{"id":254875,"date":"2021-06-17T11:32:36","date_gmt":"2021-06-17T09:32:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254875"},"modified":"2021-06-17T22:57:42","modified_gmt":"2021-06-17T20:57:42","slug":"achtung-phishing-welle-an-hochschulen-juni-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/17\/achtung-phishing-welle-an-hochschulen-juni-2021\/","title":{"rendered":"Achtung: Phishing-Welle an Hochschulen (Juni 2021)"},"content":{"rendered":"

\"SicherheitIch fische mal eine Information raus, die mich schon vorige Woche erreicht hat, aber liegen geblieben ist. An einigen deutschen Hochschulen scheint eine Phishing-Welle auf Angeh\u00f6rige (Mitarbeiter, Studenten) dieser Institutionen zu rollen. Da die Mails von Adressen der jeweiligen Hochschulen stammen, k\u00f6nnte dies den einen oder anderen Empf\u00e4nger unvorsichtig werden lassen. Daher stelle ich die Information, die mir von einem Blog-Leser (ich nenne ihn mal Luca, keine Ahnung, wieso der Name mir gerade einf\u00e4llt, war lange nicht in Italien) mal hier in den Blog ein – und danke an Luca f\u00fcr die App <\/span>den Tipp.<\/p>\n

<\/p>\n

\"\"Auch Hochschulen stehen ja im Fokus von Cyberkriminellen und Phishern. Ich hatte es hier im Blog nicht thematisiert, aber die IT der TU-Berlin wurde durch eine Randsomware-Attacke arg getroffen. Heise schreibt hier<\/a>, dass man noch monatelang mit Einschr\u00e4nkungen leben muss.<\/p>\n

1. Phishing-Welle: Postfach voll<\/h2>\n

Luca wurde selbst mit solchen Phishing-Mails bombardiert. Konkret beschreibt er die Phishing-Geschichte an Mails, die an der Hochschule Mittweida kursieren.<\/p>\n

Seit einigen Tagen erhalten viele bis alle Studenten an ihre Hochschuladressen (@hs-mittweida.de) E-Mails, dass das Postfach voll ist, und man sich an einem Link auf einer nachempfundenen OWA-Seite einloggen soll, um das Postfach wieder freizuschalten. Angegeben werden absurde Werte, also beispielsweise in meinem Fall, dass das Postfach ca. 144 MB gro\u00df w\u00e4re, und um 3,5 GB(!) \u00fcberschritten w\u00e4re.<\/p><\/blockquote>\n

\"Phishing-Mail:<\/a>
\nPhishing-Mail: Postfach voll, zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Inzwischen hat die Hochschule Mitterweida \u00fcber die IT eine Warnung Unzustellbarkeitsbenachrichtigung bei ausgehenden E-Mails<\/a> herausgegeben und den Vorfall indirekt best\u00e4tigt. Man schreibt:<\/p>\n

Die E-Mail-Postf\u00e4cher der Hochschule wurden in den letzten Tagen mit Phishing-E-Mails angegriffen. Phishing-E-Mails zielen darauf ab, dass Benutzer ihre Zugangsdaten auf Webseiten eingeben, von denen Betr\u00fcger diese abgreifen und weiterverwenden.<\/p>\n

Einige E-Mail-Postf\u00e4cher der Hochschule wurden auf diese Weise selbst f\u00fcr den Versand von Phishing-E-Mails missbraucht. Dies hat zur Folge, dass die E-Mail-Server der Hochschule auf Sperrlisten verschiedener E-Mail-Provider gelangt sind. Ein Versand von Nachrichten an diese Anbieter ist deshalb u.U.<\/abbr> nicht m\u00f6glich.<\/p>\n

Da sich die Ablehnung bei den einzelnen Providern unterscheidet, ist eine allgemeine Aussage dar\u00fcber nicht m\u00f6glich.<\/p><\/blockquote>\n

Aber zur\u00fcck zum eigentlichen Thema. Solche Mails sind mir in \u00e4hnlicher Form auch au\u00dferhalb von Hochschulen begegnet, meist mit dem Inhalt, dass Mails wegen diesem oder jenem nicht zugestellt werden k\u00f6nnen. Auch dort war ein Link auf eine Phishing-Seite, wo die Zugangsdaten abgezogen werden sollten.<\/p>\n

