Vorsicht Phishing: Kriminelle fischen nach Zugangsdaten

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Über cyon

Aktualisiert am 26. Aug. 2022

Seit Sommer 2019 sind Schweizer Domain- und Website-Besitzer*innen vermehrt im Visier von Kriminellen. Mithilfe von sogenannten Phishing-E-Mails versuchen die Angreifer an Zugangs- und Kreditkartendaten zu gelangen. Wir möchten dir zeigen, woran du solche betrügerischen E-Mails erkennst, wenn sie es trotz aller Massnahmen in dein Postfach schaffen.

Titelbild «Vorsicht Phishing: Kriminelle fischen nach Zugangsdaten»

Phishing bleibt ein Katz-und-Maus-Spiel

Wir unternehmen einiges, damit du erst gar nicht Phishing-E-Mails in deiner Inbox findest. Doch auch die Angreifer entwickeln ihre Vorgehenweise ständig weiter und so ist das erfolgreiche Abwehren ein Katz-und-Maus-Spiel. Und wird das wohl auch in Zukunft bleiben.

So gelingt es uns einmal besser und ein anderes Mal schlechter, die häufigen Phishing-Attacken abzuwehren oder zumindest im Keim zu ersticken. Im Idealfall bekommst du von einer Attacke erst gar nichts mit, weil wir die E-Mails bereits erfolgreich abwehren konnten.

Phishing boomt weiterhin

Was 2019 in der Schweizer Hosting-Branche noch ein eher neues Phänomen war, gehört unterdessen auch bei uns zu den alltäglichen Themen der unangenehmen Sorte. Das zeigen auch die aktuellen Statistiken des GovCERT, dem Computer Emergency Response Team des Bundes:

Auch beim Nationalen Zentrum für Cybersicherheit (NCSC) bleibt das Thema Phishing aktuell. Das Ergaunern von Zugangs- & Kreditkarten-Daten ist in der Hosting-Branche besonders lukrativ: Zum einen sind potentielle Opfer relativ einfach auszumachen. Die Verbindung von Domain und Registrar und von Websites und Hosting-Anbietern sind öffentliche Informationen, die die Angreifer mit Scripts und geeigneter Software abgrasen. Wir gehen ausserdem davon aus, dass «Phishing-Baukästen» und Datensätze im Untergrund gehandelt werden.

Zum anderen können die Angreifer mit ergaunerten Webhosting-Zugangsdaten neue Phishing-Seiten online stellen und weitere Phishing-E-Mails verschicken. Ein regelrechter Kreislauf, der leider nur schwer zu stoppen zu sein scheint.

7 Merkmale, die eine Phishing-E-Mail verraten

Die Qualität der Phishing-Angriffe ist unterschiedlich. Manchmal ist eine Phishing-E-Mail kaum von echten E-Mails zu unterscheiden, manchmal sind die Versuche nahezu dilettantisch und die E-Mails auf den ersten Blick als Phishing zu erkennen.

Wenn du generell bei E-Mails und insbesondere bei E-Mails, die vorgeben von cyon zu stammen, auf die folgenden 7 Merkmale schaust, bist du gut gegen böswillige Phishing-Nachrichten gewappnet:

  1. Seltsame Absendeadresse: Die Bezeichnung einer E-Mail-Adresse kann die absendende Person selbst wählen, die effektive Absendeadresse hingegen ergibt sich durch das E-Mail-Konto, über das eine E-Mail verschickt wird. Stammt zum Beispiel eine vermeintliche E-Mail von cyon nicht von einer Adresse mit der Endung «@cyon.ch» kannst du dir sicher sein: Die E-Mail ist gefälscht.
    Tipp: In deinem E-Mail-Programm musst du unter Umständen den Absendenamen anklicken oder mit der Maus darüberfahren, um die eigentliche E-Mail-Adresse anzuzeigen.
  2. Unpersönliche Anrede: Wirst du in einer Rechnungs- E-Mail nicht mit deinem Namen angesprochen ist die Wahrscheinlichkeit hoch, dass die E-Mail nicht aus seriöser Quelle stammt.
  3. Zeitlicher Druck: Angreifer versuchen oft, dich mit zeitlichem Druck zu einer sofortigen Handlung zu drängen. Findest du in deinem my.cyon-Konto keine Hinweise darauf, dass eines deiner Produkte bald verlängert wird oder sogar kurz vor der Sperrung ist, ignoriere die E-Mail am besten.
  4. Präparierter Link: Führt dich ein Klick auf den in der E-Mail enthaltenen Link nicht auf www.cyon.ch oder my.cyon.ch kannst du dir sicher sein: Die Website oder das Login-Portal sind gefälscht. Bist du dir unsicher, klickst du am besten den Link nicht an, sondern tippst die Adresse «cyon.ch» manuell in die Adresszeile deines Browsers oder nutzt ein allenfalls vorhandenes Lesezeichen.
  5. Ungewöhnliche URL: Prüfe die Website sorgfältig, bevor du deine Zugangs- oder Kreditkartendaten eingibst. Lautet die URL in der Adresszeile deines Browsers nicht https://www.cyon.ch, https://my.cyon.ch oder https://webmail.cyon.ch, sieht die Seite aber wie die cyon-Website, das my.cyon oder das cyon-Webmail aus, kannst du dir sicher sein: Die Website ist gefälscht.
  6. Schreibfehler: Achte auf ungewöhnliche Formulierungen oder Schreibfehler, sie sind häufig in Phishing-Mails anzutreffen. Auch ungewöhnliche Merkmale, wie die Verwendung von «ß» in Ausdrücken wie «Freundliche Grüße», sind bei Schweizer Anbietern ein alarmierendes Zeichen.
  7. Falsche Anschrift oder Gesellschaftsform: Ist in einer Phishing-E-Mail cyon plötzlich in Zürich zu Hause oder ist cyon neuerdings eine AG, sei zumindest vorsichtig. Unsere Büros sind in Basel und wir sind eine GmbH. Zumindest zurzeit. 😉
Beispiel Phishing-Mail 2022

