Aktuelle Meldungen

Hier werden Meldungen zur IT-Sicherheit mit besonderer Relevanz für die Bauhaus-Universität/ HfM veröffentlicht.

Für einen ständig aktuellen und umfassenden Überblick über Sicherheitsrelevante Informationen im IT-Bereich empfiehlt sich das Abonnieren einschlägiger Newsletter oder die Nutzung entsprechender Webportale (BSI, DFN-CERT, heise Security etc.).

Für die Gewährleistung des zeitnahen Einspielens von Sicherheitspachtes sollten die meist vorhandenen Automatismen des Betriebssystems, der Anwendungen und ihrer Erweiterungen genutzt werden.

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist leicht als Fälschung zu entlarven (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, die E-Mail ist zu löschen.

• Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
• Wir verwenden die offiziellen Bezeichnungen, die SCC-Beratung existiert nicht.
• In offiziellen Informationsmails verwenden wir in der Regel keine umgangssprachlichen Floskeln, wie loslegen.
• Sprachliche Fehler - wie hier massiv vorhanden - sind ein starkes Indiz für eine Fälschung.
• Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen. Wir nutzen keine Domain die scc-weimar enthält.
• Wir nutzen die vollständige an der Bauhaus-Universität übliche Signatur und nicht nur die Bezeichung des SCC.
• Inhaltlich macht die E-Mail keinen Sinn, das es keine Quota für die E-Mail-Nutzung gibt. 
• Bei Webseiten, die die Eingabe sensibler Daten verlangen, sollten Sie immer auf das Vorhandensein der Verschlüsselung (https) mit einem korrekten und gültigen Zertifikat der Bauhaus-Universität achten. 

-----Ursprüngliche Nachricht-----
Von: SCC-Beratung (damad@fotonik.dtu.dk)

Das Universität-Postfach(....@uni-weimar.de)-Quota überschritten hat die Grenze, können Sie möglicherweise nicht auf Senden/Empfangen e-Mails mehr. 

Bitte löschen Sie ein beliebiges Element, das Sie nicht benötigen aus Ihrem Postfach und Entfernen der gelöschten Elemente oder starten Sie unten, um eine automatische Erhöhung Ihres Mailbox-Speichers zu ermöglichen.

Loslegen (...ttp://scc-weimar.co.nf/Postfach-Quota.ph...)              

Das Amt des Sicherheit halten dies aktualisiert, wenn Informationen ändern sollten, aber wir empfehlen allen Anwendern ihre Aktualisierungen nach der erwarteten Version dieses Patches ausgeführt. 

Mit freundlichen Grüßen
Ihr SCC-Beratung Team.

--
Bauhaus-Universität Weimar
Servicezentrum für Computersysteme und Computerkommunikation (SCC)

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist leicht als Fälschung zu entlarven (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, die E-Mail ist zu löschen.

• Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
• Wir verwenden als Absender nicht die allgemeine Bezeichnung BAUHAUS-UNIVERSITÄT WEIMAR.
• Wir verwenden in der Regel eine abschließende Grußformel.
• In offiziellen Informationsmails sprechen wir Sie nicht mit Hallo an und verwenden als Anrede niemals eine Mailadresse, schon gar nicht mit Punkten anstatt des Namens.
• In der Regel werden in Betreffs keine drei Ausrufezeichen hintereinander verwendet, auch nicht bei Warnmails.
• Wir verwenden die offiziellen Bezeichnungen, ein -Mail-Aktualisierungsteam gibt es bei uns nicht.
• Sprachliche Fehler sind ein starkes Indiz für eine Fälschung.
• Inhaltlich ist die Mail kompetter Unsinn. Bei Updates am Mailserver sind in der Regel keine Nutzerinteraktionen erforderlich, wenn doch, würden diese rechtzeitig über die SCC-Pinnwand angekündigt. Eine Löschung des Mailkontos, weil man binnen 24 Stunden nicht reagiert hat, ist schon rechtlich gar nicht zulässig und damit komplett abwegig.
• Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
• Die Signatur des Bauhausateliers am Ende der Mal macht schon mal gar keinen Sinn, denn dieser Bereich hat mit der IT-Versorgung der Universität rein gar nichts zu tun.

-----Ursprüngliche Nachricht-----
Von: BAUHAUS-UNIVERSITÄT WEIMAR (marie.capmartin@iut-tlse3.fr) 

Hallo ... @uni-weimar.de

Diese Nachricht wurde vom E-Mail-Aktualisierungsteam von BAUHAUS-UNIVERSITÄT WEIMAR gesendet. Wir möchten Sie darüber informieren, dass Ihr E-Mail-Server Ihre Datenbank aktualisiert und pflegt. Wenn Ihr E-Mail-Konto innerhalb der nächsten 24 Stunden nicht überprüft wird, können Sie nicht auf Ihr E-Mail-Konto zugreifen. Es wird aus dem System entfernt. Um dies zu vermeiden, empfehlen wir, in Ihrem E-Mail-Konto "HIER KLICKEN (...ttps://654-875.weebly.co...)" zu suchen und die Anweisungen zu befolgen.

Kontakt

Bauhaus.Atelier | Info Shop Café <de/universitaet/profil/bauhausatelier/www.uni-weimar.de/de/universitaet/profil/bauhausatelier/>
Besucher- und Informationszentrum
im Innenhof des Hauptgebäudes
Geschwister-Scholl-Straße 6a
99423 Weimar
Tel.: +49 (0) 36 43/58 30 01

Öffnungszeiten:
Oktober bis Februar
Montag bis Freitag 9 – 17 Uhr
Samstag und Sonntag 13 – 17 Uhr
... (gekürzt)

Einige Nutzerinnen und Nutzer haben eine E-Mail erhalten, mit der mutmaßlich versucht wird, sensible Daten abzugreifen (Phishing). Die E-Mail ist leicht als Fälschung zu entlarven:

Wir verwenden ausschließlich Mailadressen der Bauhaus-Universität, hier ist die Absenderadresse eine aus UK.
Wir versenden in der Regel keine E-Mails die nur aus einem Anhang bestehen und keinerlei Begleittext enthalten.
Wir verwenden die Bezeichnung IT Helpdesk an der Bauhaus Universität nicht.
Wir verwenden möglichst sprechende Betreff und nicht einfach labildar nichtssagenede Formulierungen wie Wichtiger Hinweis.

