Re: Phishing-Attacke "UPDATE YOUR EMAIL"
Johann Klasek - swap last two domainparts
mehrere Gruppen:
Johann Klasek - swap last two domainparts <klasek...@zid.tuwien.at.ac> wrote:
> Liebe TUNET-User!
>
> Kurz nach Mitternacht des 25.2.2009 ist eine Welle von einigen hundert
> Phishing Mails (bei weitem nicht an alle der TU) der folgenden Gestalt
> die TU Wien erreicht:
>
> ---------------------- ><8 ----------------------------------------
> UPDATE YOUR EMAIL
>
> From: TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER
> <webm...@tuwien.ac.at>
> Date: Mittwoch, 25. Februar 2009 00:16
> Subject: UPDATE YOUR EMAIL
> Reply-To: "TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER"
> <update-tu...@live.com
>
> Dear TU WIEN Webmail Owner,
> This message is from TU WIEN University Communication Messaging center
> to all TU WIEN Email owners.We
> are currently upgrading our data base and e-mail center.We are deleting
> all unused TU WIEN Webmail to
> create more space for new one.To prevent your account from closing you
> will have to update it below so
> that we will know that it's a present used account.
> CONFIRM YOUR EMAIL BELOW
> Email Address......
> Benutzername.....
> Passwort...............
> Email-Server...
> Date of Birth : .................
> Country or Territory : ..........
> Warning!!! Email owner that refuses to update his or her
> Email,within Seven days of receiving this warning will lose his or her
> Email permanently.
> Thanks,
> TU WIEN Team
> ---------------------- ><8 ----------------------------------------
>
> Eine Fälschung?
>
> Natürlich eine plumpe Fälschung.
> Ein so offensichtlich neugieriges Abfragebegehren zu Daten, die der
> vorgegebenen Versenden eigentlich wissen müsste, in englischer Sprache,
> wo doch offizielle Aussendungen jedenfalls deutsch erfolgen. Eine Reply-
> To Adresse an eine nicht tuwien.ac.at Adresse, dubiose
> Organisationseinheitenbezeichnungen ... Indizien die keine Zweifel
> aufkommen lassen sollte (ohne das man den E-Mail-Header näher zu rate
> ziehen muss).
> Weiters muss klar sein, das der ZID, aber auch kein anderer
> Dienstleister der TU Wien Passwörter - noch dazu im Klartext - per E-
> Mail versendet bzw. dessen Übermittlung auf diesem Wege erwartet.
>
>
> Warum keine Spam-Markierung?
>
> Phishing Mails sind in ihrer Machart nicht prinzipiell eine typisch als
> Spam zu bewertende Mail. Da deren Aufgabe ist, legale Mails zu
> imitieren, ist ganau da zu erwarten, das keine Markierung vorliegt. Wenn
> dies dann doch geschieht, dann liegt es nur daran, dass wir auf den
> Mailservern als Notmaßnahme das Spam-Markierungssystem auf konkrete
> Merkmale adjustieren. Da sowas in der Regel immer im Nachhinein
> passiert, ist der Nutzen für die aktuelle Schwemme leider nur sehr
> beschränkt (für zukünftige Wellen dieser Machart auch eher schwer
> erratbar).
>
> Was kann man dagegen tun?
>
> Gegen das Fälschen von E-Mail-Inhalten ist man generell eher machtlos.
> Hier hilft der Gesund Hausverstand (der hoffentlich nicht nur beim
> Wandeln in bekannten Handelsketten auf den Plan tritt ;) ).
> Folgende Maßnahmen sind aber zusätzlich geplant oder im Laufen:
>
> - Die Absender Adresse ist gesperrt worden (die Envelope
> Absenderadresse ist freilich gefälscht, war aber immer gleich).
>
> - Von außerhalb der TU Wien ankommende Mails mit webmaster@tuwien als
> Envelope-Absender (nicht das From:, das man im Mailclient sieht) sind
> seit jeher wegen Missbrauchsvermeidung gesperrt (diese traten nur
> vereinzelt in diesem Fall auf, weil im konkreten Fall die Envelope-
> Absenderadresse eine andere war, als die From:-Adresse - beide
> gefälscht).
>
> - Die Spam-Markierungsregeln sind angepasst worden, damit möglichst
> ähnliche Varianten in Zukunft zumindest auf diese Art aus dem
> Verkehr gezogen werden.
>
> - Abgehende Mails (falls jemand via mr.tuwien.ac.at seine Mails absendet)
> an die Sammelmailadresse werden unterbunden. Da abgehende Mails
> nicht zentral die TU Wien verlassen bzw. Mails auch außerhalb gelesen und
> versendet werden, ist das nur eine sehr schwache Maßnahme.
>
> - Informationen an Benutzer (beim Webmail-Login, News-Posting,
> E-Mail an Account-Inhaber).
