Verstärkte Phishing-Aktivitäten

Im Mai 2023 treten wieder verstärkt Phishing-Versuche auf.

Sehr geehrte Nutzerinnen und Nutzer der Dienste des Rechenzentrums,

im Mai 2023 manifestiert sich augenscheinlich eine neue Phishing-Welle gegen die TU Clausthal.

Dabei tritt auf, dass E-Mail-Inhalte realer, bereits verschickter E-Mail-Kommunikation, kopiert/wiederverwendet und mit einer über dem Zitat stehenden Antwort versehen neu zugestellt werden. Ein wie gewohnt verschleierter Link ist in der Antwort enthalten. Hinter diesem  befindet sich zumeist ein Direkt-Download z.B. einer Zip-Datei oder eines potentiell schädlichen PDF-Dokuments. Dieses Vorgehen betrifft insbesondere E-Mails, die über Mailinglisten verschickt wurden und damit eine Nachverfolgbarkeit bis zu einer natürlichen Person/einem konkreten RZ-Account als Abphish-Ort schwierig machen.

Aktuell sind am Campus E-Mails mit Bezug zur internen Lehr-Evaluation ebenso betroffen wie Einladungen zu Promotionsveranstaltungen. Darüber hinaus gibt es die klassischen, direkt verschickten Aufforderungen zur "Validierung" oder "Aktualisierung" eines Mail-Accounts beziehungsweise des Outlook-/OWA-Zugangs binnen kürzester Zeit.

Bitte bleiben Sie skeptisch!

Sie können die Echtheit einer solchen E-Mail wie folgt verifizieren:

  1. Das Rechenzentrum wird E-Mails in der Regel von der Ihnen bekannten Support-Mailadresse absenden.
  2. Die E-Mails des Rechenzentrums werden in der Regel digital signiert.
  3. Wir veröffentlichen auf unseren Webseiten (https://www.rz.tu-clausthal.de) im Bereich der Nachrichten in der Regel einen Eintrag, wenn wir umfangreiche Arbeiten durchführen. Diese Nachricht ist zumeist identisch mit der Rundmail (eine Individualisierung/Personalisierung ist möglich).
  4. Das Rechenzentrum fordert Sie höchstens gelegentlich unter Angabe von ausreichend langen Fristen auf, bestimmte Tätigkeiten durchzuführen.

Andersherum können Sie relativ schnell feststellen, ob es sich um eine Phishing-Mail handelt:

  1. Der Absender ist nicht das Rechenzentrum bzw. stammt die Mail von einer externen Adresse.
  2. Die E-Mail ist nicht elektronisch signiert.
  3. Sie finden auf unseren Webseiten (https://www.rz.tu-clausthal.de) im Bereich der Nachrichten eine anders lautende Nachricht - oder gar keinen zugehörigen Eintrag.
  4. Der Text der Ihnen zugegangenen E-Mail enthält keine vollständigen Sätze und eine nur unklare Beschreibung der Sachlage.
  5. Die E-Mails enthält Links zu einer externen Webseite und fordert Sie auf, dort Ihre Zugangsdaten einzugeben/Ihren Account zu verifizieren *).

Als Gegenmaßnahmen auch Ihrerseits sind möglich:

  1. Nutzen Sie das Kennwort Ihres Accounts an der TU Clausthal ausschließlich für Dienste des Rechenzentrums und nirgendwo sonst.
  2. Prüfen Sie die Korrektheit von E-Mails wie oben dargestellt. Kontaktieren Sie für Nachfragen gegebenenfalls den angeblichen Absender auf anderem Weg, z.B. telefonisch.
  3. Wechseln Sie gelegentlich das Kennwort Ihres RZ-Accounts - selbst das Anhängen eines Zählers oder eines einzelnen Sonderzeichens führt insbesondere auch bei anderen Diensten eingesetzten Kennwörtern zu einem Authentifizierungs-Fehler, so dass für gewöhnlich der Angriff auf unsere Infrastruktur mittels des gerade getesteten/fehlerhaft abgebrochenen Accounts durch den Phisher sofort beendet wird.

Mit freundlichen Grüßen aus dem Rechenzentrum
Martin Diedrich

Zurück