Phishing-Attacke "UPDATE YOUR EMAIL"
Johann Klasek - swap last two domainparts
Kurz nach Mitternacht des 25.2.2009 ist eine Welle von einigen hundert
Phishing Mails (bei weitem nicht an alle der TU) der folgenden Gestalt
die TU Wien erreicht:
---------------------- ><8 ----------------------------------------
UPDATE YOUR EMAIL
From: TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER
<webm...@tuwien.ac.at>
Date: Mittwoch, 25. Februar 2009 00:16
Subject: UPDATE YOUR EMAIL
Reply-To: "TU WIEN UNIVERSITY COMMUNICATION MESSAGING CENTER"
<update-tu...@live.com
Dear TU WIEN Webmail Owner,
This message is from TU WIEN University Communication Messaging center
to all TU WIEN Email owners.We
are currently upgrading our data base and e-mail center.We are deleting
all unused TU WIEN Webmail to
create more space for new one.To prevent your account from closing you
will have to update it below so
that we will know that it's a present used account.
CONFIRM YOUR EMAIL BELOW
Email Address......
Benutzername.....
Passwort...............
Email-Server...
Date of Birth : .................
Country or Territory : ..........
Warning!!! Email owner that refuses to update his or her
Email,within Seven days of receiving this warning will lose his or her
Email permanently.
Thanks,
TU WIEN Team
---------------------- ><8 ----------------------------------------
Eine Fälschung?
Natürlich eine plumpe Fälschung.
Ein so offensichtlich neugieriges Abfragebegehren zu Daten, die der
vorgegebenen Versenden eigentlich wissen müsste, in englischer Sprache,
wo doch offizielle Aussendungen jedenfalls deutsch erfolgen. Eine Reply-
To Adresse an eine nicht tuwien.ac.at Adresse, dubiose
Organisationseinheitenbezeichnungen ... Indizien die keine Zweifel
aufkommen lassen sollte (ohne das man den E-Mail-Header näher zu rate
ziehen muss).
Weiters muss klar sein, das der ZID, aber auch kein anderer
Dienstleister der TU Wien Passwörter - noch dazu im Klartext - per E-
Mail versendet bzw. dessen Übermittlung auf diesem Wege erwartet.
Warum keine Spam-Markierung?
Phishing Mails sind in ihrer Machart nicht prinzipiell eine typisch als
Spam zu bewertende Mail. Da deren Aufgabe ist, legale Mails zu
imitieren, ist ganau da zu erwarten, das keine Markierung vorliegt. Wenn
dies dann doch geschieht, dann liegt es nur daran, dass wir auf den
Mailservern als Notmaßnahme das Spam-Markierungssystem auf konkrete
Merkmale adjustieren. Da sowas in der Regel immer im Nachhinein
passiert, ist der Nutzen für die aktuelle Schwemme leider nur sehr
beschränkt (für zukünftige Wellen dieser Machart auch eher schwer
erratbar).
Was kann man dagegen tun?
Gegen das Fälschen von E-Mail-Inhalten ist man generell eher machtlos.
Hier hilft der Gesund Hausverstand (der hoffentlich nicht nur beim
Wandeln in bekannten Handelsketten auf den Plan tritt ;) ).
Folgende Maßnahmen sind aber zusätzlich geplant oder im Laufen:
- Die Absender Adresse ist gesperrt worden (die Envelope
Absenderadresse ist freilich gefälscht, war aber immer gleich).
- Von außerhalb der TU Wien ankommende Mails mit webmaster@tuwien als
Envelope-Absender (nicht das From:, das man im Mailclient sieht) sind
seit jeher wegen Missbrauchsvermeidung gesperrt (diese traten nur
vereinzelt in diesem Fall auf, weil im konkreten Fall die Envelope-
Absenderadresse eine andere war, als die From:-Adresse - beide
gefälscht).
- Die Spam-Markierungsregeln sind angepasst worden, damit möglichst
ähnliche Varianten in Zukunft zumindest auf diese Art aus dem
Verkehr gezogen werden.
- Abgehende Mails (falls jemand via mr.tuwien.ac.at seine Mails absendet)
an die Sammelmailadresse werden unterbunden. Da abgehende Mails
nicht zentral die TU Wien verlassen bzw. Mails auch außerhalb gelesen und
versendet werden, ist das nur eine sehr schwache Maßnahme.
- Informationen an Benutzer (beim Webmail-Login, News-Posting,
E-Mail an Account-Inhaber).
Johann Klasek
Mailservices TU Wien
--
Johann E. Klasek Zentraler Informatikdienst - Kommunikation
Technische Universität Wien Tel: +43 1 58801-42049
A-1040 Wien, Wiedner Hauptstr. 8-10/020C Fax: +43 1 58801-42099
http://pgpkeys.tuwien.ac.at/ PGP Key jklasek
Johann Klasek - swap last two domainparts
mehrere Gruppen: