Achtung: Phishing-Welle an Hochschulen (Juni 2021)

Sicherheit (Pexels, allgemeine Nutzung)Ich fische mal eine Information raus, die mich schon vorige Woche erreicht hat, aber liegen geblieben ist. An einigen deutschen Hochschulen scheint eine Phishing-Welle auf Angehörige (Mitarbeiter, Studenten) dieser Institutionen zu rollen. Da die Mails von Adressen der jeweiligen Hochschulen stammen, könnte dies den einen oder anderen Empfänger unvorsichtig werden lassen. Daher stelle ich die Information, die mir von einem Blog-Leser (ich nenne ihn mal Luca, keine Ahnung, wieso der Name mir gerade einfällt, war lange nicht in Italien) mal hier in den Blog ein – und danke an Luca für die App den Tipp.


Anzeige

Auch Hochschulen stehen ja im Fokus von Cyberkriminellen und Phishern. Ich hatte es hier im Blog nicht thematisiert, aber die IT der TU-Berlin wurde durch eine Randsomware-Attacke arg getroffen. Heise schreibt hier, dass man noch monatelang mit Einschränkungen leben muss.

1. Phishing-Welle: Postfach voll

Luca wurde selbst mit solchen Phishing-Mails bombardiert. Konkret beschreibt er die Phishing-Geschichte an Mails, die an der Hochschule Mittweida kursieren.

Seit einigen Tagen erhalten viele bis alle Studenten an ihre Hochschuladressen (@hs-mittweida.de) E-Mails, dass das Postfach voll ist, und man sich an einem Link auf einer nachempfundenen OWA-Seite einloggen soll, um das Postfach wieder freizuschalten. Angegeben werden absurde Werte, also beispielsweise in meinem Fall, dass das Postfach ca. 144 MB groß wäre, und um 3,5 GB(!) überschritten wäre.

Phishing-Mail: Postfach voll
Phishing-Mail: Postfach voll, zum Vergrößern klicken

Inzwischen hat die Hochschule Mitterweida über die IT eine Warnung Unzustellbarkeitsbenachrichtigung bei ausgehenden E-Mails herausgegeben und den Vorfall indirekt bestätigt. Man schreibt:

Die E-Mail-Postfächer der Hochschule wurden in den letzten Tagen mit Phishing-E-Mails angegriffen. Phishing-E-Mails zielen darauf ab, dass Benutzer ihre Zugangsdaten auf Webseiten eingeben, von denen Betrüger diese abgreifen und weiterverwenden.

Einige E-Mail-Postfächer der Hochschule wurden auf diese Weise selbst für den Versand von Phishing-E-Mails missbraucht. Dies hat zur Folge, dass die E-Mail-Server der Hochschule auf Sperrlisten verschiedener E-Mail-Provider gelangt sind. Ein Versand von Nachrichten an diese Anbieter ist deshalb u.U. nicht möglich.

Da sich die Ablehnung bei den einzelnen Providern unterscheidet, ist eine allgemeine Aussage darüber nicht möglich.

Aber zurück zum eigentlichen Thema. Solche Mails sind mir in ähnlicher Form auch außerhalb von Hochschulen begegnet, meist mit dem Inhalt, dass Mails wegen diesem oder jenem nicht zugestellt werden können. Auch dort war ein Link auf eine Phishing-Seite, wo die Zugangsdaten abgezogen werden sollten.

Mal in den Details nachgeschaut

Luca sind solche Mails zugegangen, er hat sofort Verdacht geschöpft und dann mal selbst geschaut, was passiert (die Nachahmung ist nicht unbedingt empfohlen, da Links oft eine Kodierung der Mail-Adresse enthalten und die Spammer wissen, dass ein Postfach lebt). Zum Vorgang schreibt Luca:

Der Link führt zu einer Weebly-Seite, welche dem Login-Screen von Outlook Web Access nachempfunden ist, welches an vielen deutschen Hochschulen eingesetzt wird.

