGQHPsfDeKRqnkyrMo6
 
Sie wissen nicht, wie Sie die Bitcoins senden sollen?
Schreiben Sie in einer Suchmaschine "wie Sie Geld an die BTC-Geldbörse senden".
Es ist einfacher als Geld an eine Kreditkarte zu senden!
 
Für die Bezahlung gebe ich Ihnen etwas mehr als zwei Tage (genau 50 Stunden).
Keine Sorge, der Timer startet in dem Moment, in dem Sie diesen Brief öffnen. Ja, ja .. es hat schon angefangen!
 
Nach Zahlungseingang zerstören sich meine Viren und schmutzigen Fotos automatisch.
Wenn ich die angegebene Menge nicht von Ihnen erhalte, wird Ihr Gerät gesperrt, und alle Ihre Kontakte erhalten ein Foto mit Ihren "Freuden".
 
Ich möchte, dass du umsichtig bist.
- Versuchen Sie nicht, mein Virus zu finden und zu zerstören! (Alle Ihre Daten sind bereits auf einen Remote-Server hochgeladen.)
- Versuchen Sie nicht, mich zu kontaktieren (Dies ist nicht möglich, ich habe Ihnen diese E-Mail von Ihrem Konto aus gesendet).
- Verschiedene Sicherheitsdienste helfen Ihnen nicht weiter; Auch das Formatieren einer Festplatte oder das Zerstören eines Geräts ist nicht hilfreich, da sich Ihre Daten bereits auf einem Remote-Server befinden.
 
P.S. Ich garantiere Ihnen, dass ich Sie nach der Bezahlung nicht mehr stören werde, da Sie nicht mein einziges Opfer sind.
Dies ist ein Hacker-Ehrenkodex.
 
Ich empfehle Ihnen von nun an, gute Antiviren-Programme zu verwenden und regelmäßig (mehrmals täglich) zu aktualisieren!
 
Sei nicht böse auf mich, jeder hat seine eigene Arbeit.
Abschied.

09.01.2019: WARNUNG GEFÄLSCHTE MAIL - Betreff: Kontoaktualisierung

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist eigentlich auch ganz leicht als unseriös zu identifizieren (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, er wurde in der Sophos Web Protection gesperrt.

  • Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
  • Wir verwenden als Absenderbezeichnung Vorname und Name aber niemals ADMIN.
  • Das genannte Datum liegt bereits 6 Jahre !!! in der Vergangenheit.
  • Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
  • Wir verwenden die offiziellen Bezeichnungen, einen Bauhaus Account Admin.
  • Da wir unsere Nutzer kennen und in der Regel keine Massenmails verwenden, sprechen wir diese persönlich an.
  • Bei offiziellen Mails sollte auch immer die an der Bauhaus-Uni übliche Signatur vorhanden sein, diese fehlt hier.
  • Wir bemühen uns inhaltlich verständliche Mails zu versenden.Die verwendeten Formulierungen sind nicht stimmig, mal wird davon gesprochen, dass das Konto (Was für ein Konto eigentlich??? Wir verwalten Nutzer-Accounts, aber keine Konten) geschlossen werden kann, dann von soll, dann wieder von Aktualisierung. Dieser unverständliche Kauderwelsch ist inhaltlich kompletter Nonsens. Für Uni-Accounts gibt es ganz klare Festlegungen und der läuft nicht mal eben so überraschend ab. Bei Aktualisierungen unserer Dienste sind in der Regel keine Nutzerinteraktionen nötig, wenn doch informieren wir rechtzeitig auf der SCC-Pinnwand. 

-----Ursprüngliche Nachricht-----
Von: ADMIN (rmoore@brunswickautomart.com)
 
Betreff: Kontoaktualisierung
 
Kontoaktualisierung
 
Ihr Konto kann am 01.09.2013 geschlossen werden
 
Sehr geehrter Bauhaus-E-Mail-Benutzer
 
Diese Nachricht wird an Sie gesendet, um Sie darüber zu informieren, dass Ihr
Konto geschlossen werden soll. Wenn Sie dieses Konto weiterhin verwenden
möchten, führen Sie ein Upgrade auf unsere Dienste durch. Wenn Sie diese
Nachricht ignorieren, wird das Konto geschlossen. Aktualisieren Sie Ihr Konto.
Bitte KLICKEN (...ttps://hsrservice.weebly.co...) oder kopieren und den zu aktualisierenden Link einfügen:
Hinweis: Diese Aktualisierung ist sofort nach Erhalt dieser Nachricht erforderlich
 
