Security

Eine Phishing E-Mail mit obigem Subject verweist auf eine gute Fälschung von mail.rwth-aachen.de.

Bitte nicht klicken, wir monitoren das.

Heute Nacht gab es eine Phishing E-Mail mit dem Datum von heute bzw. gestern im Subject.

Bitte bei dem Link in dieser E-Mail keine Zugangsdaten eingeben.

Das Muster ist immer dasselbe:

a) es wird Druck aufgebaut, etwas SOFORT zu erledigen.
b) der Absender ist falsch.

Das sind typische Kennzeichen für eine Phishing E-Mail.

ganz aktuell kommt eine neue Phishing E-Mail herein, Subject: "Aktion erforderlich" (Datum von heute)

Some records have been added to the local RWTH response policy zone with "passthru" policy - so just logging but not blocking DNS requestst to known bad domains.

In dem Zeitraum wird das Routing der bisherigen XWiN-Router (Nexus 7700) auf die neuen XWiN-Router (Catalyst 9600) umgestellt. Diese Router sind für die Netzverbindung der RWTH unerlässlich. Für diese Umstellung ist auch die Migration der DFN-Anbindung, welche redundant nach Frankfurt und Hannover geschaltet sind, sowie der RWTH-Firewall auf die neuen System erforderlich.
Innerhalb des Wartungsfensters wird es zu Ausfällen oder Teilausfällen der Außenanbindung kommen. Alle Services der RWTH (bspw. VPN, Email, RWTHonline, RWTHmoodle) werden innerhalb dieses Zeitraums nicht zur Verfügung zu stehen. Die Erreichbarkeit von Services innerhalb des RWTH-Netzes ist aufgrund eingeschränkter DNS-Funktionalität zeitweise nicht gegeben.
---english---

Der Uplink nach Frankfurt wurde erfolgreich auf das neue System geschwenkt.

Umbau des Uplinks nach Hannover beginnt.

Uplink nach Hannover auf das neue System umgezogen.

BGP v4/v6 nach Frankfurt und Hannover sind nun über die neue Routern funktional.

Es stehen noch ein paar kleinere Nacharbeiten an.

Wartung ist abgeschlossen. Der Datenverkehr läuft nun vollständig über die neuen Router!

Problematik mit der Anbindung zur Physik identifiziert, Lösung erfolgt morgen früh.

Der DFN Zeitstempeldienst ist im Moment zeitweise nicht erreichbar. Infolge dessen ist die digitale Signatur nicht wie gewohnt nutzbar.
Wir arbeiten bereits an der Lösung des Problems.
---English---

DFN Zeitstempeldienst funktioniert wieder

Wir beobachten derzeit eine neue Welle von Phishing-Angriffen. Diesmal geht es speziell um CEO Fraud:
https:
polizei.nrw/artikel/ceo-fraud-hohes-betrugsrisiko-fuer-unternehmen
Dabei wird der Name des Vorgesetzten als Absender angezeigt. Die tatsächlich verwendete Email Adresse ist allerdings falsch und es wird oft eine generische Email Adresse der Form office12345@gmail.com oder so ähnlich verwendet. Daher sollte unbedingt die tatsächliche Email Adresse des Absenders geprüft werden.
Wir bitten um Vorsicht. Bei Erhalt dieser E-Mails antworten Sie bitte nicht auf die Email und übersenden auch keine Gutscheinkarten oder Geld. Melden Sie die Email (per Anhang) an servicedesk@itc.rwth-aachen.de und zusätzlich an spam@access.ironport.com in Cc.
Mehr Informationen zum Thema E-Mail Phishing finden Sie hier:
https:
help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/44343c9765a44f1cad23f0c4cd75f856/#Phishing-Mails
---english version---

Im Zuge einer Modernisierung der eingesetzten Vulnerability-Management-Lösungen ist die Lizenz der alten Appliance wie geplant ausgelaufen. Die auf [0] angezeigten Reports spiegel demzufolge nicht den aktuellen status quo wieder. Über ein neues Portal, welches die Daten des neuen Scanners wiedergibt, wird über die üblichen Wege (u.a. E-Mail-Verteiler zur Admin-Runde) demnächst informiert.
---english---

Aufgrund einer Störung des DNS liefern die Nameserver verschiedener Provider aktuell keine IP-Adresse für Hosts unter *.rwth-aachen.de zurück.
Als Workaround können Sie alternative DNS-Server in Ihren Verbindungseinstellungen hinterlegen, wie z.B. die Level3-Nameserver (4.2.2.2 und 4.2.2.1) oder von Comodo (8.26.56.26 und 8.20.247.20). Ggf ist es auch möglich den VPN-Server der RWTH zu erreichen, dann nutzen Sie bitte VPN.

