Kategorien
Seiten
-

IT Center

Phishing-Attacke auf RWTH-E-Mail-Accounts: Datenklau -Nicht mit uns!/ Phishing Attack on RWTH E-Mail Accounts: Data Theft –Not with us!

07. Februar 2020 | von

***English version below***

Es vergeht kaum ein Tag, an dem nicht in den Medien über Datenklau durch Phishing, Trojaner und Co. berichtet wird. Auch die RWTH Aachen University ist in den letzten Wochen attackiert worden. Bereits seit mehreren Monaten werden unsere Postfächer mit SPAM-Mails überflutet. Für uns als IT-Provider der RWTH Aachen bedeutet dies, dass wir Euch nicht in die Phishing-Fallen und weitere Gefahren laufen lassen wollen.

In diesem Blogbeitrag findet Ihr alles, was Ihr wissen müsst, um Eure Daten und Postfächer vor Phishing zu schützen, damit es gar nicht erst zum Datenklau kommt!

Was bisher geschah: Phishing-Attacke mit gefälschter RWTH Mail App

Am 29.01.2020 sind 1.418 RWTH-E-Mail-Konten im Rahmen einer Phishing-Attacke kontaktiert worden. Die RWTH-Angehörigen erhielten E-Mails, die unter anderem einen Link zu einer gefälschten Weboberfläche enthielten, die der RWTH-Login-Maske zur RWTH Mail App zum Verwechseln ähnlich sah. Mit dem bloßen Auge ist die Fälschung der RWTH Mail App kaum zu erkennen.

Augen auf im Webgebrauch: Gefälschte Weboberfläche der RWTH Mail App. Der jüngste Phishing-Versuch. Die URL zeigt eindeutig, dass es sich nicht um eine offizielle RWTH-Webanwendung handelt.
Augen auf im Webgebrauch: Gefälschte Weboberfläche der RWTH Mail App. Der jüngste Phishing-Versuch. Die URL zeigt eindeutig, dass es sich nicht um eine offizielle RWTH-Webanwendung handelt.

Die Folge

Gibt man seine Zugangsdaten in diese gefälschte Login-Maske ein, werden diese unverschlüsselt abgegriffen. Damit hat der Angreifer Zugriff auf Deine Mailbox –und wahrscheinlich noch vielem mehr.

Bei der RWTH Mail App handelt es sich um eine der meist genutzten Webanwendungen der Hochschule. So ziemlich alle RWTH-Angehörigen haben mindestens eine E-Mail-Adresse, die über diese Anwendung abrufbar ist. So ist es leider passiert, dass einige wenige Nutzende ihre Logindaten eingegeben haben. Im Zuge dessen sind von der zuständigen Fachabteilung alle notwendigen Schutzmaßnahmen getroffen und die Betroffenen informiert worden. Grundsätzlich kann so etwas jedem passieren. Wichtig ist bloß der achtsame Umgang und die Meldung beim IT-ServiceDesk, wenn es sich um Sicherheitsrisiken im www handelt.

Aus diesem Anlass wurde selbstverständlich der Provider über die gefälschte Weboberfläche informiert sowie die URL gesperrt, um den Gefahrenherd so schnell wie möglich aus dem Verkehr zu ziehen.

Was Du tun kannst, um auf Nummer sicher zu gehen?

  • Zunächst einmal gilt es für uns alle Websites auf ihre Echtheit zu überprüfen. Das kannst Du tun, indem Du den Link bzw. die URL überprüfst. Häufig sagt Dir bereits Dein Browser, dass es sich wohlmöglich um eine nicht sichere Seite handelt. Das rote Ausrufezeichen ist Dein zusätzlicher Warnhinweis.
  • Ist Dir die vermeintliche RWTH-URL nicht bekannt oder sogar auffällig? Dann melde sie bitte umgehend dem IT-ServiceDesk.
/
Sowohl der Browser als auch die URL zeigen an, dass es sich um eine nicht sichere Seite handelt. Daher schaut bitte explizit in die Browserzeile!
Sowohl der Browser als auch die URL zeigen an, dass es sich um eine nicht sichere Seite handelt. Daher schaut bitte explizit in die Browserzeile!
  • Die RWTH Single Sign-On-Anwendungen wie zum Beispiel RWTHmoodle, RWTHonline oder der RWTH Selfservice beginnen beispielsweise immer mit „sso.rwth-aachen.de“. Im direkten Vergleich mit der gefälschten Login-Maske der RWTH Mail App wird dies nochmal deutlich (siehe oben).
  • Achte bitte auch auf die korrekte Schreibweise in der URL. Schon kleine Abweichungen wie das dreifach-a https://rwth-aaachen.de/ sind potenzielle Gefahrenstellen
  • Wenn Du dir nicht sicher bist und auf eine vertrauenswürdige Quelle zurückgreifen möchtest, dann rufe zunächst das Dokumentationsportal des IT Centers auf. Hier haben wir nicht nur die Anleitungen zu unseren IT-Services parat, sondern auch immer die Links zu den Anwendungen.
  • Vom My IT Center-Portal aus kommst Du aber auch auf eine Vielzahl von Webanwendungen, die an der RWTH Aachen genutzt werden.
  • Lies dir auf jeden Fall die Sicherheitshinweise durch, die wir im Dokumentationsportal hinterlegt haben. Hier erfährst Du, wie man im Detail eine Website auf ihre Echtheit überprüft.

Phishing-Website ist weg. Und nun?

Eine gefälschte Website kommt selten allein. Immer wieder werden gefälschte Websites erstellt, um Daten abzugreifen. Wir halten Euch auf dem Laufenden über alle uns zur Verfügung stehenden Kanäle, rund um das Thema Phishing und Sicherheit im Netz. Deswegen empfehlen wir, regelmäßig unsere Aktuelles Meldungen und Social Media Beiträge im Blick zu behalten.