Vielen Dank
Bauhaus Account Admin

15.11.2018: WARNUNG VOR GEFÄLSCHTEN E-MAILS (Schadsoftware im Anhang)

Zurzeit erhalten wieder einige Nutzerinnen E-Mails die angeblich von einer Mitarbeiterin oder einem Mitarbeiter der Bauhaus-Universität stammen und eine Rechnung im Anhang enthalten sollen. ACHTUNG, der Anhang enthält Schadsoftware und sollte KEINESFALLS geöffnet werden! Häufig erkennt die eingesetzte Sophos Schutzlösung die Schadsoftware erst, nachdem wir ein Sample an Sophos gesendet haben.
 
Vor dem Szenario wird im Internet vielfach gewarnt:
www.polizei-praevention.de/aktuelles/massive-welle-von-gefaelschten-rechnungen.html
 
Grundsätzlich sollte E-Mail als das angesehen werden, was es entwicklungsbedingt ist: ein potentiell unsicheres Kommunikationsmittel.
Angezeigter Absendername und Absenderadresse besitzen keinerlei Verlässlichkeit. So wurden in den uns bekannten Fällen niemals Accounts der Bauhaus-Universität kompromittiert, sondern lediglich gefälschte Absenderangaben verwendet.
 
Beim Umgang mit E-Mail sollte besonnen und aufmerksam agiert werden. Keinesfalls sollten leichtfertig Anhänge geöffnet oder ominösen Links gefolgt werden.
 
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:

  • der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
  • ungewöhnlichen Betreffs und Inhalten die einem nichts sagen oder sich keinem bekannten Vorgang zuordnen lassen,
  • Schreib- und Darstellungsfehlern,
  • einem vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders oder einem Schreibstil den man von Personen in vergleichbarer Position nicht erwartet (auffallend leger),
  • das Fehlen der an der Bauhaus-Universität Weimar üblichen E-Mailsignatur oder Telefonnummer, (persönlicher) Anrede und abschließender Grußformel mit Namen,
  • irritierenden sich widersprechenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link, im Betreff steht was von Zahlungserinnerung im Inhalt etwas von Auftragsbestätigung etc.,
  • Angabe einer externen Telefon- und Faxnummer, obwohl es sich um eine Mail aus dem Bereich der Bauhaus-Universität handeln soll,
  • ungewöhnliche Anfragen,
  • das Erzeugen von starkem Handlungsdruck.

Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

16.10.2018: WARNUNG VOR GEFÄLSCHTEN E-MAILS

Zurzeit erhalten wieder einige Nutzerinnen und Nutzer E-Mails, die angeblich von einer/ einem Vorgesetzten stammen und eine Überweisung anfragen. Weitere mögliche Varianten sind die angebliche Zusendung eines Dokumentes oder (externen) Links für interne geschäftliche Vorgänge.
 
Das Angriffsszenario wird CEO-Fraud bezeichnet und bespielweise hier erläutert:
www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ceo-fraud/
Den besten Schutz vor diesem Angriffsszenario bieten umsichtiges, vorsichtiges Agieren und ein sorgsamer Umgang mit dem potentiell unsicheren Kommunikationsmittel E-Mail. Technische Maßnahmen können unterstützen, bieten aber niemals einen 100%igen Schutz.
 
Der angezeigte Absendername einer E-Mail besitzt so gut wie keine Verlässlichkeit. Er kann sehr leicht gefälscht werden. Die Authentizität eines Absenders lässt sich nur durch den Einsatz digitaler Signaturen gewährleisten.
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:

  • der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
  • ungewöhnlichen Betreffs und Inhalten die einem nichts sagen oder sich keinem bekannten Vorgang zuordnen lassen,
  • Schreib- und Darstellungsfehlern,
  • einem vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders oder einem Schreibstil den man von Personen in vergleichbarer Position nicht erwartet (auffallend leger),
  • das Fehlen der an der Bauhaus-Universität Weimar üblichen E-Mailsignatur, (persönlicher) Anrede und abschließender Grußformel mit Namen,
  • irritierenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link,
  • ungewöhnliche Anfragen,
  • das Erzeugen von starkem Handlungsdruck.

Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

----
reales Beispiel:
 
Von: Winfried Speitkamp (officemail0@aol.com)
 
Betreff: Dringend
 
Können wir heute eine internationale Zahlung von 54.255,00 Euro machen?
 
Grüße,
 
Dr. Winfried Speitkamp

27.08.2018: WARNUNG VOR ANGEBLICHER RECHNUNG MIT SCHADSOFTWARE

Mehrere Nutzer erhielten eine Mail mit angeblicher Rechnung (Word-Datei, Bezeichnung RECH-(3 Buchstaben)-(mehrere Ziffern), Inhalte in den Klammern variieren), die höchstwahrscheinlich Schadsoftware enthält und die vom Sophos Virenschutz noch nicht erkannt wird. Die Dateianhänge wurden zu Sophos gesendet, damit die entsprechenden Signaturen erstellt werden.
Mailanhänge suspekter E-Mails sollten niemals leichtfertig geöffnet werden! Besser ist eine Prüfung des Anhangs bei virustotal.com oder eine vorherige Nachfrage bei uns oder dem vermeintlichen Absender (Telefonnummer nicht der Mail entnehmen). Melden bei virustotal mehrere Virenscanner Schadsoftware ist von eine Infektion auszugehen (so ist das auch im vorliegenden Fall).
Hat man auf den Anhang geklickt, kann es bereits zu spät sein und der Rechner ist verseucht. Hier empfiehlt sich das komplette Neuaufsetzen des System. Ein kompletter Virenscan macht erst Sinn, wenn die Schadsoftware durch den Virenschutz erkannt wird.
 
Hinweis zur Erkennung der Fälschung im vorliegenden Fall:

  • Der Absender ist nicht der, der er vorgibt zu sein, zu sehen unten bei den weitergeleiteten E-Mails. Hier steht hinter dem vermeintlichen internen Absender die wirkliche mexikanische Absender-Mailadresse (.mx). Mail ist als unsicheres Kommunikationsmittel zu betrachten, angezeigter Absendername und angezeigte Absendermailadresse besitzen grundsätzlich keinerlei Verlässlichkeit.
  • Die persönliche Anrede fehlt.
  • Ggf. unterscheidet sich die E-Mail im Schreibstil und Aufbau von bisherigen Mails des angeblichen Absenders, hier sollte man stutzig werden.
  • Einen bekannten Vorgang zu dem die E-Mail passt, dürfte die Empfänger nicht kennen, da es ihn nicht gibt. Erhält man also eine Mail mit der man erst einmal nichts anfangen kann, ist äußerste Vorsicht geboten.

 
Beispiel für die verseuchten E-Mails:
 
-----Ursprüngliche Nachricht-----
Von: [Vorname] [Nachname] Prof. Dr.-Ing. [Vorname.nachname]@uni-weimar.de) (mailto:jemmymunoz@prodigy.net.mx)
Betreff: Zahlungsavis 51M92298 vom 27.08.2018
 
Guten Tag,
 
anbei wie gestern besprochen die Rechnung.
 
m.f.G
 
[Vorname Nachname] Prof. Dr.-Ing.
---
Tel.: 08618 / 665 553
Fax: 08618 / 665 808
Mail:[Vorname.nachname]@uni-weimar.de
--
Von: [vorname nachname (vorname.nachname@uni-weimar.de)] (direccion.operaciones@limpiamex.mx)
Betreff: Aktualisierte rechnung TIO71210
 
Guten Abend,
 
in vorbezeichneter Angelegenheit erhalten Sie das beigefügte Schriftstück zur Kenntnisnahme
und zum Verbleib bei Ihren Unterlagen.
Wir bitten um Überweisung des Rechnungsbetrages unmittelbar auf das Konto der Zahlstelle.
 
Freue mich von Ihnen zu hören auf gute Zusammenarbeit.
 
Lieben Dank
 
vorname nachname
---
 
 
Tel.: +49 50 94185 360
Fax: +49 50 94185 232
EMail: [Vorname.Nachname]@uni-weimar.de

Anmerkung: In den eckigen Klammern standen die realen Namen von Mitarbeiterinnen und Mitarbeitern der Bauhaus-Uni.

