IT-Sicherheitshinweis zu Angriffsmasche „CEO-Fraud“

Haben Sie auch schon einmal Mails mit dem Betreff „Available?“ oder ähnlich klingend erhalten? Aktuell erreichen einige Betrugsmails dieser Art unsere Kolleginnen und Kollegen.

Antworten Sie niemals auf solche E-Mails, wenn Sie nicht zweifelsfrei feststellen können, dass die Mail wirklich von dem vorgegebenen Absender stammt, sondern melden Sie sich beim Helpdesk (helpdesk@fernuni-hagen.de, Durchwahl -4444) und leiten Sie uns Mails dieser Art weiter.

Bei Telefonaten legen Sie bitte gleich auf und notieren Sie die Telefonnummer, von der angerufen wurde.

Hierbei handelt es sich um das Muster „CEO-Fraud“, dt. „Chef-Trick“ und soll Vertrauen bei den Beschäftigen erwecken, da Angreifende hier meist Vorgesetzte, Dekane, Lehrstuhlleitungen, aber auch Mitglieder des Rektorates, des Hochschulrates und des Senates imitieren und unter diesen Namen Mails an Beschäftigte senden. Der Absendername ist meist korrekt, die Absender-Mailadresse ist jedoch falsch bzw. gefälscht.

Dieses Angriffsmuster aus dem Bereich des Social Engineering/Social Hacking und führen in der Regel in der Kommunikation per E-Mail oder Telefon zu einer mit Zeitdruck und hoher Dringlichkeit verbundenen persönlichen Bitte bzw. Aufforderung, einer/einem Vorgesetzten zu helfen und dabei eine Handlung auszuführen: z. B. Gutschein-Karten kaufen, Zugangsdaten wie Kennungen und Passwörter oder interne Kontaktdaten oder andere vertrauliche Informationen weitergeben, Überweisungen durchführen usw.

 

Hier finden Sie Informationen zu den Themen Social Engineering und CEO-Fraud:

Social Engineering – der Mensch als Schwachstelle: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html

Polizei NRW: https://polizei.nrw/artikel/ceo-fraud-hohes-betrugsrisiko-fuer-unternehmen

Schulungen zum Thema IT-Sicherheit und Informationssicherheit finden Sie hier:

E-Learning – Informationssicherheit am Arbeitsplatz: https://programm.huef-nrw.de/p/veranstaltungsprogramm/20-online-veranstaltungen/01-hochschule-fuer-einsteiger-innen/-digi-v-informationssicherheit-am-arbeitsplatz/e-learning-529-C-1152141

IT-Sicherheit – Gefahren erkennen und vermeiden: https://www.fernuni-hagen.de/uniintern/arbeitsthemen/fortbildung/interne-fortbildung/dv/3_2_it_sicherheit.shtml



Aufforderung zur Aktualisierung der Zoom App

Aufgrund von Sicherheitslücken in Zoom werden Nutzer*innen ab Mittwochnachmittag , 22.03.2023 (ab ca. 15:00 Uhr), beim nächsten Start der Zoom App aufgefordert, auf die neueste Version zu aktualisieren. Dies gilt sowohl für Personen mit einem Zoom-Konto der FernUni als auch für Personen, die als Gast an einem Zoom-Meeting der FernUni teilnehmen.

Weitere Informationen zur Sicherheitslücke erhalten Sie auf dieser Seite: https://www.heise.de/news/Webkonferenzen-Hochriskante-Luecken-in-Zoom-7547291.html



Warnung vor neuen Phishingmails mit Qakbot/Qbot Malware

Securitymeldung
Systemname: Mail

Aktuell verbreiten sich neue, schädliche Phisingmails, die sogenannte Qakbot/Qbot Malware enthalten. Die meisten schadhaften Mails werden zwar von unseren Sicherheitssystemen abgefangen, in Einzelfällen misslingt das allerdings, da diese Phishingmails zum Teil neue Methodiken verwenden, um bestehende Sicherungsmaßnahmen zu umgehen.

