Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten

← zurück zum Blog

Der 28. Juni 2019 hatte es in sich: An diesem Freitag wurden cyon-Kundinnen und -Kunden Ziel einer Phishingattacke. Die Absicht der Angreifer: my.cyon-Benutzerdaten zu ergaunern. Während die genauen Beweggründe der Angreifer unbekannt sind, steht eines fest: Gekaperte Webhostings sind wertvolle Beute für Cyberkriminelle: 5 Gründe, warum Hacker Ihre Website hacken. Aber fangen wir von vorne an.

Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten

Morgenstund hat Gold im Mund: Phishing-Alarm

Der Tag begann mit einer Meldung von Tom in unserem Slack-Channel für besonders wichtige Ereignisse.

Tom meldet Phishingattacke

Freitagmorgen: Tom meldet die Phishingattacke im Alarm-Slack-Channel.

Das hiess für uns, die bei Ausfällen und Problemen vorgesehenen Prozesse anzustossen. Doch trotz Routine, mit Phishing dieser Grösse hatten wir es bis dato nicht zu tun gehabt. Schnell klinkten sich verantwortliche Personen aus allen Teams ein. An dieser Stelle ein Dankeschön an alle Beteiligten. In Krisenfällen zeigt sich besonders: Bei cyon sind die Leute mit Herzblut bei der Sache.

Situationsanalyse: Was war geschehen?

Als erstes verschafften wir uns einen Überblick darüber, was denn eigentlich passiert war. In der Nacht zuvor hatten Angreifer offenbar gezielt cyon-Kundinnen und -Kunden angeschrieben und sie aufgefordert, auf einen präparierten Link in der E-Mail zu klicken. Der Link führte zu einer täuschend echten Kopie des Login-Formulars von my.cyon.ch. Die Phishing-Nachricht war, mit Ausnahme von ein paar Details, nicht schlecht gemacht. Oder hätten Sie die Nachricht auf den ersten Blick als Phishing erkannt?

Screenshot Phishing-E-Mail

Phishing-E-Mail: Hätten Sie den Betrug sofort erkannt?

Die Zeit drängt: Falle unschädlich machen

Die allererste Devise bei Phishing: Die Phishing-Seite möglichst schnell vom Netz nehmen zu lassen. Können nämlich Phishing-Opfer die Website nicht mehr aufrufen, ist der ganze Spuk bereits vorbei. Darum schickten unsere System-Engineers sofort eine Phishing-Meldung an den deutschen Hoster der Phishing-Seite. Um der Meldung zusätzliches Gewicht zu geben, griffen wir ein paar Minuten später zum Telefonhörer.

Zusätzlich meldeten wir die URL der Phishing-Seite bei Safe Browsing – Google Safe Browsing sowie antiphishing.ch, dem Meldeportal der Melde- und Analysestelle Informationssicherung MELANI.

Was passiert nach einer Meldung?
MELANI überprüft Ihre Meldung, informiert den zuständigen Web Hosting Anbieter sowie den Inhaber der Webseite und bittet diese, die betrügerische Seite vom Netz zu nehmen. Zusätzlich werden gemeldete Phishing Seiten IT-Sicherheitsdienstleistern, Web Browser-Hersteller und Blacklist-Betreibern zur Verfügung gestellt, um einen maximalen Schutz der Internetnutzer in der Schweiz zu erreichen.

antiphishing.ch

Woher stammen die E-Mail-Adressen?

Werden gezielt die eigenen Kundinnen und Kunden angeschrieben, stellt sich für uns sofort die Frage: Woher stammen die E-Mail-Adressen? In einem solchen Fall ist auch ein internes Datenleck denkbar. Relativ schnell wurde allerdings klar, dass dieser Verdacht unbegründet war.

Aber wie kamen die Angreifer an E-Mail-Adressen von cyon-Kundinnen und -Kunden? Nach heutigem Kenntnisstand ist die Antwort trivial und clever zugleich: Durch das Abgrasen von bei cyon gehosteten Websites. Konkret haben wir zwei Muster erkennen können:

  • Die E-Mail-Adresse lautet info@, mail@, kontakt@, usw., entspricht also verbreiteten Standardadressen, unter der Website-Betreiberinnen und -Betreiber erreichbar sind.
  • Die E-Mail-Adresse befindet sich öffentlich einsehbar auf der entsprechenden Website. Häufig ist das die Kontaktseite oder das Impressum.