30.07.2018: PHISHING-WARNUNG - Liebe Konto Benutzer

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung.
Wir verwenden in der Regel eine persönliche Anrede und eine abschließende Grußformel.
Wir verwenden die offiziellen Bezeichnungen ein E-mail Helpdesk Zentrum/ Email Helpdesk Zentrum gibt es bei uns nicht. Zudem würden wir die Schreibweise offizieller Bezeichnungen auch nicht variieren.
Unsere E-Mails erhalten in der Regel die an der Bauhaus-Universität übliche E-Mail-Signatur.
Wir verwenden üblicherweise aussagekräftige Betreffs und ganz sicher nicht Liebe Konto Benutzer.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf ominösen externen Webseiten zu gehen, um dort persönliche Daten einzugeben o.ä.
Aus Sicherheitsgründen sollten Sie niemals leichtfertig auf irgendwelche externen Links klicken und schon gar nicht Daten für interne Dienste auf Webseiten eingeben, die nicht mal ansatzweise nach offiziellen Webseiten der Bauhaus-Universität aussehen.
 
Inhaltlich macht die E-Mail keinen Sinn, da es bei uns keine extra Speicherlimitierungen für E-Mail gibt und auch keine obskuren Validierungen möglich sind.
 
Von: Email Helpdesk Zentrum (suellen@unifesspa.edu.br)
Betreff: Re: Liebe Konto Benutzer
 
Lieber Benutzer,
 
Ihr Postfach hat die von unserem e-Mail-Administrator festgelegte IT-Speichergrenze überschritten, und Sie werden keine neuen Mails erhalten können, bis Sie Sie erneut validieren.
 
Hier Klicken (...ttps://pocztwab.webnode.com)
 
Copyright (C) 2018 E-mail Helpdesk Zentrum

11.06.2018: PHISHING-WARNUNG - E-Mail ohne Betreff

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den in der E-Mail enthaltene Link wurde innerhalb der Universität gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wir mixen in einer Mail nicht verschiedene Anredeformen, wie Du und Sie.
Beim ungewöhnlichen Begriffen sollten Sie stutzig werden, Zimbra-Konten gibt es hier nicht.
Wir verwenden immer einen Betreff bei unseren E-Mails, sowie eine persönliche Anrede und vermeiden auch zu legere Formulierungen, wie einfach nur Grüße am Ende der Mail.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns weder einen Technischen Support, noch ein Technical Support Team.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
 
Inhaltlich macht die E-Mail keinen Sinn, da es keine Einfach-Klick-Aktualisierungen/-Bestätigungen für irgendwelche Vorfälle bei uns gibt.
Die Drohung mit der endgültigen Schließung des Kontos ist rechtlich unzulässig und damit kompletter Schwachsinn.
-------- Nachricht --------
Von: Technical support team (pian.s.malgaretto@archiworld.it)
 
Lieber Webmail-Benutzer,
 
Hiermit möchten wir Sie darüber informieren, dass eine andere Person versucht hat, sich von einem
anderen Ort aus bei Ihrem Webmail-Konto anzumelden. (IP: 68.167.158.432 INDIA: 05-30-2018 vor 07:18 AM)
 
Klicken Sie unten, um sich anzumelden und Ihr Konto zu aktualisieren und zu bestätigen. Dafür hast
du nur 48 Stunden Zeit, um dein Zimbra-Konto aktiv zu halten.
 
Klicken Sie hier, um Ihr Konto zu bestätigen.
webmail.uni-weimar.de/horde/imp/ (...ttp://updateinfor.ucoz.net/webmail.uni-weimar.de.htm...)
 
Diese E-Mail unterliegt einer obligatorischen Nachverfolgung. Die Nichteinhaltung führt zur
endgültigen Schließung des Kontos.
Grüße,
Technischer Support

07.06.2018: PHISHING-WARNUNG - IT Helpdesk! Behandle sehr dringend!!!

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wenn erforderlich, fordern wir jemanden zum Handeln, aber sicher nicht zum Behandeln auf.
Wir verwenden in der Regel eine persönliche Anrede und abschließende Grußformel, unsere E-Mails enden nicht abrupt mitten in einem Satz.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns kein Führungsteam und IT-Helpdesk ist ebenfalls eine von uns nicht genutzte Bezeichnung.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen. Nur weil in einem Link weimar enthalten ist, hat dieser noch lange nichts mit uns zu tun. Die in der Mail verwendete Domain ist weebly.com.
 