Wir bitten Sie daher, eingehende E-Mails besonders sorgfältig zu prüfen und vor allem vorsichtig zu sein vor dem Öffnen von Mail-Anhängen oder Anklicken von Links.

Wir geben Ihnen gerne ein paar Beispiele an denen Sie aber mittels verschiedener Prüfungen diesen Angriffsvektor besser erkennen können.

Merkmale dieser Phishingmails können sein:

  1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners.
  2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf oder Umlaute fehlen.
  3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer Datei aufgefordert.
  4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat.

Screenshot Qbot mit den oben erwähnten Erkennungsmerkmalen:1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners. Beispiel: Fernuni hagen oder Ihr eigener Name<RStei***@***kapkg.com> 2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf oder Umlaute fehlen. Beispiel: [Extern] Anmeldung zur Prfung 3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer Datei aufgefordert. Beispiel: Grüße, Hier können Sie eine Vereinbarung und Notizen finden: https://s***e.com/AD.php?OU***UNTS=8. 4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat. Beispiel: Sehr geehrte/r Studierende/r, Sie hatten sich zur Prfung Modul 3b angemeldet und eine Anmeldebesttigung erhalten [...]
(Abb: Beispielmail Qbot)
Bislang haben wir in sehr vielen untersuchten Fällen Hinweise gefunden, dass die Kommunikationspartner Opfer von Identitätsdiebstahl (Mailadresse + Passwort) geworden sind. In keinem der untersuchten Fälle gab es Hinweise, dass die Daten auf unserer Seite kompromittiert worden sind.

Durch folgende Merkmale ist die automatisierte Kategorisierung durch unsere Sicherheitssysteme nicht in allen Fällen zuverlässig möglich:

  • Betreff ist nicht einheitlich
  • Absende-Adressen sind meist unterschiedlich
  • Text ist nicht einheitlich
  • Malware wird teilweise als Anhang (verschlüsseltes ZIP-Archiv), teilweise auch mit Links zu Webseiten, von wo aus der Schadcode dann heruntergeladen wird, auch sind die jeweiligen Dateien randomisiert

An dieser Stelle sehen Sie einige Screenshots von schadhaften Dokumenten. Sollten Sie bereits zu diesem Punkt gelangt sein, stoppen Sie an dieser Stelle und wenden Sie sich sofort an den ZDI Helpdesk!

Eine Datei, die vorgibt Teil der Office 365 zu sein verleitet zum Herunterladen einer Datei (in diesem Fall eine OneNote-Datei)
(Abb: Beispielmail Qbot Office 365)
Eine Datei, die vorgibt Teil der Adobe Document Cloud zu sein verleitet zum Herunterladen einer passwortverschlüsselten Datei
(Abb: Beispielmail Qbot Adobe)

Falls Sie sich unsicher beim Öffnen von Mail sind, wenden Sie sich gerne schriftlich an den ZDI Helpdesk (helpdesk@fernuni-hagen.de) und leiten uns die Originalmail als Anhang weiter.

Informationen zur Angriffstaktik von Oktober 2022 finden Sie hier: Warnung vor Phishingmails mit Qakbot/Qbot Malware



Aufforderung zur Aktualisierung der Zoom App

Aufgrund von Sicherheitslücken in Zoom werden Nutzer*innen beim nächsten Start der Zoom App aufgefordert, auf die neueste Version zu aktualisieren. Dies gilt sowohl für Personen mit einem Zoom-Konto der FernUni als auch für Personen, die als Gast an einem Zoom-Meeting der FernUni teilnehmen.

Weitere Informationen zur Sicherheitslücke erhalten Sie auf dieser Seite: https://www.heise.de/news/Meeting-Client-Zoom-unter-Android-macOS-und-Windows-angreifbar-7453606.html



✓Abgeschlossen

Eingeschränkte Erreichbarkeit der Mailserver

Störungsbeginn: 18.12.2022 16:39 Uhr

Störungsende: 02.01.2023 12:00 Uhr

Securitymeldung
Systemname: Exchange-Server

Aufgrund eines aktuellen Angriffs auf unsere Systeme ist es unvermeidlich, das Mail-System für Mitarbeitende kurzfristig nur noch vom FernUni-Netz aus (auf dem Campus bzw. über VPN) zugänglich zu machen. Wenn Sie E-Mails mit dem Betreff „You have 2 new important messages from IT helpdesk“ erhalten, klicken Sie nicht auf die darin enthaltenen Links, hier wird versucht, Ihre FernUni-Zugangsdaten auszuspähen.

Bitte informieren Sie unbedingt das Helpdesk (helpdesk@fernuni-hagen.de; -4444), falls Sie versehentlich über den Link Ihre Zugangsdaten auf der dahinter liegenden Seite eingegeben haben sollten!

Weitere technische Informationen und Updates finden Sie an dieser Stelle.

Die Pressestelle informiert über diesen Vorfall in den folgenden Artikeln:

Aktuelle Infos für Beschäftigte – Eingeschränkte Erreichbarkeit der Mailserver

Aktuelle Infos für Beschäftigte – IT-Sicherheit: Achtung vor Phishing-Mails

Update 20.12.2022:

Durch die Umstellung sind aktuell neue Kalendereinträge in Microsoft Teams nicht sichtbar. Wir arbeiten gerade an der Behebung der Einschränkung.

Sie finden Ihre Kalendereinträge derzeit nur in Ihrem lokalen Mailclient (Outlook, Thunderbird, etc.) bzw. im OWA.

Update 21.12.2022:

Die Kalenderanbindung an Microsoft Teams funktioniert wieder.

Update 02.01.2023:

Das Mail-System für Mitarbeitende ist nun auch wieder ohne VPN erreichbar. Alle, die ihr VPN ausschließlich zur Verbindung mit ihrem E-Mail-Postfach nutzen, werden gebeten, die VPN-Verbindung wieder zu trennen.



Warnung vor Phishingmails mit Qakbot/Qbot Malware

Securitymeldung
Systemname: Mail

Aktuell verbreiten sich neue, schädliche Phisingmails, die sogenannte Qakbot/Qbot Malware enthalten. Die meisten schadhaften Mails werden zwar von unseren Sicherheitssystemen abgefangen, in Einzelfällen misslingt das allerdings, da diese Phishingmails zum Teil neue Methodiken verwenden, um bestehende Sicherungsmaßnahmen zu umgehen.

Wir bitten Sie daher, eingehende E-Mails besonders sorgfältig zu prüfen und vor allem vorsichtig zu sein vor dem Öffnen von Mail-Anhängen oder Anklicken von Links.

Wir geben Ihnen gerne ein paar Beispiele an denen Sie aber mittels verschiedener Prüfungen diesen Angriffsvektor besser erkennen können.

Merkmale dieser Phishingmails können sein:

  1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners.
  2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf.
  3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer verschlüsselten Datei aufgefordert.
  4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunikation mit der ursprünglichen Kontaktperson stattgefunden hat.
Screenshot Qbot mit den oben erwähnten Erkennungsmerkmalen:1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners. Beispiel: Fernuni hagen <nesenesrweook.iakbjlu@pantaujkn.com> 2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf. Beispiel: [Extern] Wichtige Hinwweisse zu den 3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer verschlüsselten Datei aufgefordert. Beispiel: Hi. Hier sind Dokumente für Ihre Filiale: https://fis***ios.ch/ia/mtcuu Dateikennwort BN*** 4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat. Beispiel: Liebe Studierende, auf diesem Wege informieren wir Sie, dass die Modulabschlussprfungen der Fakultt fr Wirtschaftswissenschaft im September – abhngig vom einzelnen Modul – entweder online oder in Prsenz durchgefhrt werden.
(Abb: Beispielmail Qbot – Klick um Bild in originaler Größe anzuzeigen)

Bislang haben wir in sehr vielen untersuchten Fällen Hinweise gefunden, dass die Kommunikationspartner Opfer von Identitätsdiebstahl (Mailadresse + Passwort) geworden sind. In keinem der untersuchten Fälle gab es Hinweise, dass die Daten auf unserer Seite kompromittiert worden sind.