Wegen der oben genannten Merkmale sollte keine Veranlassung bestehen das angehängte Pdf-Dokument überhaupt zu öffnen. Vor dem leichtfertigen Öffen von E-Mail-Anhängen und dem Folgen irgendwelcher externer Links sei hier noch einmal eindrücklich gewarnt. Dieses kann im schlimmsten Fall die Infizierung Ihres Systems mit Schadsoftware (das können auch Verschlüsselungstrojaner sein) zur Folge haben.

Im vorliegenden Fall ist das unkritisch - Glück gehabt!

Das angehängte Dokument enthält weitere Merkmale, die ganz klar auf eine Fälschung hindeuten:

Wir kennen unsere Nutzerinnen und Nutzer namentlich und müssen sie nicht als Kunden anreden.
Die Bezeichnung IT-Helpdesk verwenden wir wie schon gesagt nicht.
Wir leiten Sie nicht auf ominöse externe Links, wenn es um unsere internen Services geht.
Der Inhalt des Anhangs wäre als Textmail und nicht als angehängte Datei versendet worden.
Stellen wir den Missbrauch von Accounts fest, werden diese gesperrt und Sie müssen sich vor der Entsperrung bei uns persönlich melden. Irgendwelche Entsperrlinks werden Sie von uns nicht erhalten.

Fazit: Anhang möglichtst nicht öffen, E-Mail stattdessen löschen! 

-----Ursprüngliche Nachricht-----
Von: IT Helpdesk (gpb17149@uni.strath.ac.uk)
Betreff: Wichtiger Hinweis.

Anhang = Authentifizieren Sie Ihre E-Mail.pdf

Einige Nutzerinnen und Nutzer haben eine E-Mail erhalten, die angeblich von einer Mitarbeiterin versendet wurde und die im Zusammenhang mit einer Rechnung stehen soll.
 
Die Mail ist leicht als Fälschung zu entlarven:
 
es wird keine Mailadresse der Bauhaus-Universität verwendet, der angezeigte Absendername einer E-Mail besitzt grundsätzlich keinerlei Verlässlichkeit und passt im vorliegenden Fall auch nicht zu der im Mailtext genannten Absenderin,
die angebliche Rechnung wird sich keinem bekannten Vorgang zuordnen lassen,
die angebliche Absenderin arbeitet nicht mehr an der Bauhaus-Universität,
bei den angegebenen Telefonnummern handelt es sich um keine aus dem Bereich der Bauhaus-Universität Weimar (die Vorwahl 07315 gibt es nicht),
bei internen Geschäftsprozessen wird ganz sicher nicht auf irgendwelche ominösen externen Webseiten verlinkt,
sprachliche Fehler können auf eine Fälschung hindeuten,
es fehlt die an der Bauhaus-Universität übliche Mailsignatur,
es gibt keine dienstliche Nutzung von WhatsApp an der Bauhaus-Universität.
 
Auf die Mail sollte nicht reagiert werden, sie ist zu löschen!
--
Von: Elias Duran (eliduran@live.com)
Gesendet: Freitag, xx. yyyy 2019 08:41
An: ***** ********
Betreff: Zahlungsanfrage
 
Sehr geehrte Damen und Herren,
 
anbei erhalten Sie die Abrechnungen für Januar 2019 für die Kundennummer 1083/56020.
 
Rechnungskopie_96822_190222 (...ttp://www.topreach.com.br/DE/JSAIWGAD0408761/Rechnung/DOC...)
 
Zu offenstehenden Fragen Sie mich jederzeit gerne ansprechen. Mit besten Grüßen
Vorname Nachname [nachträglich anonymisiert]
Tel: 07315/363899
Fax: 07315/363163
WhatsApp 0171/1901357
Vorname.nachname@uni-weimar.de [nachträglich anonymisiert]
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen.
Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erthalten haben,
informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail inklusive aller Anhänge.
Bitte fertigen Sie keine Kopien an oder bringen den Inhalt anderen Personen zur Kenntnis.

Einige unsere Nutzerinnen erhielten eine Fake-E-Mail, die angeblich von einer Mitarbeiterin der Bauhaus-Uni stammen soll und angeblich eine Rechnung als Anhang enthalten sollte. Tatsächlich enthielt der Anhang Schadsoftware, der herausgefiltert wurde. Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
Die Mail ist leicht als Fälschung zu entlarven:
- Gibt es keinen korrespondierenden Zahlungsvorgang, besteht grundsätzlich keinerlei Veranlassung eine vermeintliche Rechnung zu öffnen bzw. auf eine entsprechende Mail zu reagieren.
- Es wird von einer nochmaligen Zusendung gesprochen, da es ein Fake ist dürfte es aber keine vorherige Zusendung gegeben haben.
- Die E-Mail wurde nicht über einen Mailaccount der Bauhaus-Uni versendet. Achtung: angezeigter Absender/ Absendeadresse einer E-Mail besitzen keinerlei Verlässlichkeit.
- In geschäftlichen E-Mails dürften die Adressaten persönlich angesprochen werden und nicht lapidar einfach Hallo verwendet werden.
- Es wurde nicht die an der Bauhaus-Uni übliche E-Mail-Signatur verwendet. Die Vorwahl der Telefonnummer und Faxnummer passen nicht zu Weimar. Bei der Telefonnummer die angeblich eine Mobilfunknummer sein soll, wird eine Festnetzvorwahl angegeben.
- Die Kennzeichnung WARNING: VIRUS REMOVED sollte aufhorchen lassen.
- Ungewöhnliche Darstellungen innerhalb des Mailtextes, wie hier html-Code können ein Indiz für eine Fälschung sein.
 
-----Ursprüngliche Nachricht-----
Von: Vorname Name [Angaben nachträglich anonymisiert(asistente@estudiobarberissa.com.ar)
 
Betreff: [WARNING: VIRUS REMOVED]Zweite Mahnung
 
Hallo,
 
Im Anhang finden Sie nochmal unsere Rechnung Nr. 04102473 über 1,481.07 EUR mit der Bitte, um Ausgleich in den nächsten Tagen.
 
 
Vielen Dank für Ihre Unterstützung.
 
 
Mit freundlichen Grüße
 
Vorname Name [Angaben nachträglich anonymisiert]
 
Mob: 02360799419
Telefax: 0236 0 799090
EMail:vorname.name@uni-weimar.de [Angaben nachträglich anonymisiert]
 
Falls diese Rechnung an die falsche E-Mail Adresse versendet wurde, mailen Sie uns die korrekte Adresse an Vorname.name@uni-weimar.de. [Angaben nachträglich anonymisiert]
Diese werden wir dann bei uns für Ihr Unternehmen hinterlegen.