Inhaltlich macht die E-Mail keinen Sinn, da Sie sich im SCC persönlich (bzw. Studierende bei Ihrem zuständigen Wohnheim-Administrator) melden müssen, sollten wir Ihren Account oder Netzanschluss sperren. Ein Aktivierung per Klick gibt es nicht und wird es nicht geben.
Eine Löschung von Mails aktiver Accounts ist unzulässig und wird durch uns niemals erfolgen.
---
Von: Carin Elvira Ehrhardt (carin.ehrhardt@tjrs.jus.br)
 
Liebe Bauhaus-Universität Weimar E-Mail Benutzer,
 
Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund von ungewöhnlichen Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
KLICK HIER (...ttps://weimar-de.weebly.com...)
 
Sie können diese Nachricht in Ihrem Junk-Ordner aufgrund der ungewöhnlichen Aktivitäten finden, gehen Sie bitte in Ihren Posteingang und klicken Sie auf den obigen Link. Wenn Sie dies nicht tun, wird Ihr E-Mail-Konto vollständig gesperrt und Ihre E-Mail wird vom Mail-Server gelöscht. Ignorieren Sie diese Benachrichtigung nicht. Gönnen Sie sich sehr dringend
 
Datenschutz | © 2018 Bauhaus-Universität Weimar. Alle Rechte vorbehalten
Führungsteam

19.02.2018: PHISHING-WARNUNG - IT-service

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Speicher holt man nicht ab und E-Mail-Kontos werden nicht heruntergefahren.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht nur lapidar IT-service.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
Wir verwenden die offiziellen Bezeichnungen - Domänensicherheit 2018 - verwenden wir nicht.
Inhaltlich macht die E-Mail keinen Sinn, da es kein extra E-Mail-Speicherlimit gibt.
--
Absender: E.Jukova (e.jukova@cdek.ru)
 
Ihr E-Mail-Konto wird geschlossen, wenn Sie die Speicherkapazität nicht erhöhen können. Klicken Sie auf Aktualisieren (....ttps://zimbrawebmail.weebly.co...), um Ihre Speicherkapazität um 20,00 GB zu erhöhen ..
 
Klicken Sie auf " Aktualisieren", um kostenlosen Speicherplatz von 20 GB hinzuzufügen.
 
Wenn Sie nicht in den nächsten 24 Stunden von Ihnen abgeholt werden, werden wir Ihr E-Mail-Konto bis nach ordnungsgemäßer Überprüfung herunterfahren, bevor Sie wieder auf Ihr E-Mail-Konto zugreifen können.
 
Vielen Dank.
Domänensicherheit 2018.

09.02.2018: PHISHING-WARNUNG - BEACHTUNG

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den Link aus dem Netzwerk der Universität wurde gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar BEACHTUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir nutzen die offiziellen Bezeichnungen, die Begrifflichkeiten Technical Service und IT-Verwaltung verwenden wir nicht.
Sprachliche Fehler bzw. eine übertrieben gestelzte oder holprige Sprache sind ein Indiz für eine Fälschung.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unsere internen Services geht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Ein Produkt mit dem Namen Web-Access 2018 wird an der Bauhaus-Universität nicht eingesetzt.
 
Von: Technical Support (Eliana.Candrlic@hrt.hr)
 
Wir aktualisieren unser E-Mail-System auf Web-Access 2018. Dieser Dienst schafft mehr Platz und einfachen Zugriff auf E-Mails. Bitte aktualisieren Sie Ihr Konto, indem Sie auf den unten stehenden Link klicken und Informationen zur Aktivierung eingeben.
 
KLICK HIER (...ttp://www.se-ed.nl/index.ht...)
 
Unfähigkeit, die Informationen zu vervollständigen, macht Ihr Konto inaktiv.
Vielen Dank.
IT-Verwaltung

06.02.2018: WARNUNG VOR ZIELGERICHTETEN GEFÄLSCHTEN E-MAILS (CEO-Fraud)

Neben den immer wieder eher unspezifisch versendeten gefälschten E-Mails tauchen im Bereich der Bauhaus-Universität Weimar zunehmend zielgerichtete gefälschte E-Mails auf, d.h. es wird versucht bestehende Kommunikationsbeziehungen auszunutzen.
Angeblich wendet sich die Abteilungsleitung an Mitarbeiterinnen und Mitarbeiter und stellt vermeintlich Dokumente wie Rechnung o.ä. zur Verfügung oder fragt eine Überweisung an. Das Angriffsszenario wird CEO-Fraud bezeichnet. Beim BKA kann ein Flyer zum Thema heruntergeladen werden: Link.
 