Mit den Anleitungen, Screenshots und Handlungsempfehlungen und aktuellen Informationen tun wir was wir können, um euch vor Phishing und Co. zu schützen.

Hier nochmal alle wissenswerten Links und Quellen im Überblick:

Lasst euch auch nicht die Videos vom KIT entgehen zum Erkennen von gefährlichen Anhängen und Links:

Verantwortlich für die Inhalte dieses Beitrags sind Nicole Filla und Thorsten Kurth.

***English version***

Phishing Attack on RWTH E-Mail Accounts: Data Theft –Not with us!

Hardly a day goes by without the media reporting on data theft by phishing, Trojans and so forth. The RWTH Aachen University has also been attacked recently. Already for several months, our mailboxes have been flooded with SPAM mails. For us as IT provider of the RWTH Aachen University this means that we do not want to let you fall into the phishing traps and other similar dangers.

In this blog post, you will find everything you need to know to protect your data and mailboxes from phishing, so that data theft does not happen in the first place.

What happened so far? Phishing Attack with Fake RWTH Mail App Interface

On January 29th, 2020, 1.418 RWTH e-mail accounts were contacted as part of a phishing attack. The RWTH members received e-mails containing, among other things, a link to a fake web interface that was almost identical to the RWTH login mask for the RWTH Mail App. The fake RWTH Mail App is hardly recognisable as fraud to the naked eye.

Keep your eyes open when surfing: Fake web interface of the RWTH Mail App. The latest phishing attempt. The URL clearly shows that it is not an official RWTH web application.

The Consequence

If you enter your access data in this fake login mask, they are tapped without encryption. This gives the attacker access to your mailbox –and probably much more. The RWTH Mail App is one of the most used web applications of the university. Almost all members of the RWTH have at least one e-mail address that can be accessed via this application. Unfortunately, it has happened that a few users have entered their login data in the fake interface. In the course of this, the responsible department has taken all necessary protective measures and those concerned have been informed. Basically, something like this can happen to anyone. The only thing that is important is to handle the data carefully and report it to the IT-ServiceDesk if you face security risks in the world wide web.

For this reason, the provider of the fake website was informed and the URL was blocked in order to eliminate the source of danger as quickly as possible.

What you can do to be on the safe side?

  • First of all, we all have to check the websites we surf for authenticity. You can do this by checking the link or URL in your browser. Often your browser already tells you if it is probably not a secure site you are trying to enter. The red exclamation mark is your additional warning.
  • Do you know the presumed RWTH-URL/link or is it even striking? Then please, report it immediately to the IT-ServiceDesk.
/
Both browser and URL indicate that the page is not secure. Therefore please look explicitly into the browser line!
Both browser and URL indicate that the page is not secure. Therefore please look explicitly into the browser line!
  • The RWTH Single Sign-On applications, such as RWTHmoodle, RWTHonline or the RWTH Selfservice always start with “sso.rwth-aachen.de”. In a direct comparison with the fake login mask of the RWTH Mail App this becomes clear again (see above).
  • Please, also pay attention to the correct spelling in the URL. Even small deviations like the triple-a in “https://rwth-aaachen.de/” are potential danger spots when surfing the web.
  • If you are not sure and want to use a trusted source, first go to the documentation portal of the IT Center. Here we not only have the instructions for our IT-Services ready, but also always the authentic links to the applications.
  • From the My IT Center Portal you can also access a variety of web applications used at RWTH. These Links are save to use.
  • Make sure you have read the safety instructions we have provided in the documentation portal. Here you can find out how to check a website for authenticity in detail.

The Phishing Site is gone. What now?

A fake website rarely comes alone. Again and again, fake websites are created to steal and access personal data such as login credentials. We will keep up to date on all the channels available to us on the subject of phishing and online security. That is why we recommend that you regularly keep an eye on our latest news and social media articles.

With the instructions, screenshots and recommendations for action and up-to-date information, we do what we can to protect you from phishing and the like.

Here again, all links and sources worth knowing:

Make sure you also check out the videos on detection of senders, attachments and links:

Responsible for the content of this article are Nicole Filla and Thorsten Kurth.

2 Antworten zu “Phishing-Attacke auf RWTH-E-Mail-Accounts: Datenklau -Nicht mit uns!/ Phishing Attack on RWTH E-Mail Accounts: Data Theft –Not with us!”

  1. Frank Nord sagt:

    Wie sehr kann man eigentlich suggerieren, dass Seiten, die https machen, legitim sind? Welch ein Glück, dass sich die Phisher keine teuren Zertifikate leisten können!

    (ja, mir ist bewusst, dass das nirgends im Text steht, aber die Bilder legen genau das nahe und wer liest schon den Text?)

    • Nicole Barbara Filla sagt:

      Hallo Frank Nord,
      vielen Dank für den Kommentar zu unserem Phishing-Beitrag. Wir möchten die Frage sehr gerne beantworten, benötigen diesbezüglich noch einige nähere Informationen. Wir möchten unsere Leser so gut wie möglich informieren und freuen uns daher über eine Rückmeldung.
      Lassen Sie uns gerne wissen, an welcher Stelle genau die Suggestion naheliegt, dass „https“ als Indikator auf legitime und somit unbedenkliche Seiten schließen lässt? Unser Ziel ist es, unseren Lesenden alle notwendigen Tipps mitzugeben, um sicher auf RWTH-Seiten im www unterwegs zu sein.

      Viele Grüße
      das IT Center-Blogteam

Schreibe einen Kommentar zu Nicole Barbara Filla Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.