Die folgende Fake-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, der enthaltende Link sollte nicht angeklickt werden, die E-Mail ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Erinnerungs-E-Mails werden von uns niemals nur in Englisch verfasst.
Die Erinnerungs-E-Mails bei ablaufenden Passwörtern sind wesentlich umfangreicher und wir verwenden auch nicht den Betreff Password Reminder.
Für Webmail gibt es kein separates Passwort, ein weiterer inhaltlicher Fehler der Fake-Mail
Wir verwenden als Absender weder die Bezeichnung Bauhaus University Weimar noch die E-Mail-Adresse e-spas@uni-weimar.de.
Wir sprechen unsere Nutzerinnen und Nutzer nicht als Member an.
Der angezeigte Absendername und die Absenderadresse einer E-Mail besitzen grundsätzlich keinerlei Verlässlichkeit und können leicht gefälscht werden. Gewissheit bringt nur der Blick in den vollständigen E-Mail-Header bzw. die Nutzung digitaler Signaturen auf Absenderseite.
Wir leiten Sie bei internen Diensten niemals auf irgendwelche ominösen externen Webseiten. Zudem sollte bei einem Link niemals nur der Anzeige vertraut, sondern immer die reale Verlinkung geprüft werden.
Als abschließende Grußformel verwenden wir nicht lapidar Thank you.
Wir nutzen die an der Bauhaus-Universität übliche Signatur am Ende einer E-Mail.
--
> -----Ursprüngliche Nachricht-----
Bauhaus University Weimar (e-spas@uni-weimar.de) [tatsächlich: www-data@fas.harvard.edu]
 
Dear Member
 
Access to your Bauhaus University webmail account is about to expire, please
renew.
 
www.uni-weimar.de/owa/auth/inbox/passwordnotification/renew
...ttp://www.costablancabolig.com/js...
 
Thank you,
 
Bauhaus University, Weimar

Wir erhielten von den Hinweis einer anderen deutschen Hochschule, dass an sie gezielt eine Fake-Mail, die Schadsoftware enthielt, versendet wurde. In der Mail wird behauptet man hätte auf der eigenen Website gegen die EU-DSGVO verstoßen.
 
Trotz der fehlerfrei und möglicherweise seriös erscheinenden Formulierungen kann die E-Mail ganz leicht als Fälschung entlarvt werden, da ihr ein entscheidendes Merkmal fehlt.
 
In Deutschland besteht bei geschäftlichen E-Mails eine Pflicht zur E-Mail-Signatur, sprich es gibt Absenderangaben, die zwingend vorgeschrieben sind, fehlen sie droht eine Abmahnung.
www.it-recht-kanzlei.de/e-mail-pflichtangaben-signatur.html
Das weiß jeder Rechtsanwalt und alle die mit geschäftlichen E-Mails zu tun haben, sollten das eigentlich ebenfalls wissen.
Eine Mail von einem angeblichen Rechtsanwalt ohne diese Pflichtangaben ist hundertprozentig ein Fake.
 
Hellhörig sollte man auch werden, wenn Personen kontaktiert werden, die mit der adressierten Thematik nichts zu tun haben. Die Kontaktmöglichkeit zum Datenschutzbeauftragten findet sich am Fuße jeder Webseite der Bauhaus-Universität.
 
Die angehängte Zip-Datei sollte auf gar keinen Fall geöffnet oder entpackt werden. Sie enthält neben einem Dokument auch JavaScript-Code (js-Datei), der für die Infektion des System mit Schadsoftware sorgt.
 
Auf eine derartige E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
Bei suspekten E-Mails hilft häufig eine Online-Suche, um Warnungen vor gefährlichen Fake-Mails zu erhalten, so auch hier:
www.onlinehaendler-news.de/e-recht/rechtsfragen/130395-vorsicht-virus-fake-abmahnungen-wegen-dsgvo
 
Originaltext der genannten Mail:
--------------------------------
Sehr geehrte Damen und Herren,
 
hiermit zeige ich an, dass mich unsere Mandantschaft mit der Wahrnehmung ihrer rechtlichen Interessen beauftragt hat.
 
Die entsprechende Vollmacht liegt hier im Original vor und kann von ihnen als Kopie im angehängten Archiv begutachtet werden.
 
Gegenstand meiner Beauftragung ist, die von ihnen auf ihrer Website begangene Informationspflichtverletzung, nach Artikel 13 EU-DSGVO, nach der bisher in verschiedenen Gesetzen
geregelten Informationspflichten zusammengefasst und nun aufführt, welche Informationen den Betroffenen explizit zur Verfügung stehen müssen.
 
Die neue Regelung der EU-DSGVO geht dabei weit über das bisher erforderliche ihrer Website hinaus.
 
Nehmen Sie die beigefügten Dokumente zur Kenntnis.
 
Mit freundlichen Grüßen
 
Rechtsanwalt Dominik Schlegel

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist eigentlich auch ganz leicht als unseriös zu identifizieren (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, er wurde in der Sophos Web Protection gesperrt.

• Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
• Wir verwenden als Absenderbezeichnung Vorname und Name aber niemals ITS ADMIN.
• Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
• Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns weder eine Beratungsstelle, noch einen ITS ADMIN und auch kein Systemadministrator-Team. Der Betreff macht somit auch keinen Sinn und passt zudem gar nicht zum Inhalt.
• Wir verwenden eine persönliche Anrede und eine abschließende Grußformel.
• Bei offiziellen Mails sollte auch immer die an der Bauhaus-Uni übliche Signatur vorhanden sein, diese fehlt hier.
• Sprachliche Fehler sind ein weiteres Indiz für eine Fälschung.
• Inhaltlich macht die Mail überhaupt keinen Sinn, das es bei E-Mail keine extra festgelegten Speicherlimits gibt.

zurzeit wird vor angeblichen Bewerbungen gewarnt, in denen sich ein Verschlüsselungs-Trojaner verbirgt:
 
www.heise.de/security/meldung/Erste-Dynamit-Phishing-Welle-des-Jahres-Trojaner-GandCrab-ist-zurueck-4278333.html
 
Aktuell ist die vermeintliche Absenderin der E-Mail mit dem Betreff 'Bewerbung auf die angebotene Stelle' eine 'Saskia Heyne', diese Angaben können von den Angreifern aber auch schnell verändert werden.
 
