Warnung vor neuen Phishingmails mit Qakbot/Qbot Malware

Securitymeldung
Systemname: Mail

Aktuell verbreiten sich neue, schädliche Phisingmails, die sogenannte Qakbot/Qbot Malware enthalten. Die meisten schadhaften Mails werden zwar von unseren Sicherheitssystemen abgefangen, in Einzelfällen misslingt das allerdings, da diese Phishingmails zum Teil neue Methodiken verwenden, um bestehende Sicherungsmaßnahmen zu umgehen.

Wir bitten Sie daher, eingehende E-Mails besonders sorgfältig zu prüfen und vor allem vorsichtig zu sein vor dem Öffnen von Mail-Anhängen oder Anklicken von Links.

Wir geben Ihnen gerne ein paar Beispiele an denen Sie aber mittels verschiedener Prüfungen diesen Angriffsvektor besser erkennen können.

Merkmale dieser Phishingmails können sein:

  1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners.
  2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf oder Umlaute fehlen.
  3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer Datei aufgefordert.
  4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat.

Screenshot Qbot mit den oben erwähnten Erkennungsmerkmalen:1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners. Beispiel: Fernuni hagen oder Ihr eigener Name<RStei***@***kapkg.com> 2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf oder Umlaute fehlen. Beispiel: [Extern] Anmeldung zur Prfung 3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer Datei aufgefordert. Beispiel: Grüße, Hier können Sie eine Vereinbarung und Notizen finden: https://s***e.com/AD.php?OU***UNTS=8. 4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat. Beispiel: Sehr geehrte/r Studierende/r, Sie hatten sich zur Prfung Modul 3b angemeldet und eine Anmeldebesttigung erhalten [...]
(Abb: Beispielmail Qbot)
Bislang haben wir in sehr vielen untersuchten Fällen Hinweise gefunden, dass die Kommunikationspartner Opfer von Identitätsdiebstahl (Mailadresse + Passwort) geworden sind. In keinem der untersuchten Fälle gab es Hinweise, dass die Daten auf unserer Seite kompromittiert worden sind.

Durch folgende Merkmale ist die automatisierte Kategorisierung durch unsere Sicherheitssysteme nicht in allen Fällen zuverlässig möglich:

  • Betreff ist nicht einheitlich
  • Absende-Adressen sind meist unterschiedlich
  • Text ist nicht einheitlich
  • Malware wird teilweise als Anhang (verschlüsseltes ZIP-Archiv), teilweise auch mit Links zu Webseiten, von wo aus der Schadcode dann heruntergeladen wird, auch sind die jeweiligen Dateien randomisiert

An dieser Stelle sehen Sie einige Screenshots von schadhaften Dokumenten. Sollten Sie bereits zu diesem Punkt gelangt sein, stoppen Sie an dieser Stelle und wenden Sie sich sofort an den ZDI Helpdesk!

Eine Datei, die vorgibt Teil der Office 365 zu sein verleitet zum Herunterladen einer Datei (in diesem Fall eine OneNote-Datei)
(Abb: Beispielmail Qbot Office 365)
Eine Datei, die vorgibt Teil der Adobe Document Cloud zu sein verleitet zum Herunterladen einer passwortverschlüsselten Datei
(Abb: Beispielmail Qbot Adobe)

Falls Sie sich unsicher beim Öffnen von Mail sind, wenden Sie sich gerne schriftlich an den ZDI Helpdesk (helpdesk@fernuni-hagen.de) und leiten uns die Originalmail als Anhang weiter.

Informationen zur Angriffstaktik von Oktober 2022 finden Sie hier: Warnung vor Phishingmails mit Qakbot/Qbot Malware



Wartungsarbeiten am Videoportal

Wartungszeitraum
Systemname: Medial Videoportal

Wartungsbeginn: 31.01.2023 16:30 Uhr

Wartungsende: 31.01.2023 20:00 Uhr

Update: Die Wartungsarbeiten sind erfolgreich abgeschlossen worden.