Ziel entsprechender E-Mails ist entweder das Abgreifen persönlicher Informationen (insbesondere Zugangsdaten), das Infizieren des Systems mit Schadsoftware oder das Verleiten zu schädigenden Handlungen, wie dem Überweisen von Geld an die Angreifer.
 
Den besten Schutz vor diesem Angriffsszenario bieten umsichtiges, vorsichtiges Agieren und ein sorgsamer Umgang mit dem potentiell unsicheren Kommunikationsmittel E-Mail.
 
Der angezeigte Absendername besitzt so gut wie keine Verlässlichkeit. Er kann sehr leicht gefälscht werden. Die Authentizität eines Absenders lässt sich nur durch den Einsatz digitaler Signaturen gewährleisten.
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:
- der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
- ungewöhnlichen Betreffs und Inhalten die einem nichts sagen,
- Schreib- und Darstellungsfehlern,
- einen vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders,
- das Fehlen der E-Mailsignatur, (persönlicher) Anrede und abschließender Grußformel,
- irritierenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link,
- ungewöhnliche Anfragen,
- das Erzeugen von starkem Handlungsdruck.
 
Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

Beispiele: 

Von: Vorname Name Mitarbeiterin (officemail.12@aol.com) 
An: Vorname Name Mitarbeiterin eines anderen Bereichs
Betreff: Dringend
 
Wir müssen eine internationale Zahlung von 54.255,00 EUR machen. Können wir das heute machen?

grüße,
Vorname Nachname Vorgesetzte.

---

Von: Name Vorname eines Abteilungsleiters der Bauhaus-Uni (mailto:Edclines@cox.net)
An: Mitarbeiterinnen und Mitarbeiter
 
Betreff: Dokumente F - 725-K9244
 
Guten Tag,
 
bitte Anhang beachten.
...ttp://bakeitbakeitbaby.com/Rechnungs-Details... (aus Sicherheitsgründen Link leicht verändert)
 
Freundliche Grüße
Name Vorname

06.02.2018: PHISHING-WARNUNG - AKTUALISIERUNG

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar AKTUALISIERUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unseren internen Services bzw. Ihren Account geht.
Wir fragen Sie übrigens niemals nach Ihrem persönlichen Passwort, dessen Kenntnis benötigen wir für unsere Diensterbringung nicht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Es gibt auch kein spezielles Webmail-Konto, sondern Webmail ist ein Teil des E-Mail-Services. Der Webmaster hat mit Webmail rein gar nichts zu tun.

--

From: Universität Weimar Webmaster (centrum.pameti@fnusa.cz)
Subject: AKTUALISIERUNG

Ihr Benutzerkonto muss aktualisiert werden. Bitte loggen Sie sich an der Universität Weimar ein, um Ihr Passwort zu bestätigen
Webmail-Konto.
Universität Weimar Webmaster

01.02.2018: Update-Probleme Sophos Home-Use Version

Wer die auf unserer Webseite verlinkte Home-Use Version des Sophos Virenscanners der SAGS (Sophos Stand Alone) auf einem Privatrechner verwendet und deren/dessen System in der Zeit zwischen dem 26.01. und 30.01.2018 mit dem Internet verbinden war, erhält höchst wahrscheinlich keine Updates mehr.
 
Hintergrund:
--------------
Updates bekommen Sophos Virenscanner nur, wenn Sie sich beim Update-Server mit Login + Passwort anmelden.
Diese sind in der Software hinterlegt und werde durch ein Clientsystem bei der Kontaktaufnahme zum Update-Server kommuniziert. Wird – wie am 26.01.2018 geschehen – ein falsches Passwort implementiert, schneidet man das System vom Update-Server ab.
 
Handlungsempfehlung:
--------------------------
Automatisch lässt sich das Problem leider nicht beheben, alle betroffenen Nutzer müssen selber handeln.
 
Die Webseite der SAGS aufrufen. Dann auf Downloads - Virenschutz-Software - Sophos AntiVirus (Bestätigung zur Einhaltung der Lizenzbedingungen: OK) gehen und die Datei iconn.zip herunterladen. Die heruntergeladene Datei entpacken und damit die im Verzeichnis enthaltene C:\ProgramData\Sophos\AutoUpdate\Config\iconn.cfg ersetzen.
 
Alternativ kann man auch die komplette Software herunterladen und installieren.