In jedem Fall sollte sehr vorsichtig mit (angeblichen) Bewerbungen umgegangen werden. Der Verschlüsselungstrojaner verbirgt sich meist - auch im vorliegenden Fall - in dem Makro eines angehängten Word-Dokuments.
 
Damit er wirksam werden kann, muss die Makrofunktionalität aktiviert werden.
 
Bei zentral administrierten Systemen ist die Makro-Funktionalität standardmäßig deaktiviert und sollte es auch möglichst bleiben. Keinesfalls sollte bei Dokumenten, deren Seriosität nicht zweifelfrei feststeht, die Makrofunktionalität aktiviert werden. Auch wenn - wie im vorliegenden Fall - die Meldung ausgegeben wird, dass das 'Dokument mit einer älteren Version von Word erstellt' worden sein soll und man verleitet werden soll per Kompatibilitätsmodus aktive Inhalte zu aktivieren, sollte dieser Anweisung auf gar keinen Fall nachgekommen werden. Wird das Makro aktiviert, kann der enthaltene Trojaner auf das System zugreifen und wichtige Daten verschlüsseln, an die man schlimmstenfalls nicht mehr herankommt.
Es ist nicht auszuschließen, dass der an der Bauhaus-Universität Weimar eingesetzte Virenschutz die Schadsoftware noch nicht erkennt, gerade deshalb ist ein vorsichtiges Agieren angezeigt.
 
Merkmale für eine Fälschung können sein, dass keine konkreten Angaben zur Stelle auf die man sich bewirbt gemacht werden (wir fordern immer die Angabe der Kennziffer) und dass, obwohl an der Bauhaus-Universität meist mehrere Stellen parallel angeboten werden oder Personen kontaktiert werden, die nicht als Ansprechpartner in den auf unseren Webseiten publizierten Bewerbungen genannt werden. Auch andere Dinge, die merkwürdig und nicht stimmig erscheinen, sollten einen stutzig machen. Bei früheren ähnlichen Vorgängen konnte auch die Google Bildersuche das mitgesendete Foto als Fälschung entlarven.

neben der Fake-E-Mail der bereits veröffentlichten Warnung, scheinen weitere abgewandelte Fake-Mails zu kursieren, für die das bereits gesagte gilt.
 
ACHTUNG: auch hier enthält die angehängte Word-Datei Schadsoftware, die der Sophos Schadsoftwareschutz noch nicht erkennt!
Der Anhang darf auf keinen Fall geöffnet werden!
Ein Sample wurde an Sophos gesendet.
 
Grundsätzlich gilt: angezeigter Absendername und angezeigte Absenderadresse einer E-Mail besitzen keinerlei Verlässlichkeit und können leicht gefälscht werden. Der Hack eines Mail-Accounts ist hierfür nicht erforderlich und in der Masse der Fälle auch nicht erfolgt. Siehe:
de.wikipedia.org/wiki/Mail-Spoofing
 
E-Mail sollte als unsicheres Kommunikationsmittel betrachtet werden, bei dem ein vorsichtiger und umsichtiger Umgang angeraten ist.
 
Die Mails können leicht als Fälschung entlarvt werden, da immer etwas nicht passt.
 
Bei der unten stehenden Mail:

• Verwendung einer externen Mailadresse,
• Name des Angeschiebenen fehlt in der Grußformel,
• der Vorgang selbst ist nicht stimmig,
• Schreibfehler,
• die Absenderangaben passen nicht (keine Weimarer Telefon-Vorwahlen),

zurzeit erhalten einige Nutzer E-Mails, die angeblich vom Leiter SCC versendet wurden und eine Rechnung erhalten sollen.
 
ACHTUNG: Die angehängte Word-Datei enthält Schadsoftware, die der Sophos Schadsoftwareschutz noch nicht erkennt!
Die Datei darf auf keinen Fall geöffnet werden!
Ein Sample wurde an Sophos gesendet.
 
Die Mail ist leicht als Fälschung zu entlarven:

• es wird keine Mailadresse der Bauhaus-Universität verwendet,
• die angebliche Rechnung lässt sich keinem bekannten Vorgang zuordnen,
• die angegebenen Telefonnummer verwenden die Vorwahl von Dresden, statt von Weimar und bei der Mobilfunknummer wurde die Festnetzvorwahl eingetragen,
• Rechnungsnummer im Text und Anhang stimmen nicht überein,
• es werden heute unübliche Formulierungen - wie allfällig - verwendet,
• es gibt sprachliche Fehler,
• es fehlt die an der Bauhaus-Universität übliche Mailsignatur,
• außerdem nutzt der Leiter SCC kein iPhone.

Einige unserer Nutzerinnen und Nutzen haben eine E-Mail erhalten, die vorgibt, dass Systeme und Daten kompromittiert wurden und in der Lösegeld gefordert wird.
 
Als Beweis wird als Absender der eigene Name und die eigene E-Mail-Adresse des Opfers verwendet. Das beweist allerdings gar nichts, da hierzu kein Account kompromittiert werden muss, sondern lediglich eine entwicklungsbedingte Schwäche von E-Mail ausgenutzt wird (E-Mail-Spoofing), die zur Folge hat, dass angezeigter Absendername und Absender-E-Mail-Adresse keinerlei Verlässlichkeit besitzen und leicht gefälscht werden können.
 
Neben verschiedener Merkmale, die auf einen Fake hindeuten:

•  anonyme Anrede,
• keinerlei Nennung konkreter Details des vermeintlichen Hacks, sowie der angeblichen brisanten Daten,
• es sollen Webseiten besucht worden, sein das vermeintliche Opfer belasten können (gemeint sind wohl pornografische Inhalte), hat man solche Seiten nicht besucht, kann das auch nichts Belastendes existieren,
• dann will der Angreifer Aufnahmen vom Opfer beim Betrachten der Seiten gemacht haben, gibt es am eigenen Geräte keine Videokamera oder ist diese abgedeckt (viele Produkte besitzen mechanische Abdeckungen) sind Aufnahmen technisch gar nicht möglich,
• die Aussage" Versuchen Sie nicht, mich zu kontaktieren (Dies ist nicht möglich, ich habe Ihnen diese E-Mail von Ihrem Konto aus gesendet)." ist natürlich kompletter Unsinn, hätte der Angreifer den Account tatsächlich übernommen, denn dann würde er sämtliche Mails mitlesen können (alle ein- und ausgehende E-Mails).
• unübliches Vorgehen (tatsächlich kompromittierte Systeme werden verschlüsselt und es wird Lösegeld zur Freigabe gefordert oder der Angreifer verhält sich still, um Daten auszuspähen oder das System als Teil eines BotNetzes zu missbrauchen).