Anleitungen zur Konfiguration eines alternativen DNS-Server unter Windows finden Sie über die folgenden Links: https: www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https: www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html Als Alternative können Sie auch VPN nutzen. Wenn Sie den VPN-Server nicht erreichen, können Sie nach der folgenden Anleitung die Host-Datei unter Windows anpassen. Dadurch kann der Server vpn.rwth-aachen.de erreicht werden. Dazu muss der folgenden Eintrag hinzugefügt werden: 134.130.5.231 vpn.rwth-aachen.de https: www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/

Die Host der RWTH Aachen sind nun wieder auch von ausserhalb des RWTH Netzwerkes erreichbar.

Auch nach der Störungsbehebung am 25.8. um 21 Uhr kann es bei einzelnen Nutzer*innen zu Problemen gekommen sein. Am 26.8. um 9 Uhr wurden alle Nacharbeiten abgeschlossen, sodass es zu keinen weiteren Problemen kommen sollte.

wegen einer Wartung des Systems noc-portal werden einige unserer Webdienste zum Steuern der Internet Basisdienste kurzzeitig im Wartungszeitraum nicht zur Verfügung stehen.
Unter anderem sind betroffen:
* DNS-Admin
* DHCP- Admin
* RADIUS-Admin
* Interface-Admin
* Firewall-Admin & -Formular
* WLAN Gastaccounts (anlegen)

Wir beobachten derzeit eine neue Welle von Phishing-Angriffen. Diesmal ist vor allem folgender Betreff auffällig:
"Payment Advice - Ref: [HSBC107741] / RFQ Priority Payment / Customer Ref: [PI10774QT44]" oder ähnlich.
Wir bitten um Vorsicht. Bei Erhalt dieser E-Mails klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de und zusätzlich an spam@access.ironport.com in Cc.
Mehr Informationen zum Thema E-Mail Phishing finden Sie hier:
https:
help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/ab86b235c4f5426facd675d623a0365b/
https:
help.itc.rwth-aachen.de/service/1jefzdccuvuch/8e226a36638741ddacac573faa95a0e3/faq/#f2b3552a3e6f49d9be25a1ed9ad2ebe7
---english version---

Wir beobachten derzeit eine neue Welle von Phishing-Angriffen. Diesmal sind vor allem folgende Betreffe auffällig: "Paskyra
pasenusi" und "Kontingentinformationen".
Bei Erhalt dieser E-Mails klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de.
---english version---

Die Welle hält an: aktueller Betreff: "Ihr E-Mail-Kontingent ist erschöpft" --- In English --- current Subject: "Ihr E-Mail-Kontingent ist erschöpft"

Die Welle hält an: aktueller Betreff: "E-Mail-Kontingent voll" --- In English ---

Aktuell sehen wir keine Phishing Emails mit diesen Betreffen mehr. --- In English ---

Wir beobachten derzeit eine Welle von Phishing-Angriffen verschiedener Art.
Besonders auffällig sind die E-Mails mit dem Betreff "?? Vo­i­‏‏ce ‏‏­Ma­‏‏i­l (00:19­sec­s­)".
Bei Erhalt dieser E-Mail klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de.
---english version---

Es finden weiterhin gehäuft Phishing-Angriffe statt. Auffällig sind aktuell Phishing-Mails mit dem Betreff "WICHTIG: E-Mail-Benachrichtigung der Universität Würzburg". Gegebenenfalls wird diese Mail auch in einer abgewandelten Version und/oder in Englisch verschickt. --English Version--

Die Warnungsmeldung wird beendet, da die akuten Phishing-Fälle in Summe abgenommen haben. Es werden jedoch weiterhin Phishing-Mails versendet. Bitte achten Sie deshalb auch künftig auf verdächtige E-Mails und klicken Sie nicht auf enthaltene Links. --English Version--

Wir sehen gerade eine hohe Anzahl verschlüsselter Anhänge hereinkommen.
Muster des Dateinamens: "Zahl"-BST-SH.zip
Wir gehen von Malware aus

Ein weiteres Muster taucht auf: DOC"Zahl"-"längere Zahl".zip

Heute ist das Muster TCR"Zahl".zip, Zahl ist vierstellig

Wir sehen seit ca. 13:00 E-Mails mit Anhängen in Form verschlüsselter ZIP Files.
Die Filenamen haben das Muster "in_lange Zahl".
Wir gehen von einer Malware Attacke aus.