Mal in den Details nachgeschaut<\/h3>\n

Luca sind solche Mails zugegangen, er hat sofort Verdacht gesch\u00f6pft und dann mal selbst geschaut, was passiert (die Nachahmung ist nicht unbedingt empfohlen, da Links oft eine Kodierung der Mail-Adresse enthalten und die Spammer wissen, dass ein Postfach lebt). Zum Vorgang schreibt Luca:<\/p>\n

Der Link f\u00fchrt zu einer Weebly-Seite, welche dem Login-Screen von Outlook Web Access nachempfunden ist, welches an vielen deutschen Hochschulen eingesetzt wird.<\/p><\/blockquote>\n

\"Phishing-Formular
\nPhishing-Formular mit Outlook-Anmeldung<\/p>\n

Wer dort seine Anmeldedaten eintippt, hat schon verloren. Es kommt zwar die Meldung \"Ihr Konto wurde erfolgreich zur Aktualisierung eingereicht. Vielen Dank!\". Das E-Mail-Konto wird dann aber anhand der Zugangsdaten von den Phishern \u00fcbernommen.<\/p>\n

2. Welle: Aufforderung, Sicherheitseinstellungen zu aktualisieren<\/h3>\n

Die Phisher verfolgten im Rahmen der betreffenden Kampagne dann wohl einen mehrstufigen Ansatz. Nachdem die erste Welle vorbei war, einige Nutzer auf das Thema hereingefallen sind, und die IT der Hochschule vor den Phishing-Angriffen gewarnt hatte, wurde die zweite Welle an Phishing-Mails gestartet. Luca schrieb mir dazu:<\/p>\n

Heute kam dann allerdings eine wesentlich perfidere E-Mail. Absender war eine Mail-Adresse aus dem Hochschulbereich der Hochschule (@hs-mittweida.de), mit der Aufforderung, die Sicherheitseinstellungen des Postfachs zu aktualisieren, um vor Phishing zu sch\u00fctzen. Sogar die Signatur der IT-Dienste wurde \u00fcbernommen, einschlie\u00dflich Telefonnummer und Angabe der Raum- und Hausnummer.<\/p>\n

Das Perfide daran ist, dass das Rechenzentrum der Hochschule einen Tag vorher darauf hingewiesen hat, dass eine derartige Phishing-Welle rollt, und auch Hinweise gegeben hat, wie \"echte\" E-Mails zu erkennen sind (S\/MIME-Signatur, keine externen Links…).<\/p>\n

Insofern ist die Begr\u00fcndung, dass hier Vorkehrungen zum Schutz der Nutzer vor Phishing getroffen werden, leider recht glaubhaft.<\/p><\/blockquote>\n

Luca ist dann im Haus der Sache nachgegangen und hat erfahren, dass zwar alle Webseiten aus der ersten Welle per Abuse-Meldung offline genommen wurden. Es seien dort allerdings reichlich Zugangsdaten eingegeben worden. Nach aktuellem Stand (vor einer Woche) ist es bei der n\u00e4chsten Phishing-Welle wieder passiert, dass die Leute auf die Mail hereingefallen sind. Und das trotz der Sensibiliserung durch das Hochschulrechenzentrum.<\/p>\n

TH Georg Agricola Bochum auch betroffen<\/h2>\n

Als Luca sich die Phishing-Mails mal genauer anschaute, fiel ihm ein Detail auf: Der HTML-Title der Phishing-Webseite gibt \"webmail.dmt-lb.de\" an. Diese Domain geh\u00f6rt zum Exchange der Technischen Hochschule Georg Agricola Bochum. Seine Schlussfolgerung war, dass die Phishingseite urspr\u00fcnglich vor allem auf diese Hochschule ausgerichtet gewesen zu sein schien. Eine Kontaktaufnahme mit dem Rechenzentrum dieser Hochschule best\u00e4tigte, dass dort ziemlich genau die gleichen Vorkommnisse erfolgen. Diese Hochschule hat aber bereits im Februar 2021 gewarnt<\/a>. Es steht zu vermuten, dass \u00e4hnliches auch noch an weiteren Hochschulen l\u00e4uft.<\/p>\n