Die unten stehende E-Mail wurde an Nutzerinnen und Nutzer der Bauhaus-Universität versendet. Sie stammt nicht vom SCC und ist eigentlich auch ganz leicht als unseriös zu identifizieren (siehe folgende Aufzählung). Auf den enthaltenen Link sollte nicht geklickt werden, er wurde in der Sophos Web Protection gesperrt.

• Wir versenden Mails nur über Mail-Accounts der Bauhaus-Uni.
• Wir verwenden als Absenderbezeichnung Vorname und Name aber niemals ADMIN.
• Das genannte Datum liegt bereits 6 Jahre !!! in der Vergangenheit.
• Wir fordern Sie nicht auf für die Nutzung interner Dienste irgendwelchen ominösen externen Links zu folgen.
• Wir verwenden die offiziellen Bezeichnungen, einen Bauhaus Account Admin.
• Da wir unsere Nutzer kennen und in der Regel keine Massenmails verwenden, sprechen wir diese persönlich an.
• Bei offiziellen Mails sollte auch immer die an der Bauhaus-Uni übliche Signatur vorhanden sein, diese fehlt hier.
• Wir bemühen uns inhaltlich verständliche Mails zu versenden.Die verwendeten Formulierungen sind nicht stimmig, mal wird davon gesprochen, dass das Konto (Was für ein Konto eigentlich??? Wir verwalten Nutzer-Accounts, aber keine Konten) geschlossen werden kann, dann von soll, dann wieder von Aktualisierung. Dieser unverständliche Kauderwelsch ist inhaltlich kompletter Nonsens. Für Uni-Accounts gibt es ganz klare Festlegungen und der läuft nicht mal eben so überraschend ab. Bei Aktualisierungen unserer Dienste sind in der Regel keine Nutzerinteraktionen nötig, wenn doch informieren wir rechtzeitig auf der SCC-Pinnwand. 

-----Ursprüngliche Nachricht-----
Von: ADMIN (rmoore@brunswickautomart.com)
 
Betreff: Kontoaktualisierung
 
Kontoaktualisierung
 
Ihr Konto kann am 01.09.2013 geschlossen werden
 
Sehr geehrter Bauhaus-E-Mail-Benutzer
 
Diese Nachricht wird an Sie gesendet, um Sie darüber zu informieren, dass Ihr
Konto geschlossen werden soll. Wenn Sie dieses Konto weiterhin verwenden
möchten, führen Sie ein Upgrade auf unsere Dienste durch. Wenn Sie diese
Nachricht ignorieren, wird das Konto geschlossen. Aktualisieren Sie Ihr Konto.
Bitte KLICKEN (...ttps://hsrservice.weebly.co...) oder kopieren und den zu aktualisierenden Link einfügen:
Hinweis: Diese Aktualisierung ist sofort nach Erhalt dieser Nachricht erforderlich
 
Vielen Dank
Bauhaus Account Admin

Zurzeit erhalten wieder einige Nutzerinnen E-Mails die angeblich von einer Mitarbeiterin oder einem Mitarbeiter der Bauhaus-Universität stammen und eine Rechnung im Anhang enthalten sollen. ACHTUNG, der Anhang enthält Schadsoftware und sollte KEINESFALLS geöffnet werden! Häufig erkennt die eingesetzte Sophos Schutzlösung die Schadsoftware erst, nachdem wir ein Sample an Sophos gesendet haben.
 
Vor dem Szenario wird im Internet vielfach gewarnt:
www.polizei-praevention.de/aktuelles/massive-welle-von-gefaelschten-rechnungen.html
 
Grundsätzlich sollte E-Mail als das angesehen werden, was es entwicklungsbedingt ist: ein potentiell unsicheres Kommunikationsmittel.
Angezeigter Absendername und Absenderadresse besitzen keinerlei Verlässlichkeit. So wurden in den uns bekannten Fällen niemals Accounts der Bauhaus-Universität kompromittiert, sondern lediglich gefälschte Absenderangaben verwendet.
 
Beim Umgang mit E-Mail sollte besonnen und aufmerksam agiert werden. Keinesfalls sollten leichtfertig Anhänge geöffnet oder ominösen Links gefolgt werden.
 
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:

• der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
• ungewöhnlichen Betreffs und Inhalten die einem nichts sagen oder sich keinem bekannten Vorgang zuordnen lassen,
• Schreib- und Darstellungsfehlern,
• einem vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders oder einem Schreibstil den man von Personen in vergleichbarer Position nicht erwartet (auffallend leger),
• das Fehlen der an der Bauhaus-Universität Weimar üblichen E-Mailsignatur oder Telefonnummer, (persönlicher) Anrede und abschließender Grußformel mit Namen,
• irritierenden sich widersprechenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link, im Betreff steht was von Zahlungserinnerung im Inhalt etwas von Auftragsbestätigung etc.,
• Angabe einer externen Telefon- und Faxnummer, obwohl es sich um eine Mail aus dem Bereich der Bauhaus-Universität handeln soll,
• ungewöhnliche Anfragen,
• das Erzeugen von starkem Handlungsdruck.

Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

Zurzeit erhalten wieder einige Nutzerinnen und Nutzer E-Mails, die angeblich von einer/ einem Vorgesetzten stammen und eine Überweisung anfragen. Weitere mögliche Varianten sind die angebliche Zusendung eines Dokumentes oder (externen) Links für interne geschäftliche Vorgänge.
 
Das Angriffsszenario wird CEO-Fraud bezeichnet und bespielweise hier erläutert:
www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ceo-fraud/
Den besten Schutz vor diesem Angriffsszenario bieten umsichtiges, vorsichtiges Agieren und ein sorgsamer Umgang mit dem potentiell unsicheren Kommunikationsmittel E-Mail. Technische Maßnahmen können unterstützen, bieten aber niemals einen 100%igen Schutz.
 