DROPBOX HACK – Betroffenheit der Bauhaus-Universität

In der Presse wurde kürzlich darüber berichtet, dass Zugangsdaten des beliebten Online-Speicher-Dienstes Dropbox im Internet aufgetaucht sind.
Die Daten stammen aus einem Hack des Dienstes im Jahr 2012.
Siehe hierzu: www.heise.de/security/meldung/Gestohlene-Dropbox-Passwoerter-offenbar-echt-3310017.html
 
Dem SCC liegt eine Liste von 1434 E-Mail-Accounts der Bauhaus-Universität Weimar vor, die von der Kompromittierung verschiedener Online-Dienste – hauptsächlich Dropbox – betroffen sind.
Genannt werden neben der E-Mail-Adresse der Dienst/ die Dienste bei dem/ denen Daten abgegriffen wurden.
Eine Überprüfung ergab, dass von den genannten E-Mail-Accounts 436 (korrigierte Zahl gegenüber Pinnwand-Posting) heute noch aktiv sind.
 
Das SCC hat alle betroffenen Nutzer per E-Mail informiert.
 
Zusätzlich möchten wir auf die Beachtung der Richtlinie zur Nutzung externer IT-Dienste (MdU 28/2014):
www.uni-weimar.de/fileadmin/user/uni/universitaetsleitung/kanzler/mdu_akad/14/28_2014.pdf
sowie auf unsere ergänzenden Informationen auf der Webseite des SCC hinweisen:
https://www.uni-weimar.de/de/universitaet/struktur/zentrale-einrichtungen/scc-rechenzentrum/it-English version:sicherheit/externe-it-dienste/

SICHERHEITSRISIKO: Outlook App für iOS und Android

Von der Verwendung der von Microsoft kürzlich veröffentlichten App
- Outlook for iOS
- Microsoft Outlook Vorschau (Android)
für den E-Mail Account der Bauhaus-Universität wird dringend abgeraten, da die Nutzung dieser Apps ein Sicherheitsrisiko darstellt.
 
Der Grund ist, dass die Logindaten und E-Mails nicht direkt dem Mailserver der Bauhaus-Universität übergeben, sondern über eine Reihe von Proxy-Servern geleitet und dort zwischengespeichert werden.
 
Haben sie die App bereits installiert, sollten sie diese umgehend wieder löschen und Ihr persönliches Passwort ändern.
 
Weitere Details bei heise.de

Gefahr durch Schadsoftware in Macros von Office-Dokumenten

Ein als ausgestorben geglaubte Angriffsform - die Verbreitung von Schadsoftware in Macros von Office-Dokumenten - wird wieder verstärkt eingesetzt.
 
Beim Empfang von E-Mails mit Anhängen vom Typ .doc oder .xls ist Vorsicht geboten, damit nicht unbewusst die standardmäßige Deaktivierung von Macros in Office aufgehoben wird und dann die Schadsoftware wirksam werden kann.

Meldung auf heise.de

Schwachstellen in Google Andoid - eduroam betroffen!

Das DFN-CERT informiert über zwei Schwachstellen, die das Ausspähen von Zugangsdaten für WLAN-Verbindungen ermöglichen:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0833/
 
Um die Gefahr zu verringern, dass Benutzerdaten im Klartext abgefangen werden können, ist in der eduroam-Konfiguration ein korrektes Root- oder CA-Zertifikat einzutragen.

Anleitung:
www.uni-weimar.de/fileadmin/user/uni/zentrale_einrichtungen/scc/wlan/eduroam-android.pdf

Android-Smartphones und sensible Daten

Android-Smartphones besitzen die Funktion „Meine Daten sichern“, die unter anderem dafür sorgt, dass auch WLAN-Passwörter auf Google-Servern unverschlüsselt gespeichert werden. Die Funktion ist bei einigen Geräten standardmäßig aktiviert.
Ist diese Funktion aktiviert und nutzt man WLAN über eduroam,  werden nicht nur die WLAN-Zugangsdaten, sondern gleichzeitig auch die eigenen Nutzer-Account-Informationen (Login + Passwort) an die Fa. Google weitergeben. Durch die Weitergabe dieser sensiblen Informationen kann einem Missbrauch durch Dritte Vorschub geleistet werden.

Wir empfehlend deshalb dringend die Funktion zu deaktivieren und das bisher verwendete persönliche Passwort zu ändern.

Eine Handlungsanweisung und weitere Detailinformationen finden Sie hier.