Phishing-Formular mit Outlook-Anmeldung
Phishing-Formular mit Outlook-Anmeldung

Wer dort seine Anmeldedaten eintippt, hat schon verloren. Es kommt zwar die Meldung „Ihr Konto wurde erfolgreich zur Aktualisierung eingereicht. Vielen Dank!“. Das E-Mail-Konto wird dann aber anhand der Zugangsdaten von den Phishern übernommen.


Anzeige

2. Welle: Aufforderung, Sicherheitseinstellungen zu aktualisieren

Die Phisher verfolgten im Rahmen der betreffenden Kampagne dann wohl einen mehrstufigen Ansatz. Nachdem die erste Welle vorbei war, einige Nutzer auf das Thema hereingefallen sind, und die IT der Hochschule vor den Phishing-Angriffen gewarnt hatte, wurde die zweite Welle an Phishing-Mails gestartet. Luca schrieb mir dazu:

Heute kam dann allerdings eine wesentlich perfidere E-Mail. Absender war eine Mail-Adresse aus dem Hochschulbereich der Hochschule (@hs-mittweida.de), mit der Aufforderung, die Sicherheitseinstellungen des Postfachs zu aktualisieren, um vor Phishing zu schützen. Sogar die Signatur der IT-Dienste wurde übernommen, einschließlich Telefonnummer und Angabe der Raum- und Hausnummer.

Das Perfide daran ist, dass das Rechenzentrum der Hochschule einen Tag vorher darauf hingewiesen hat, dass eine derartige Phishing-Welle rollt, und auch Hinweise gegeben hat, wie „echte“ E-Mails zu erkennen sind (S/MIME-Signatur, keine externen Links…).

Insofern ist die Begründung, dass hier Vorkehrungen zum Schutz der Nutzer vor Phishing getroffen werden, leider recht glaubhaft.

Luca ist dann im Haus der Sache nachgegangen und hat erfahren, dass zwar alle Webseiten aus der ersten Welle per Abuse-Meldung offline genommen wurden. Es seien dort allerdings reichlich Zugangsdaten eingegeben worden. Nach aktuellem Stand (vor einer Woche) ist es bei der nächsten Phishing-Welle wieder passiert, dass die Leute auf die Mail hereingefallen sind. Und das trotz der Sensibiliserung durch das Hochschulrechenzentrum.

TH Georg Agricola Bochum auch betroffen

Als Luca sich die Phishing-Mails mal genauer anschaute, fiel ihm ein Detail auf: Der HTML-Title der Phishing-Webseite gibt „webmail.dmt-lb.de“ an. Diese Domain gehört zum Exchange der Technischen Hochschule Georg Agricola Bochum. Seine Schlussfolgerung war, dass die Phishingseite ursprünglich vor allem auf diese Hochschule ausgerichtet gewesen zu sein schien. Eine Kontaktaufnahme mit dem Rechenzentrum dieser Hochschule bestätigte, dass dort ziemlich genau die gleichen Vorkommnisse erfolgen. Diese Hochschule hat aber bereits im Februar 2021 gewarnt. Es steht zu vermuten, dass ähnliches auch noch an weiteren Hochschulen läuft.

Quelle der E-Mail-Adressen unbekannt

Die spannende Frage ist nun, woher die Phisher an die E-Mail-Adressen kommen und wie sie (sofern keine Fake-Adressen oder kompromittierte Konten verwenden), die Mails über Mail-Konten der Hochschulen versenden können.

Niemandem ist aktuell wohl bekannt, woher die E-Mail-Adressen für den Verteiler der Phishing-Mails stammen. Laut Gruppenverteiler (aka studenten@hs-mittweida.de) lassen sich solche E-Mails nur durch bestimmte Angestellte der Hochschule verschicken.

Als Quelle für die E-Mail-Verteiler der Hochschulangehörigen, schreibt Luca, bleibt aus dieser Sicht wohl nur das betreffende Exchange-System/-Verzeichnis. Denkbar wären auch noch externe Dienstleister, die von Studenten oft mit der Hochschul-E-Mail-Adresse zur Anmeldung an Online-Konten genutzt werden. Luca führt beispielhaft Unidays, Microsoft-Dienste oder vergleichbare Angebote mit Studentenrabatten auf. Ob da was passiert ist, ist aber unbekannt.