Der angezeigte Absendername einer E-Mail besitzt so gut wie keine Verlässlichkeit. Er kann sehr leicht gefälscht werden. Die Authentizität eines Absenders lässt sich nur durch den Einsatz digitaler Signaturen gewährleisten.
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:

• der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
• ungewöhnlichen Betreffs und Inhalten die einem nichts sagen oder sich keinem bekannten Vorgang zuordnen lassen,
• Schreib- und Darstellungsfehlern,
• einem vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders oder einem Schreibstil den man von Personen in vergleichbarer Position nicht erwartet (auffallend leger),
• das Fehlen der an der Bauhaus-Universität Weimar üblichen E-Mailsignatur, (persönlicher) Anrede und abschließender Grußformel mit Namen,
• irritierenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link,
• ungewöhnliche Anfragen,
• das Erzeugen von starkem Handlungsdruck.

Mehrere Nutzer erhielten eine Mail mit angeblicher Rechnung (Word-Datei, Bezeichnung RECH-(3 Buchstaben)-(mehrere Ziffern), Inhalte in den Klammern variieren), die höchstwahrscheinlich Schadsoftware enthält und die vom Sophos Virenschutz noch nicht erkannt wird. Die Dateianhänge wurden zu Sophos gesendet, damit die entsprechenden Signaturen erstellt werden.
Mailanhänge suspekter E-Mails sollten niemals leichtfertig geöffnet werden! Besser ist eine Prüfung des Anhangs bei virustotal.com oder eine vorherige Nachfrage bei uns oder dem vermeintlichen Absender (Telefonnummer nicht der Mail entnehmen). Melden bei virustotal mehrere Virenscanner Schadsoftware ist von eine Infektion auszugehen (so ist das auch im vorliegenden Fall).
Hat man auf den Anhang geklickt, kann es bereits zu spät sein und der Rechner ist verseucht. Hier empfiehlt sich das komplette Neuaufsetzen des System. Ein kompletter Virenscan macht erst Sinn, wenn die Schadsoftware durch den Virenschutz erkannt wird.
 
Hinweis zur Erkennung der Fälschung im vorliegenden Fall:

• Der Absender ist nicht der, der er vorgibt zu sein, zu sehen unten bei den weitergeleiteten E-Mails. Hier steht hinter dem vermeintlichen internen Absender die wirkliche mexikanische Absender-Mailadresse (.mx). Mail ist als unsicheres Kommunikationsmittel zu betrachten, angezeigter Absendername und angezeigte Absendermailadresse besitzen grundsätzlich keinerlei Verlässlichkeit.
• Die persönliche Anrede fehlt.
• Ggf. unterscheidet sich die E-Mail im Schreibstil und Aufbau von bisherigen Mails des angeblichen Absenders, hier sollte man stutzig werden.
• Einen bekannten Vorgang zu dem die E-Mail passt, dürfte die Empfänger nicht kennen, da es ihn nicht gibt. Erhält man also eine Mail mit der man erst einmal nichts anfangen kann, ist äußerste Vorsicht geboten.

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung.
Wir verwenden in der Regel eine persönliche Anrede und eine abschließende Grußformel.
Wir verwenden die offiziellen Bezeichnungen ein E-mail Helpdesk Zentrum/ Email Helpdesk Zentrum gibt es bei uns nicht. Zudem würden wir die Schreibweise offizieller Bezeichnungen auch nicht variieren.
Unsere E-Mails erhalten in der Regel die an der Bauhaus-Universität übliche E-Mail-Signatur.
Wir verwenden üblicherweise aussagekräftige Betreffs und ganz sicher nicht Liebe Konto Benutzer.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf ominösen externen Webseiten zu gehen, um dort persönliche Daten einzugeben o.ä.
Aus Sicherheitsgründen sollten Sie niemals leichtfertig auf irgendwelche externen Links klicken und schon gar nicht Daten für interne Dienste auf Webseiten eingeben, die nicht mal ansatzweise nach offiziellen Webseiten der Bauhaus-Universität aussehen.
 
Inhaltlich macht die E-Mail keinen Sinn, da es bei uns keine extra Speicherlimitierungen für E-Mail gibt und auch keine obskuren Validierungen möglich sind.
 
Von: Email Helpdesk Zentrum (suellen@unifesspa.edu.br)
Betreff: Re: Liebe Konto Benutzer
 
Lieber Benutzer,
 
Ihr Postfach hat die von unserem e-Mail-Administrator festgelegte IT-Speichergrenze überschritten, und Sie werden keine neuen Mails erhalten können, bis Sie Sie erneut validieren.
 
Hier Klicken (...ttps://pocztwab.webnode.com)
 
Copyright (C) 2018 E-mail Helpdesk Zentrum

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den in der E-Mail enthaltene Link wurde innerhalb der Universität gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wir mixen in einer Mail nicht verschiedene Anredeformen, wie Du und Sie.
Beim ungewöhnlichen Begriffen sollten Sie stutzig werden, Zimbra-Konten gibt es hier nicht.
Wir verwenden immer einen Betreff bei unseren E-Mails, sowie eine persönliche Anrede und vermeiden auch zu legere Formulierungen, wie einfach nur Grüße am Ende der Mail.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns weder einen Technischen Support, noch ein Technical Support Team.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
 
Inhaltlich macht die E-Mail keinen Sinn, da es keine Einfach-Klick-Aktualisierungen/-Bestätigungen für irgendwelche Vorfälle bei uns gibt.
Die Drohung mit der endgültigen Schließung des Kontos ist rechtlich unzulässig und damit kompletter Schwachsinn.
-------- Nachricht --------
Von: Technical support team (pian.s.malgaretto@archiworld.it)
 
Lieber Webmail-Benutzer,
 
Hiermit möchten wir Sie darüber informieren, dass eine andere Person versucht hat, sich von einem
anderen Ort aus bei Ihrem Webmail-Konto anzumelden. (IP: 68.167.158.432 INDIA: 05-30-2018 vor 07:18 AM)
 
Klicken Sie unten, um sich anzumelden und Ihr Konto zu aktualisieren und zu bestätigen. Dafür hast
du nur 48 Stunden Zeit, um dein Zimbra-Konto aktiv zu halten.
 
Klicken Sie hier, um Ihr Konto zu bestätigen.
webmail.uni-weimar.de/horde/imp/ (...ttp://updateinfor.ucoz.net/webmail.uni-weimar.de.htm...)
 
Diese E-Mail unterliegt einer obligatorischen Nachverfolgung. Die Nichteinhaltung führt zur
endgültigen Schließung des Kontos.
Grüße,
Technischer Support

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wenn erforderlich, fordern wir jemanden zum Handeln, aber sicher nicht zum Behandeln auf.
Wir verwenden in der Regel eine persönliche Anrede und abschließende Grußformel, unsere E-Mails enden nicht abrupt mitten in einem Satz.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns kein Führungsteam und IT-Helpdesk ist ebenfalls eine von uns nicht genutzte Bezeichnung.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen. Nur weil in einem Link weimar enthalten ist, hat dieser noch lange nichts mit uns zu tun. Die in der Mail verwendete Domain ist weebly.com.
 