Durch folgende Merkmale ist die automatisierte Kategorisierung durch unsere Sicherheitssysteme nicht in allen Fällen zuverlässig möglich:

  • Betreff ist nicht einheitlich
  • Absende-Adressen sind meist unterschiedlich
  • Text ist nicht einheitlich
  • Malware wird teilweise als Anhang (verschlüsseltes ZIP-Archiv), teilweise auch mit Links zu Webseiten, von wo aus der Schadcode dann heruntergeladen wird, auch sind die jeweiligen Dateien randomisiert

Falls Sie sich unsicher beim Öffnen von Mail sind, wenden Sie sich gerne schriftlich an den ZDI Helpdesk (helpdesk@fernuni-hagen.de) und leiten uns die Originalmail als Anhang weiter.



Jetzt updaten: Zero-Day-Fehler im Kernel von iOS und iPadOS wird ausgenutzt

Securitymeldung
Systemname: iPhone, iPad

iOS und iPadOS 16.1 beheben einen schwerwiegenden Kernel-Bug in den Betriebssystemen für iPhone und iPad. Derzeit gibt es noch keine Aussage darüber, ob die schwerwiegende Sicherheitslücke nur unter iOS/iPadOS 16.0 auftritt, oder auch ältere Betriebssystemversionen davon betroffen sind.

Wir bitten daher alle Nutzer*innen von mobilen Endgeräten des Herstellers Apple, zeitnah auf die aktuellste Version 16.1 zu aktualisieren.

Unter Einstellungen -> Allgemein -> Softwareupdate können Sie die neuste Version auswählen und installieren.

Falls Ihr Gerät die Version 16.1 nicht unterstützt, oder Sie allgemein Fragen zu dem Thema haben, kontaktieren Sie uns bitte per E-Mail an den Helpdesk (helpdesk@fernuni-hagen.de) mit dem Betreff „Sicherheitslücke iOS/iPadOS MDM“.

Weitere Informationen dazu finden Sie hier:

https://www.heise.de/news/Zero-Day-Fehler-im-Kernel-von-iOS-und-iPadOS-wird-ausgenutzt-7319500.html

 



Jetzt updaten: Apple warnt vor Sicherheitslücken – Mac, iPhone und iPad betroffen

Securitymeldung
Systemname: iPhones, iPads, Macs

Apple hat am vergangenden Mittwoch außerplanmäßig Sicherheitsupdates für Mac, iPhone und iPad bereitgestellt.

Das Softwareupdate schließt hierbei Sicherheitlücken, die nach Angaben des Unternehmens bereits aktiv ausgenutzt worden sein sollen.

Um die bekannten Sicherheitslücken auszunutzen reicht es nach aktuellen Informationen bereits eine manipulierte Webseite aufzurufen, um auf dem Gerät Schadcode auszuführen und dadurch zu übernehmen.

Bitte prüfen Sie daher Ihre Apple-Geräte dingend auf ausstehende Updates und installieren Sie diese schnellstmöglich.

Die aktuellen Betriebssystem-Versionen sind iOS 15.6.1 beim iPhone und iPadOS 15.6.1 bei den iPads sowie MacOS Monterey 12.5.1 bei Macs.

Für die Beriebssysteme MacOS BigSur und Catalina stellt Apple Sicherheitsupdates für Safari bereit.

Weitere Informationen beim Hersteller finden Sie hier:

Oder auf heise online:



Adobe schließt kritische Sicherheitslücken

Adobe empfiehlt Anwendern, Updates zügig einzuspielen, um nicht Opfer von Angriffen mit Malware zu werden.

Betroffen sind z.B. Adobe Acrobat und Reader, Photoshop, RoboHelp und Character Animator.

Wir empfehlen Ihnen daher dringend Ihre installierten Adobe-Anwendungen zu aktualisieren.

Dies können Sie lokal durchführen: Öffnen von Creative Cloud Desktop ->  Applikationen -> Alle Applikationen. In der Liste der von Ihnen installierten Anwendungen finden Sie die Update-Möglichkeiten.