Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1737

[Universität Stuttgart/Phishing] Phishing-Mails für CommuniGate-Pro-Server der Uni unterwegs
(2016-01-05 15:21:09.562283+00) Druckversion


Derzeit sind E-Mail-Nachrichten insbesondere an Benutzer des CommuniGate-Pro-Servers (mbox) der Universität Stuttgart unterwegs, die den Anschein erwecken, eine offizielle Nachricht des TIK zu sein und dazu auffordern, sich über einen in der Nachricht enthaltenen URL einzuloggen. Diese Nachrichten stammen jedoch nicht vom TIK und sollen lediglich dazu dienen, arglose Benutzer dazu zu verleiten, ihre Zugangsdaten preiszugeben. Es wird dringendst geraten, entsprechende E-Mail-Nachrichten umgehend zu löschen. Sollte man sich versehentlich dennoch über den beigefügten Link eingeloggt haben, muss die Zugangsberechtigung des entsprechenden Kontos umgehend von den zuständigen Mitarbeitern des TIK zurückgesetzt werden.

Inhalt

Zusammenfassung

Betroffen: Nutzer des CommuniGate-Pro-Servers der Universität Stuttgart
Einfallstor: E-Mail-Nachricht
Auswirkung: Phishing der Zugangsdaten

Beschreibung

In den Nachrichten wird behauptet, dass die "mailbox Quota überschritten" sei und man sich umgehend auf einem im Ausland beherbergten Server anmelden solle, um ein "Entfernen der gelöschten Elemente" vorzunehmen. Folgt man dem beigefügten Link, landet man auf einer Seite, die der Loginseite des CommuniGate-Pro-Servers der Universität entspricht. Gibt man dort allerdings seine Zugangsberechtigungsdaten ein, werden diese abgephisht und das Konto muss als kompromittiert angesehen werden.

Die Nachricht ist in sehr schlechtem Deutsch abgefasst und daran bereits als nicht durch das TIK herausgegebene Benachrichtigung zu erkennen. Auch der URL, dem zu Folgen aufgefordert wird, endet nicht auf ".de" sondern auf ".ma" und sollte daher dem aufmerksamen Leser merkwürdig vorkommen.

Wortlaut der Nachricht:
-----------------------------------8<---------------------------------------

Betreff:        Uni-Stuttgart Mailbox-Quota Überschritten!
Datum:  Mon, 4 Jan 2016 09:05:00 -0500
Von:    Benutzerberatung | TIK 
An:     Me 


Das Uni-Stuttgart mailbox Quota überschritten hat die Grenze, können Sie
möglicherweise nicht auf Senden/Empfangen e-Mails mehr.

Bitte löschen Sie ein beliebiges Element, das Sie nicht benötigen aus Ihrem
Postfach und Entfernen der gelöschten Elemente oder HIER ANMELDEN
URL, damit wir die Größe Ihrer Mailbox.


Das Amt des Inforamtion Sicherheit halten dies aktualisiert, wenn
Informationen ändern sollten, aber wir empfehlen allen Anwendern ihre
Aktualisierungen nach der erwarteten Version dieses Patches ausgeführt.


Mit freundlichen Grüßen
Ihr Benutzerberatung des TIK

--
Universität Stuttgart
Technische Informations- und Kommunikationsdienste (TIK)
E-Mail: beratung@rus.uni-stuttgart.de 
Internet: tik.uni-stuttgart.de
-------------------------

© 2016, Technische Informations- und Kommunikationsdienste (TIK)

All rights reserved.

-----------------------------------8<---------------------------------------

Die IP-Adresse des beherbergenden Servers wurde für den Zugriff aus dem Netz der Universität Stuttgart gesperrt. Diese Maßnahme ist jedoch nicht dazu geeignet, Zugriffe von außerhalb der Netze der Universität Stuttgart auf den Phishingserver zu unterbinden.

Benutzer sollten eine solche Nachricht umgehend löschen und keinesfalls ihre Zugangsberechtigungsdaten in die Maske eingeben.

Sollte dies dennoch versehentlich passiert sein, ist das entsprechende Konto als kompromittiert anzusehen. Es ist dann davon auszugehen, dass auch alle in diesem Konto enhaltenen Daten kompromittiert sind. Die Zugangsdaten müssen dann umgehend zurückgesetzt werden. Wenden Sie sich dazu bitte an das TIK unter:

mail-support@tik.uni-stuttgart.de
oder
+49-711-685-88000

Gegenmaßnahmen

  • Keinesfalls Zugangsberechtigungsdaten in die Maske der unter dem in der Nachricht angegebenen URL erreichbaren Seite eingeben
  • Die IP-Adresse des die Phishingseite beherbergenden Servers wurde für den Zugriff aus den Netzen der Universität Stuttgart gesperrt.
  • Der Betreiber des beherbergenden Servers wurde aufgefordert, die Seite zu entfernen.
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2016 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.