Quelle der E-Mail-Adressen unbekannt<\/h2>\n

Die spannende Frage ist nun, woher die Phisher an die E-Mail-Adressen kommen und wie sie (sofern keine Fake-Adressen oder kompromittierte Konten verwenden), die Mails \u00fcber Mail-Konten der Hochschulen versenden k\u00f6nnen.<\/p>\n

Niemandem ist aktuell wohl bekannt, woher die E-Mail-Adressen f\u00fcr den Verteiler der Phishing-Mails stammen. Laut Gruppenverteiler (aka studenten@hs-mittweida.de) lassen sich solche E-Mails nur durch bestimmte Angestellte der Hochschule verschicken.<\/p>\n

Als Quelle f\u00fcr die E-Mail-Verteiler der Hochschulangeh\u00f6rigen, schreibt Luca, bleibt aus dieser Sicht wohl nur das betreffende Exchange-System\/-Verzeichnis. Denkbar w\u00e4ren auch noch externe Dienstleister, die von Studenten oft mit der Hochschul-E-Mail-Adresse zur Anmeldung an Online-Konten genutzt werden. Luca f\u00fchrt beispielhaft Unidays, Microsoft-Dienste oder vergleichbare Angebote mit Studentenrabatten auf. Ob da was passiert ist, ist aber unbekannt.<\/p>\n

Mir ginge aber noch die Frage im Hinterkopf herum, ob da ein E-Mail-Server (Exchange) kompromittiert wurden ist. Dann h\u00e4tten die Phisher ja Zugriff auf alle Postf\u00e4cher. Dann macht es aber irgendwie keinen Sinn, mit Phishing-Mails an andere Adressaten die Aufmerksamkeit auf sich zu ziehen. Aber vielleicht habe ich was \u00fcbersehen.<\/p><\/blockquote>\n

Luca merkt noch an, dass die letzte Phishing-Mail an der Hochschule, die ihm untergekommen ist, Absenderadresse einer Professorin, welche tats\u00e4chlich existiert, verwendet wurde. Der Versand erfolgte allerdings ohne eine Mailadresse im \"An\"-Feld. Die verwendete Adresse der E-Mail davor, welche wesentlich schlechter designt war, geh\u00f6rt laut Luca einem Mitarbeiter eines anderen Instituts, welcher auch existiert.<\/p>\n

In der ersten E-Mail wurde auf *ttps:\/\/aktualisierung-mail.weebly.com\/ verlinkt, die Seite ist mittlerweile durch Weebly gesperrt worden. Die aktuelle E-Mail mit der (inhaltlich, nicht aber designtechnisch) korrekten Signatur verweist auf *ttps:\/\/thabzj.weebly.com\/.<\/p><\/blockquote>\n

In den Headern der Mail finden sich auch keine weiteren Received-Zeilen von au\u00dferhalb des hochschulischen Exchange-Servers xc2.hs-mittweida.de, sodass hier sogar fraglich w\u00e4re, ob ggf. eine Malwareinfektion im Hochschulnetz grassieren k\u00f6nnte. Verwunderlich w\u00e4re aber, dass das gleiche an mehreren Hochschulen passiert.<\/p><\/blockquote>\n

Luca fragte dann, ob ein Zusammenhang mit den Exchange-L\u00fccken der vergangenen Wochen denkbar w\u00e4re. Das kann ich pers\u00f6nlich weder verneinen noch bejahen, auszuschlie\u00dfen ist das alles nicht. Wei\u00df jemand von euch vielleicht mehr?<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich fische mal eine Information raus, die mich schon vorige Woche erreicht hat, aber liegen geblieben ist. An einigen deutschen Hochschulen scheint eine Phishing-Welle auf Angeh\u00f6rige (Mitarbeiter, Studenten) dieser Institutionen zu rollen. Da die Mails von Adressen der jeweiligen Hochschulen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-254875","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254875"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254875\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}