Deutsches Elektronen-Synchrotron DESY
Ein Forschungszentrum der Helmholtz-Gemeinschaft

IT

Maßnahmen nach Phishing-Vorfall

Sollten Ihre Anmeldedaten eines DESY-Accounts in die Hände Dritter gelangt sein (zum Beispiel durch einen erfolgreichen Phishing-Vorfall), ergreifen Sie bitte umgehend die folgenden Sicherheitsmaßnahmen und informieren das UCO (uco@desy.de, Tel 5005):

  1. Ändern Sie Ihr Passwort via https://passwd.desy.de; sollten Sie auf weiteren Diensten (z.B. DOOR oder Sympa) oder anderen Instituten separate Zugänge haben und dort dasselbe Passwort verwenden, ändern Sie auch auf diesen Systemen umgehend Ihr Passwort!
  2. Erstellen Sie einen neuen zweiten Faktor (TOTP Token) via https://passwd.desy.de -> "Self Service Setting"
  3. Sofern Sie ein sog. App Token verwenden, um von einem Smartphone oder einem Mail-Programm via IMAP oder "Exchange Active Sync" (EAS) auf den Mailserver zuzugreifen, prüfen Sie bitte, ob es Auffälligkeiten in Ihren App Tokens gibt und ziehen Sie auffällige App Tokens zurück:
    https://it.desy.de/dienste/mfa/e_mail_programme
  4. Insbesondere bei Windows-Geräten sollte ein expliziter Virenscan des Gerätes vorgenommen werden. Auf DESY Geräten kommt Trellix zum Einsatz. Klicken Sie hierzu auf das Trellix-Symbol in der Windows Taskleiste in der rechten unteren Ecke  Dort auf "Trellix Endpoint Security" und im neuen Fenster anschließend auf "System scannen". Nehmen Sie hier einen vollständigen Scan vor.
  5. Bitte lassen Sie uns außerdem den Rechnernamen wissen, auf dem der Phishing-Vorfall stattgefunden hat und leiten uns die Phishing-E-Mail als Anhang für weitergehende Analysen bitte weiter.
  6. Überprüfen Sie alle Einstellungen Ihres Zimbra-Kontos. Insbesondere folgende Einstellungen werden oft manipuliert:
    - Weiterleitungen nach aussen
    - Filterregeln
    - Mail-Signaturen
    - Mail-Personas
    - Reply-To-Einstellungen
    - Notification-Adresse
    - Kontakte
    - Option: Speichern im Sent-Ordner
     

Sobald dem UCO ein Phishing-Vorfall zur Kenntnis gegeben wird, werden umgehend folgende Personenkreise durch das UCO informiert:

  1. D4 (IT-Sicherheit/Datenschutz). D4 kann Maßnahmen ergreifen, um sicherzustellen, dass keine auffälligen Aktivitäten mit Ihrem Account in unserer Infrastruktur zu verzeichnen sind.
  2. Die Mailmaster. Diese unterbrechen aktive Verbindungen zum Mailserver und stellen damit sicher, dass bestehende Verbindungen seitens potentieller Angreifer abgebrochen werden. D.h. bestehende Verbindungen mit Ihrem Account werden in Kürze kurz unterbrochen und müssen anschließend wiederhergestellt werden.
  3. Ihre Gruppen-Admins. Diese sollten die o.g. Maßnahmen begleiten.
     

Bitte beachten Sie in diesem Zusammenhang auch die Hinweise von D4 und des Rechnersicherheitsrates (RSR). Diese finden Sie auf der folgenden Webseite:
https://rechnersicherheit.desy.de/themen/vorgehen_bei_phishing

Sollten Sie Fragen haben, wenden Sie sich bitte an das UCO (Tel: 5005, E-Mail: uco@desy.de) oder D4 (d4@desy.de).

 

App Tokens widerrufen

Um ein App Token bei Bedarf zurückzuziehen, gehen Sie wiefolgt vor:

  1. Melden Sie sich an https://mail.desy.de an.
  2. Navigieren Sie zum Reiter "Einstellungen" und klicken links im Menü auf "Accounts"
  3. Im Mittleren Bereich sehen Sie nun eine Liste Ihrer App Tokens, wann diese erstellt und wann zuletzt verwendet wurden. Sollten Ihnen hier Tokens angezeigt werden, die Ihnen nicht bekannt vorkommen oder zu einem auffälligen Zeitpunkt erstellt oder verwendet wurden, markieren Sie den jeweiligen Token und klicken unten auf den Button "Code zurückziehen"

 

Logo der Helmholtz Gemeinschaft

© 2020, Deutsches Elektronen-Synchrotron DESY