Mir ginge aber noch die Frage im Hinterkopf herum, ob da ein E-Mail-Server (Exchange) kompromittiert wurden ist. Dann hätten die Phisher ja Zugriff auf alle Postfächer. Dann macht es aber irgendwie keinen Sinn, mit Phishing-Mails an andere Adressaten die Aufmerksamkeit auf sich zu ziehen. Aber vielleicht habe ich was übersehen.

Luca merkt noch an, dass die letzte Phishing-Mail an der Hochschule, die ihm untergekommen ist, Absenderadresse einer Professorin, welche tatsächlich existiert, verwendet wurde. Der Versand erfolgte allerdings ohne eine Mailadresse im „An“-Feld. Die verwendete Adresse der E-Mail davor, welche wesentlich schlechter designt war, gehört laut Luca einem Mitarbeiter eines anderen Instituts, welcher auch existiert.

In der ersten E-Mail wurde auf *ttps://aktualisierung-mail.weebly.com/ verlinkt, die Seite ist mittlerweile durch Weebly gesperrt worden. Die aktuelle E-Mail mit der (inhaltlich, nicht aber designtechnisch) korrekten Signatur verweist auf *ttps://thabzj.weebly.com/.

In den Headern der Mail finden sich auch keine weiteren Received-Zeilen von außerhalb des hochschulischen Exchange-Servers xc2.hs-mittweida.de, sodass hier sogar fraglich wäre, ob ggf. eine Malwareinfektion im Hochschulnetz grassieren könnte. Verwunderlich wäre aber, dass das gleiche an mehreren Hochschulen passiert.

Luca fragte dann, ob ein Zusammenhang mit den Exchange-Lücken der vergangenen Wochen denkbar wäre. Das kann ich persönlich weder verneinen noch bejahen, auszuschließen ist das alles nicht. Weiß jemand von euch vielleicht mehr?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Achtung: Phishing-Welle an Hochschulen (Juni 2021)

  1. Niels sagt:

    Auf der Website der Uni gibt es Stellen an den „Bild: v.l. Name1, Name2, Name3“ weiter gibt es Bereiche wo alle Mitglieder eines Fachschaftsrats inkl Mailadresse aufgeführt sind. Das Schema dort ergibt für Tim Wundersam die mail twundersam1@uni, wobei die 1 auch eine 19 sein kann, vermutlich hochzählend. Hochzählend weil Nachnamen die ich seltener erwarten würde eher mit 1 oder 2 zu finden waren, Müller aber gerne eine 27 hat.

    Wenn man jetzt ein kleines Script baut, was einfach mal alles Unterseiten der Website durchsucht und schon mal jeden Bereich „Name: xyz“ sowie alle Mailadressen rauszieht dürfte man einen relevanten Pool an Adressaten für die erste Phisingwelle haben und sobald einer in die Falle tappt geht es von dort bereits weiter.

    Kann natürlich sein das der Angriff noch viel dedizierter und effizienter war, aber eine Möglichkeit ist es für mich schon

  2. Olli sagt:

    Kam hier auch an. Aber sehr selektiv – z.B. an keine einzige Adresse der IT-Admins. Da hat sich also jemand Mühe gegeben! Kam auch definitiv von außerhalb der eigenen HS, aber es kam von einem echten Mailserver einer anderen HS.

    Würde denken da nutzt jemand selektiv erbeutete Zugänge zu einzelnen Mailkonten aus.

  3. Gert sagt:

    Da trifft es genau die richtigen, unsere zukünftige Elite :-)

  4. Oskar sagt:

    Die TFH ist NICHT die Hochschule Bochum, die Zwischenüberschrift ist etwas unglücklich ;-)

    Ob die Hochschule Bochum auch betroffen ist, weiß ich nicht. So ist es aber etwas irreführend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.