Inhaltlich macht die E-Mail keinen Sinn, da Sie sich im SCC persönlich (bzw. Studierende bei Ihrem zuständigen Wohnheim-Administrator) melden müssen, sollten wir Ihren Account oder Netzanschluss sperren. Ein Aktivierung per Klick gibt es nicht und wird es nicht geben.
Eine Löschung von Mails aktiver Accounts ist unzulässig und wird durch uns niemals erfolgen.
---
Von: Carin Elvira Ehrhardt (carin.ehrhardt@tjrs.jus.br)
 
Liebe Bauhaus-Universität Weimar E-Mail Benutzer,
 
Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund von ungewöhnlichen Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
KLICK HIER (...ttps://weimar-de.weebly.com...)
 
Sie können diese Nachricht in Ihrem Junk-Ordner aufgrund der ungewöhnlichen Aktivitäten finden, gehen Sie bitte in Ihren Posteingang und klicken Sie auf den obigen Link. Wenn Sie dies nicht tun, wird Ihr E-Mail-Konto vollständig gesperrt und Ihre E-Mail wird vom Mail-Server gelöscht. Ignorieren Sie diese Benachrichtigung nicht. Gönnen Sie sich sehr dringend
 
Datenschutz | © 2018 Bauhaus-Universität Weimar. Alle Rechte vorbehalten
Führungsteam

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Speicher holt man nicht ab und E-Mail-Kontos werden nicht heruntergefahren.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht nur lapidar IT-service.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
Wir verwenden die offiziellen Bezeichnungen - Domänensicherheit 2018 - verwenden wir nicht.
Inhaltlich macht die E-Mail keinen Sinn, da es kein extra E-Mail-Speicherlimit gibt.
--
Absender: E.Jukova (e.jukova@cdek.ru)
 
Ihr E-Mail-Konto wird geschlossen, wenn Sie die Speicherkapazität nicht erhöhen können. Klicken Sie auf Aktualisieren (....ttps://zimbrawebmail.weebly.co...), um Ihre Speicherkapazität um 20,00 GB zu erhöhen ..
 
Klicken Sie auf " Aktualisieren", um kostenlosen Speicherplatz von 20 GB hinzuzufügen.
 
Wenn Sie nicht in den nächsten 24 Stunden von Ihnen abgeholt werden, werden wir Ihr E-Mail-Konto bis nach ordnungsgemäßer Überprüfung herunterfahren, bevor Sie wieder auf Ihr E-Mail-Konto zugreifen können.
 
Vielen Dank.
Domänensicherheit 2018.

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den Link aus dem Netzwerk der Universität wurde gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar BEACHTUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir nutzen die offiziellen Bezeichnungen, die Begrifflichkeiten Technical Service und IT-Verwaltung verwenden wir nicht.
Sprachliche Fehler bzw. eine übertrieben gestelzte oder holprige Sprache sind ein Indiz für eine Fälschung.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unsere internen Services geht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Ein Produkt mit dem Namen Web-Access 2018 wird an der Bauhaus-Universität nicht eingesetzt.
 
Von: Technical Support (Eliana.Candrlic@hrt.hr)
 
Wir aktualisieren unser E-Mail-System auf Web-Access 2018. Dieser Dienst schafft mehr Platz und einfachen Zugriff auf E-Mails. Bitte aktualisieren Sie Ihr Konto, indem Sie auf den unten stehenden Link klicken und Informationen zur Aktivierung eingeben.
 
KLICK HIER (...ttp://www.se-ed.nl/index.ht...)
 
Unfähigkeit, die Informationen zu vervollständigen, macht Ihr Konto inaktiv.
Vielen Dank.
IT-Verwaltung

Neben den immer wieder eher unspezifisch versendeten gefälschten E-Mails tauchen im Bereich der Bauhaus-Universität Weimar zunehmend zielgerichtete gefälschte E-Mails auf, d.h. es wird versucht bestehende Kommunikationsbeziehungen auszunutzen.
Angeblich wendet sich die Abteilungsleitung an Mitarbeiterinnen und Mitarbeiter und stellt vermeintlich Dokumente wie Rechnung o.ä. zur Verfügung oder fragt eine Überweisung an. Das Angriffsszenario wird CEO-Fraud bezeichnet. Beim BKA kann ein Flyer zum Thema heruntergeladen werden: Link.
 
Ziel entsprechender E-Mails ist entweder das Abgreifen persönlicher Informationen (insbesondere Zugangsdaten), das Infizieren des Systems mit Schadsoftware oder das Verleiten zu schädigenden Handlungen, wie dem Überweisen von Geld an die Angreifer.
 
Den besten Schutz vor diesem Angriffsszenario bieten umsichtiges, vorsichtiges Agieren und ein sorgsamer Umgang mit dem potentiell unsicheren Kommunikationsmittel E-Mail.
 
Der angezeigte Absendername besitzt so gut wie keine Verlässlichkeit. Er kann sehr leicht gefälscht werden. Die Authentizität eines Absenders lässt sich nur durch den Einsatz digitaler Signaturen gewährleisten.
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:
- der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
- ungewöhnlichen Betreffs und Inhalten die einem nichts sagen,
- Schreib- und Darstellungsfehlern,
- einen vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders,
- das Fehlen der E-Mailsignatur, (persönlicher) Anrede und abschließender Grußformel,
- irritierenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link,
- ungewöhnliche Anfragen,
- das Erzeugen von starkem Handlungsdruck.
 
Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

Beispiele: 

Von: Vorname Name Mitarbeiterin (officemail.12@aol.com) 
An: Vorname Name Mitarbeiterin eines anderen Bereichs
Betreff: Dringend
 
Wir müssen eine internationale Zahlung von 54.255,00 EUR machen. Können wir das heute machen?

grüße,
Vorname Nachname Vorgesetzte.

