Re: Phishing-Attacke "UPDATE YOUR EMAIL"

[Johann Klasek - swap last two domainparts]

Repost zur Information und erweiterten Verbreitung als Crosspost in
mehrere Gruppen:

Johann Klasek - swap last two domainparts <klasek...@zid.tuwien.at.ac> wrote:
> Liebe TUNET-User!
>
> Kurz nach Mitternacht des 25.2.2009 ist eine Welle von einigen hundert
> Phishing Mails (bei weitem nicht an alle der TU) der folgenden Gestalt
> die TU Wien erreicht:
>
> ---------------------- ><8 ----------------------------------------
> UPDATE YOUR EMAIL
>
> From: TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER
> <webm...@tuwien.ac.at>
> Date: Mittwoch, 25. Februar 2009 00:16
> Subject: UPDATE YOUR EMAIL
> Reply-To: "TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER"
> <update-tu...@live.com
>
> Dear TU WIEN Webmail Owner,
> This message is from TU WIEN University Communication Messaging center
> to all TU WIEN Email owners.We
> are currently upgrading our data base and e-mail center.We are deleting
> all unused TU WIEN Webmail to
> create more space for new one.To prevent your account from closing you
> will have to update it below so
> that we will know that it's a present used account.
> CONFIRM YOUR EMAIL BELOW
> Email Address......
> Benutzername.....
> Passwort...............
> Email-Server...
> Date of Birth : .................
> Country or Territory : ..........
> Warning!!! Email owner that refuses to update his or her
> Email,within Seven days of receiving this warning will lose his or her
> Email permanently.
> Thanks,
> TU WIEN Team
> ---------------------- ><8 ----------------------------------------
>
> Eine Fälschung?
>
> Natürlich eine plumpe Fälschung.
> Ein so offensichtlich neugieriges Abfragebegehren zu Daten, die der
> vorgegebenen Versenden eigentlich wissen müsste, in englischer Sprache,
> wo doch offizielle Aussendungen jedenfalls deutsch erfolgen. Eine Reply-
> To Adresse an eine nicht tuwien.ac.at Adresse, dubiose
> Organisationseinheitenbezeichnungen ... Indizien die keine Zweifel
> aufkommen lassen sollte (ohne das man den E-Mail-Header näher zu rate
> ziehen muss).
> Weiters muss klar sein, das der ZID, aber auch kein anderer
> Dienstleister der TU Wien Passwörter - noch dazu im Klartext - per E-
> Mail versendet bzw. dessen Übermittlung auf diesem Wege erwartet.
>
>
> Warum keine Spam-Markierung?
>
> Phishing Mails sind in ihrer Machart nicht prinzipiell eine typisch als
> Spam zu bewertende Mail. Da deren Aufgabe ist, legale Mails zu
> imitieren, ist ganau da zu erwarten, das keine Markierung vorliegt. Wenn
> dies dann doch geschieht, dann liegt es nur daran, dass wir auf den
> Mailservern als Notmaßnahme das Spam-Markierungssystem auf konkrete
> Merkmale adjustieren. Da sowas in der Regel immer im Nachhinein
> passiert, ist der Nutzen für die aktuelle Schwemme leider nur sehr
> beschränkt (für zukünftige Wellen dieser Machart auch eher schwer
> erratbar).
>
> Was kann man dagegen tun?
>
> Gegen das Fälschen von E-Mail-Inhalten ist man generell eher machtlos.
> Hier hilft der Gesund Hausverstand (der hoffentlich nicht nur beim
> Wandeln in bekannten Handelsketten auf den Plan tritt ;) ).
> Folgende Maßnahmen sind aber zusätzlich geplant oder im Laufen:
>
> - Die Absender Adresse ist gesperrt worden (die Envelope
> Absenderadresse ist freilich gefälscht, war aber immer gleich).
>
> - Von außerhalb der TU Wien ankommende Mails mit webmaster@tuwien als
> Envelope-Absender (nicht das From:, das man im Mailclient sieht) sind
> seit jeher wegen Missbrauchsvermeidung gesperrt (diese traten nur
> vereinzelt in diesem Fall auf, weil im konkreten Fall die Envelope-
> Absenderadresse eine andere war, als die From:-Adresse - beide
> gefälscht).
>
> - Die Spam-Markierungsregeln sind angepasst worden, damit möglichst
> ähnliche Varianten in Zukunft zumindest auf diese Art aus dem
> Verkehr gezogen werden.
>
> - Abgehende Mails (falls jemand via mr.tuwien.ac.at seine Mails absendet)
> an die Sammelmailadresse werden unterbunden. Da abgehende Mails
> nicht zentral die TU Wien verlassen bzw. Mails auch außerhalb gelesen und
> versendet werden, ist das nur eine sehr schwache Maßnahme.
>
> - Informationen an Benutzer (beim Webmail-Login, News-Posting,
> E-Mail an Account-Inhaber).
>
>
>
> Johann Klasek
> Mailservices TU Wien
>
>

--
Johann E. Klasek Zentraler Informatikdienst - Kommunikation
Technische Universität Wien Tel: +43 1 58801-42049
A-1040 Wien, Wiedner Hauptstr. 8-10/020C Fax: +43 1 58801-42099
http://pgpkeys.tuwien.ac.at/ PGP Key jklasek