Die oben erwähnten Punkte am Beispiel eines aktuellen Phishing-Versuchs. Dass die Angreifer ein veraltetes Logo verwenden, ist eher selten.

Unser Tipp: Nutze für deine Zugangsdaten einen Passwort-Manager. Mit einem Passwort-Manager kannst du unterschiedliche Passwörter für unterschiedliche Konten komfortabel verwalten. Ausserdem schützen dich Passwort-Manager in vielen Fällen vor der ungewollten Eingabe deiner Zugangsdaten auf Phishing-Seiten, weil sie dir nur für die korrekte Website die passenden Zugangsdaten anbieten

Phishing kann alle treffen

Eines können wir dir versichern: Gegen Phishing ist niemand immun. Erwischt dich eine gut gemachte Phishing-Nachricht in einem ungünstigen Zeitpunkt, hilft dir auch das beste technische Know-How nichts. Das ist schlichtweg menschlich.

Hast du deine my.cyon-Zugangsdaten auf einer Phishing-Seite eingegeben, ändere die Daten sofort und melde dich bei uns. Wir stehen dir bei Fragen und dem weiteren Vorgehen gerne zur Seite. Und hast du eine Phishing-Mail erhalten, leite uns diese gerne im Original an die Adresse abuse-mail@cyon.ch weiter. Bitte habe Verständnis dafür, dass wir dort nicht jede Einsendung beantworten können. Die Daten aus den Phishing-Mails helfen uns aber, wirkungsvoll gegen die Attacken vorzugehen. Herzlichen Dank für deine wertvollen Hinweise.

Weiterführende Informationen findest du ausserdem in unserem Supportcenter-Artikel zum Thema Phishing.

Titelbild: Milos Prelevic/Unsplash

Beteilige dich an der Diskussion

18 Kommentare

CT
CT 9. Nov. 2019 14:16

Guten Tag

Habt ihr heute ein E-Mail mit Betreff “Anpassung Ihrer E-Mail-Einstellungen notwendig” verschickt?

Merci + freundliche Grüsse

Philipp Zeder
Philipp Zeder cyon
11. Nov. 2019 09:15

Ja, wir verschicken momentan E-Mails mit diesem Betreff.

Erwin Schönholzer
Erwin Schönholzer 8. Nov. 2019 09:23

Mich würde interessieren, welchen Nutzen Kriminelle aus dem Zugang ziehen? Ihr schreibt: «Gerade Anbieter von Webhosting-Dienstleistungen sind ein lohnendes Ziel, zumal wir mit Speicherplatz für Websites und E-Mail genau das Handwerkszeug anbieten, welches Phisher für ihre kriminelle Arbeit benötigen.»
Heisst das, da wird eine “neutrale” Plattform gesucht und verwendet, um die weiteren Phishing-Attacken von da aus weiterzuführen und Mails mit “vertrauenerweckenden” Adressen zu starten. Das ist alles?

Philipp Zeder
Philipp Zeder cyon
8. Nov. 2019 09:50

Wir gehen davon aus, dass dies der Hauptantrieb hinter diesen Angriffen ist, ja. Zum einen lassen sich mit dem Zugang zum Webhosting neue Phishing-Websites aufschalten und zum anderen besteht damit auch Zugriff auf die E-Mail-Verwaltung. So lassen sich neue E-Mail-Adressen erstellen, die dann wiederum für den Versand von Spam- und Phishing-Mails verwendet werden können. Ausserdem ist es denkbar, dass die ergaunerten Zugangsdaten in einer Datenbank landen, die wiederum an andere Kriminelle verkauft wird. Die Kombination aus Benutzername und Passwort ist in vielen Fällen wertvoll, weil das gleiche Passwort für mehrere Anbieter verwendet wird.