>
>
>
> Johann Klasek
> Mailservices TU Wien
>
>
--
Johann E. Klasek Zentraler Informatikdienst - Kommunikation
Technische Universität Wien Tel: +43 1 58801-42049
A-1040 Wien, Wiedner Hauptstr. 8-10/020C Fax: +43 1 58801-42099
http://pgpkeys.tuwien.ac.at/ PGP Key jklasek
stermen
FREE USPS PRIORITY MAIL! BONUS SOFTWARE! CASHBACK!
Click to go
HELLO ALL AND WELCOME TO OUR BUY IT NOW FOR A BRAND NEW, 100% AUTHENTIC AND
SEALED APPLE IPOD TOUCH! ,
8GB MODEL!! This is the latest and greatest from Apple and the 2ND
Generation of this wonderful iPod!
As well, this is eligible for live.com's cashback. You can get this iPod for
about $186!
Please email us if you need assistance on getting the cashback rebate.
Click to go
"Johann Klasek - swap last two domainparts" <klasek...@zid.tuwien.at.ac>
ha scritto nel messaggio
news:49a50a51$0$11868$3b21...@tunews.univie.ac.at...
>> Eine F�lschung?
>>
>> Nat�rlich eine plumpe F�lschung.
>> Ein so offensichtlich neugieriges Abfragebegehren zu Daten, die der
>> vorgegebenen Versenden eigentlich wissen m�sste, in englischer Sprache,
>> wo doch offizielle Aussendungen jedenfalls deutsch erfolgen. Eine Reply-
>> To Adresse an eine nicht tuwien.ac.at Adresse, dubiose
>> Organisationseinheitenbezeichnungen ... Indizien die keine Zweifel
>> aufkommen lassen sollte (ohne das man den E-Mail-Header n�her zu rate
>> ziehen muss).
>> Weiters muss klar sein, das der ZID, aber auch kein anderer
>> Dienstleister der TU Wien Passw�rter - noch dazu im Klartext - per E-
>> Mail versendet bzw. dessen �bermittlung auf diesem Wege erwartet.
>>
>>
>> Warum keine Spam-Markierung?
>>
>> Phishing Mails sind in ihrer Machart nicht prinzipiell eine typisch als
>> Spam zu bewertende Mail. Da deren Aufgabe ist, legale Mails zu
>> imitieren, ist ganau da zu erwarten, das keine Markierung vorliegt. Wenn
>> dies dann doch geschieht, dann liegt es nur daran, dass wir auf den
>> Mailservern als Notma�nahme das Spam-Markierungssystem auf konkrete
>> Merkmale adjustieren. Da sowas in der Regel immer im Nachhinein
>> passiert, ist der Nutzen f�r die aktuelle Schwemme leider nur sehr
>> beschr�nkt (f�r zuk�nftige Wellen dieser Machart auch eher schwer
>> erratbar).
>>
>> Was kann man dagegen tun?
>>
>> Gegen das F�lschen von E-Mail-Inhalten ist man generell eher machtlos.
>> Hier hilft der Gesund Hausverstand (der hoffentlich nicht nur beim
>> Wandeln in bekannten Handelsketten auf den Plan tritt ;) ).
>> Folgende Ma�nahmen sind aber zus�tzlich geplant oder im Laufen:
>>
>> - Die Absender Adresse ist gesperrt worden (die Envelope
>> Absenderadresse ist freilich gef�lscht, war aber immer gleich).
>>
>> - Von au�erhalb der TU Wien ankommende Mails mit webmaster@tuwien als
>> Envelope-Absender (nicht das From:, das man im Mailclient sieht) sind
>> seit jeher wegen Missbrauchsvermeidung gesperrt (diese traten nur
>> vereinzelt in diesem Fall auf, weil im konkreten Fall die Envelope-
>> Absenderadresse eine andere war, als die From:-Adresse - beide
>> gef�lscht).
>>
>> - Die Spam-Markierungsregeln sind angepasst worden, damit m�glichst
>> �hnliche Varianten in Zukunft zumindest auf diese Art aus dem
>> Verkehr gezogen werden.
>>
>> - Abgehende Mails (falls jemand via mr.tuwien.ac.at seine Mails
>> absendet)
>> an die Sammelmailadresse werden unterbunden. Da abgehende Mails
>> nicht zentral die TU Wien verlassen bzw. Mails auch au�erhalb gelesen
>> und
>> versendet werden, ist das nur eine sehr schwache Ma�nahme.
>>
>> - Informationen an Benutzer (beim Webmail-Login, News-Posting,
>> E-Mail an Account-Inhaber).
>>
>>
>>
>> Johann Klasek
>> Mailservices TU Wien
>>
>>
>
> --
> Johann E. Klasek Zentraler Informatikdienst - Kommunikation
> Technische Universit�t Wien Tel: +43 1 58801-42049