---

Von: Name Vorname eines Abteilungsleiters der Bauhaus-Uni (mailto:Edclines@cox.net)
An: Mitarbeiterinnen und Mitarbeiter
 
Betreff: Dokumente F - 725-K9244
 
Guten Tag,
 
bitte Anhang beachten.
...ttp://bakeitbakeitbaby.com/Rechnungs-Details... (aus Sicherheitsgründen Link leicht verändert)
 
Freundliche Grüße
Name Vorname

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar AKTUALISIERUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unseren internen Services bzw. Ihren Account geht.
Wir fragen Sie übrigens niemals nach Ihrem persönlichen Passwort, dessen Kenntnis benötigen wir für unsere Diensterbringung nicht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Es gibt auch kein spezielles Webmail-Konto, sondern Webmail ist ein Teil des E-Mail-Services. Der Webmaster hat mit Webmail rein gar nichts zu tun.

--

From: Universität Weimar Webmaster (centrum.pameti@fnusa.cz)
Subject: AKTUALISIERUNG

Ihr Benutzerkonto muss aktualisiert werden. Bitte loggen Sie sich an der Universität Weimar ein, um Ihr Passwort zu bestätigen
Webmail-Konto.
Universität Weimar Webmaster

Wer die auf unserer Webseite verlinkte Home-Use Version des Sophos Virenscanners der SAGS (Sophos Stand Alone) auf einem Privatrechner verwendet und deren/dessen System in der Zeit zwischen dem 26.01. und 30.01.2018 mit dem Internet verbinden war, erhält höchst wahrscheinlich keine Updates mehr.
 
Hintergrund:
--------------
Updates bekommen Sophos Virenscanner nur, wenn Sie sich beim Update-Server mit Login + Passwort anmelden.
Diese sind in der Software hinterlegt und werde durch ein Clientsystem bei der Kontaktaufnahme zum Update-Server kommuniziert. Wird – wie am 26.01.2018 geschehen – ein falsches Passwort implementiert, schneidet man das System vom Update-Server ab.
 
Handlungsempfehlung:
--------------------------
Automatisch lässt sich das Problem leider nicht beheben, alle betroffenen Nutzer müssen selber handeln.
 
Die Webseite der SAGS aufrufen. Dann auf Downloads - Virenschutz-Software - Sophos AntiVirus (Bestätigung zur Einhaltung der Lizenzbedingungen: OK) gehen und die Datei iconn.zip herunterladen. Die heruntergeladene Datei entpacken und damit die im Verzeichnis enthaltene C:\ProgramData\Sophos\AutoUpdate\Config\iconn.cfg ersetzen.
 
Alternativ kann man auch die komplette Software herunterladen und installieren.

In der Presse wurde kürzlich darüber berichtet, dass Zugangsdaten des beliebten Online-Speicher-Dienstes Dropbox im Internet aufgetaucht sind.
Die Daten stammen aus einem Hack des Dienstes im Jahr 2012.
Siehe hierzu: www.heise.de/security/meldung/Gestohlene-Dropbox-Passwoerter-offenbar-echt-3310017.html
 
Dem SCC liegt eine Liste von 1434 E-Mail-Accounts der Bauhaus-Universität Weimar vor, die von der Kompromittierung verschiedener Online-Dienste – hauptsächlich Dropbox – betroffen sind.
Genannt werden neben der E-Mail-Adresse der Dienst/ die Dienste bei dem/ denen Daten abgegriffen wurden.
Eine Überprüfung ergab, dass von den genannten E-Mail-Accounts 436 (korrigierte Zahl gegenüber Pinnwand-Posting) heute noch aktiv sind.
 
Das SCC hat alle betroffenen Nutzer per E-Mail informiert.
 
Zusätzlich möchten wir auf die Beachtung der Richtlinie zur Nutzung externer IT-Dienste (MdU 28/2014):
www.uni-weimar.de/fileadmin/user/uni/universitaetsleitung/kanzler/mdu_akad/14/28_2014.pdf
sowie auf unsere ergänzenden Informationen auf der Webseite des SCC hinweisen:
https://www.uni-weimar.de/de/universitaet/struktur/zentrale-einrichtungen/scc-rechenzentrum/it-English version:sicherheit/externe-it-dienste/

Von der Verwendung der von Microsoft kürzlich veröffentlichten App
- Outlook for iOS
- Microsoft Outlook Vorschau (Android)
für den E-Mail Account der Bauhaus-Universität wird dringend abgeraten, da die Nutzung dieser Apps ein Sicherheitsrisiko darstellt.
 
Der Grund ist, dass die Logindaten und E-Mails nicht direkt dem Mailserver der Bauhaus-Universität übergeben, sondern über eine Reihe von Proxy-Servern geleitet und dort zwischengespeichert werden.
 
Haben sie die App bereits installiert, sollten sie diese umgehend wieder löschen und Ihr persönliches Passwort ändern.
 
Weitere Details bei heise.de

Ein als ausgestorben geglaubte Angriffsform - die Verbreitung von Schadsoftware in Macros von Office-Dokumenten - wird wieder verstärkt eingesetzt.
 
Beim Empfang von E-Mails mit Anhängen vom Typ .doc oder .xls ist Vorsicht geboten, damit nicht unbewusst die standardmäßige Deaktivierung von Macros in Office aufgehoben wird und dann die Schadsoftware wirksam werden kann.

Meldung auf heise.de

Das DFN-CERT informiert über zwei Schwachstellen, die das Ausspähen von Zugangsdaten für WLAN-Verbindungen ermöglichen:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0833/
 
Um die Gefahr zu verringern, dass Benutzerdaten im Klartext abgefangen werden können, ist in der eduroam-Konfiguration ein korrektes Root- oder CA-Zertifikat einzutragen.

Anleitung:
www.uni-weimar.de/fileadmin/user/uni/zentrale_einrichtungen/scc/wlan/eduroam-android.pdf

Android-Smartphones besitzen die Funktion „Meine Daten sichern“, die unter anderem dafür sorgt, dass auch WLAN-Passwörter auf Google-Servern unverschlüsselt gespeichert werden. Die Funktion ist bei einigen Geräten standardmäßig aktiviert.
Ist diese Funktion aktiviert und nutzt man WLAN über eduroam,  werden nicht nur die WLAN-Zugangsdaten, sondern gleichzeitig auch die eigenen Nutzer-Account-Informationen (Login + Passwort) an die Fa. Google weitergeben. Durch die Weitergabe dieser sensiblen Informationen kann einem Missbrauch durch Dritte Vorschub geleistet werden.

Wir empfehlend deshalb dringend die Funktion zu deaktivieren und das bisher verwendete persönliche Passwort zu ändern.

Eine Handlungsanweisung und weitere Detailinformationen finden Sie hier.