Am 31.01.2023 finden am späten Nachmittag von 16.30h bis 20.00h Wartungsarbeiten am System Medial statt.

ACHTUNG:
Während der Wartungsarbeiten kann es zur Unerreichbarkeit des Videoportals kommen. Eingestellte Videos werden nicht mehr encodiert und müssen ggf. erneut eingestellt werden. Bereits fertig encodiert Videos sind von den Wartungsarbeiten NICHT betroffen.



Moodle-Wartungsarbeiten

In den nächsten Wochen finden an verschiedenen Tagen Wartungsarbeiten an den Moodle-Instanzen statt.
Folgende Moodle-Instanzen und Zeiträume sind betroffen:
https://moodle-wrm.fernuni-hagen.de/ ist am 31.01.2023 zwischen 9 und 11 Uhr nicht erreichbar
https://moodle-psy.fernuni-hagen.de/ ist am 02.02.2023 zwischen 9 und 12 Uhr nicht erreichbar
https://offene.fernuni-hagen.de/ ist am 07.02.2023 zwischen 9 und 11 Uhr nicht erreichbar



Wartungshinweis – Umzug Rechenzentrum Gebäude IZ zum neuen Rechenzentrum im PRG

Wartungszeitraum
Systemname: Rechenzentrum, zentrale Infrastruktur

Wartungsbeginn: 18.01.2023 00:00 Uhr

Wartungsende: 03.02.2023 00:00 Uhr

In der Zeit vom 18. Januar bis 3. Februar wird das Rechenzentrum des ZDI aus dem Gebäude 3 (IZ) in das neue Rechenzentrum in Gebäude 5 (PRG) umziehen.

In dem Rahmen werden viele Server und Netzwerkgeräte zunächst ausgebaut und nach Transport in den neuen Raum wieder in Betrieb genommen. Da die Systeme redundant, d.h. doppelt vorhanden sind, sollte es nicht zu Beeinträchtigungen kommen.

Trotz sorgfältiger Vorbereitungen können kurze Unterbrechungen im Service nicht gänzlich ausgeschlossen werden.

Den aktuellen Zustand der meisten Systeme können Sie auf der neuen Statusseite des ZDI sehen: https://status.fernuni-hagen.info

 



✓Abgeschlossen

Wartungsarbeiten SAP Berichtswesen

Wartungszeitraum
Systemname: SAP Berichtswesen

Wartungsbeginn: 13.01.2023 12:00 Uhr

Wartungsende: 13.01.2023 13:30 Uhr

Am Freitag, den 13.01.2023 finden in der Zeit von 12:00 – 13:30 Wartungsarbeiten am SAP Berichtswesen statt. In dieser Zeit steht das System nicht zur Verfügung.



Außerplanmäßige Wartung des zentralen Mitarbeiter-Mailservers (Exchange / OWA)

Wartungszeitraum
Systemname: Exchange Server

Wartungsbeginn: 13.01.2023 06:00 Uhr

Wartungsende: 13.01.2023 09:00 Uhr

Aus IT-Sicherheitsgründen ist es leider erforderlich, dass ein kurzfristig von Microsoft für unseren Exchange Mailserver zur Verfügung gestelltes Sicherheitsupdate zeitnah, d.h. am frühen Freitagmorgen, eingespielt wird. Dadurch wird es zu Einschränkungen in der Verfügbarkeit der Mailserver-Umgebung für Mitarbeiter kommen.

Die Aktualisierung ist für Freitag den 13.01.2023 innerhalb eines Wartungsfensters (06:00 – 09:00 Uhr) eingeplant.

Das Senden und Empfangen von Mails, sowie die Nutzung der Weboberfläche unter https://owa.fernuni-hagen.de wird daher vorübergehend nicht oder nur eingeschränkt möglich sein.