JLD
JLD 10. Okt. 2019 11:28

Nur als Info, ich habe ein Phishing Email im Name von Cyon erhalten, obwohl ich kein Kunde bin….

Philipp Zeder
Philipp Zeder cyon
11. Okt. 2019 10:02

Merci für die Meldung. Schicke uns die E-Mail gerne auch an abuse-mail@cyon.ch, dann gehen wir der Sache genauer nach: https://www.cyon.ch/support/a/phishing#wie-gehe-ich-mit-phishing-e-mails-um

Gian
Gian 27. Sept. 2019 10:11

Ich finde es super, wie cyon seine Kunden informiert. Das spricht einmal mehr für Cyon!
Zwei Faktor Authentifizierung ist heute ein Muss bei allen Anbietern, ob Cyon, Google, Dropbox, Postfinance, Krankenkasse usw. usw. und für mich seit längerem selbstverständlich. Der Mehraufwand dazu ist bescheiden, erhöht aber die Sicherheit massiv.

S.T.
S.T. 26. Sept. 2019 17:40

Hallo,

“sind cyon-Kunden vermehrt im Visier von Cyberkriminellen. (…) versuchen Betrüger, an Logins und Passwörter von cyon-Kunden zu kommen”.

Was ich mich frage: Wie können Kriminell denn wissen, wer Kunde von cyon ist?

Danke für eine Erklärung.

Tom Brühwiler
Tom Brühwiler cyon
27. Sept. 2019 10:41

Die Daten stammen nach unseren Erkenntnissen aus öffentlich zugänglichen Quellen im Internet. Als Quellen kommen, wie wir auch in unserem FAQ erklären, zum Beispiel das Whois, Kunden-Websites, aber auch Foren und ähnliches in Frage. Gerade aus dem Whois lässt sich bspw. auch auslesen, wo die Domain registriert wurde, bzw. wo sie betrieben wird.

Wir können mit Bestimmtheit ausschliessen, dass die E-Mail-Adressen von cyon selbst stammen.

M.I.
M.I. 26. Sept. 2019 16:03

Wie wäre es mit einer Zwei-Faktor-Authentifizierung beim Einloggen? Sprich nach Eingabe der Login-Daten erhält man eine SMS mit dem 2. Zugangscode. Das würde Phishing einen Riegel schieben.

Samuel
Samuel 26. Sept. 2019 16:35

Du kannst bereits jetzt die zwei Faktor Authentifizierung beim my.cyon Aktivieren. Nutze ich schon länger und funktioniert auch einwandfrei.

M.I.
M.I. 26. Sept. 2019 18:22

Asche über mein Haupt. Und wie immer: Ein Hoch auf cyon, ihr macht das einfach am Besten!

Tom Brühwiler
Tom Brühwiler cyon
27. Sept. 2019 10:48

Danke euch. In der Tat gibts Zwei-Faktor-Authentifizierung bei uns seit 2013. Wie Du diese aktivieren kannst, haben wir in einem Artikel in unserem Supportcenter beschrieben.

J. Claude Rohner
J. Claude Rohner 26. Sept. 2019 15:18

Legen solche Phishing-Seiten auch Daten auf meinem Account ab? Wie erkenne ich als Laie, ob ein Ordner den Phishern oder zu meinem Account gehört? Für mich sind viele Ordnernamen “nichtssagend” und deren Inhalte nicht verständlich. Deshalb könnte ich nicht zwischen offiziellen und gefährlichen Ordnern unterscheiden.

Tom Brühwiler
Tom Brühwiler cyon
27. Sept. 2019 10:44

Solange Dein Account nicht kompromittiert ist, also niemand im Besitz Deines Logins und Passwort ist, hat niemand anders Zugriff darauf.
Solltest Du Dir unsicher sein, wende Dich gerne an unsere Supportspezialisten. Sie helfen Dir jederzeit gerne weiter.

mo ruoff
mo ruoff 26. Sept. 2019 14:57

guten tag

habt ihr heute ein mail betreffend pishing an eure cyon kundInnen gesandt oder ist dies wieder ein versuch zu pishen?
danke vielmals im voraus für eure hilfe.
herzlicher gruss
mo ruoff

Schönenberger Peter
Schönenberger Peter 26. Sept. 2019 15:21

Seit einiger Zeit bekomme ich täglich gefakte Bestellanfragen für Angebote aus der Website.

Philipp Zeder
Philipp Zeder cyon
26. Sept. 2019 15:16

Hi Mo, merci fürs Nachfragen. Ja, wir haben heute eine generelle Info-E-Mail zum Thema Phishing verschickt, in der wir unter anderem auf diesen Blogbeitrag hinweisen.