Ihr ZDI



Aufforderung zur Aktualisierung der Zoom App

Aufgrund von Sicherheitslücken in Zoom werden Nutzer*innen beim nächsten Start der Zoom App aufgefordert, auf die neueste Version zu aktualisieren. Dies gilt sowohl für Personen mit einem Zoom-Konto der FernUni als auch für Personen, die als Gast an einem Zoom-Meeting der FernUni teilnehmen.

Weitere Informationen zur Sicherheitslücke erhalten Sie auf dieser Seite: https://www.heise.de/news/Meeting-Client-Zoom-unter-Android-macOS-und-Windows-angreifbar-7453606.html



✓Abgeschlossen

Wartungsarbeiten an Datenbanksystemen

Wartungszeitraum
Systemname: u.a. Moodle, virtuelle Universität (VU), WebRegIS, Onlineübungssystem, Studierenden-Mailserver, Blogs & Wikis

Wartungsbeginn: 06.01.2023 12:00 Uhr

Wartungsende: 06.01.2023 12:10 Uhr

Es werden heute (06.01.2023) kurzfristig Wartungsarbeiten an Datenbanksystemen durchgeführt. Dadurch kann es in der Zeit zwischen 12:00 und 12:10 Uhr zu kurzen Ausfällen der davon betroffenen Systeme kommen.



✓Abgeschlossen

Eingeschränkte Erreichbarkeit der Mailserver

Störungsbeginn: 18.12.2022 16:39 Uhr

Störungsende: 02.01.2023 12:00 Uhr

Securitymeldung
Systemname: Exchange-Server

Aufgrund eines aktuellen Angriffs auf unsere Systeme ist es unvermeidlich, das Mail-System für Mitarbeitende kurzfristig nur noch vom FernUni-Netz aus (auf dem Campus bzw. über VPN) zugänglich zu machen. Wenn Sie E-Mails mit dem Betreff „You have 2 new important messages from IT helpdesk“ erhalten, klicken Sie nicht auf die darin enthaltenen Links, hier wird versucht, Ihre FernUni-Zugangsdaten auszuspähen.

Bitte informieren Sie unbedingt das Helpdesk (helpdesk@fernuni-hagen.de; -4444), falls Sie versehentlich über den Link Ihre Zugangsdaten auf der dahinter liegenden Seite eingegeben haben sollten!

Weitere technische Informationen und Updates finden Sie an dieser Stelle.

Die Pressestelle informiert über diesen Vorfall in den folgenden Artikeln:

Aktuelle Infos für Beschäftigte – Eingeschränkte Erreichbarkeit der Mailserver

Aktuelle Infos für Beschäftigte – IT-Sicherheit: Achtung vor Phishing-Mails

Update 20.12.2022:

Durch die Umstellung sind aktuell neue Kalendereinträge in Microsoft Teams nicht sichtbar. Wir arbeiten gerade an der Behebung der Einschränkung.

Sie finden Ihre Kalendereinträge derzeit nur in Ihrem lokalen Mailclient (Outlook, Thunderbird, etc.) bzw. im OWA.

Update 21.12.2022:

Die Kalenderanbindung an Microsoft Teams funktioniert wieder.

Update 02.01.2023:

Das Mail-System für Mitarbeitende ist nun auch wieder ohne VPN erreichbar. Alle, die ihr VPN ausschließlich zur Verbindung mit ihrem E-Mail-Postfach nutzen, werden gebeten, die VPN-Verbindung wieder zu trennen.



zeitweise Störung des FernUni-Netzwerks behoben

Heute Morgen (28.12.) wurden gegen 6:30 Uhr zentrale Netzwerkkomponenten aktualisiert. Im Rahmen dieser Arbeiten kam es zu nicht absehbaren Kompatibilitätsproblemen, die zu einer zeitweisen Störung des geamten FernUni-Netzwerks geführt haben. Die Störung konnte zwischenzeitlich behoben werden, sodass alle Systeme seit ca. 8:40 Uhr wieder in Betrieb sind.