Unser Jagdtrieb ist geweckt

Die Sperrung der Website durch den Hoster zog sich für unseren Geschmack etwas lange hin. Wir überlegten uns also, was wir in der Zwischenzeit tun konnten, um den Angreifern das Leben möglichst schwer zu machen.

Nach der Analyse der Phishing-Seite war klar, besonders Mühe hatten sich die Angreifer beim Aufstellen der Falle nicht gemacht. So wurden Bilder oder CSS-Code nicht etwa auf den Server der Phishing-Seite kopiert, sondern direkt von my.cyon.ch eingebunden. Und das brachte uns auf die Idee: Werden Inhalte eingebunden, die unter unserer Kontrolle sind, können wir diese Inhalte kontrollieren. Dank einer praktischen Funktion von Webbrowsern, können wir steuern, wer diese Inhalte zu Gesicht bekommt: Der Referrer.

Referrer (englisch to refer „verweisen“) bezeichnet im World Wide Web die Webseite, über die der Benutzer zur aktuellen Webseite bzw. Datei gekommen ist. Bei einer HTTP-Anfrage (z. B. eine Webseite oder ein Bild) sendet der Webbrowser den URL der ursprünglichen Webseite an den Webserver.

Referrer bei wikipedia.org

Kurzerhand packte unser Software-Entwickler Dominic seine besten Photoshop-Skills aus, zauberte mithilfe von wenigen Zeilen Rewrite-Code eine unmissverständliche Warnung auf die Phishing-Seite und deaktivierte die CSS-Anweisungen.

Achtung Fake, Warnung auf der Phishing-Seite

Damit war, trotz noch erreichbarer Falle, allen potentiellen Phishing-Opfern klar: Hier sollte ich keine sensiblen Daten eingeben.

Süsser Honig: Wir stellen den Angreifern eine Falle

Die Neugier trieb uns weiter an. Wer waren diese Angreifer? Was ist ihre Absicht? Wir erstellten ein präpariertes my.cyon-Konto mit funktionierenden Zugangsdaten und füllten diese auf der Phishing-Seite ab. Die Hoffnung: Die Angreifer würden später versuchen, sich mit den gewonnenen Zugangsdaten auf my.cyon.ch einzuloggen. Das Warten begann. Zwischenzeitlich blockte der Hoster der Phishing-Seite den kompromittierten Account. Damit war die Gefahr für weitere Phishing-Opfer endgültig gebannt.

Am Freitagabend war es dann tatsächlich soweit. Das präparierte my.cyon-Konto verzeichnete ein erfolgreiches Login. Sofort begannen wir die IP-Adresse des Angreifers mit unseren Logs zu vergleichen. Und tatsächlich: Wir konnten weitere Loginversuche auf anderen my.cyon-Konten von der IP-Adresse des Angreifers feststellen. Erfolgreiche Logins liessen sich zum Glück an einer Hand abzählen.

Der Angreifer tappt in die Falle.

Der Angreifer tappt in die Falle.

Um weitere Anmeldeversuche zu unterbinden, sperrten wir anschliessend die marokkanische IP-Adresse des Angreifers und prüften unsere Logs auf weitere ungewöhnliche Zugriffe.

Während wir die Gesamtzahl aller Empfängerinnen und Empfänger der Phishing-E-Mail nicht kennen, wissen wir: Auf unseren Servern ist die Phishing-Nachricht knapp über 10’000-mal eingetroffen. Die Dunkelziffer dürfte höher sein, denn nicht alle cyon-Kundinnen und -Kunden betreiben neben der Website auch ihre E-Mail-Konten bei uns.

Am darauffolgenden Samstagmorgen informierten wir alle betroffenen Kunden nochmals in einer entsprechenden E-Mail. Der Tenor der Rückmeldungen deckte sich mit den Anfragen, die wir auf die ursprüngliche Phishing-E-Mail erhalten haben: cyon-Kundinnen und -Kunden sind sich der Gefahr von Phishing sehr bewusst und erkennen, wenn es sich um einen Betrugsversuch handelt.

Fazit: Erste Phishingattacke überstanden

Nach über 16-jährigem Bestehen von cyon war dies der erste Phishing-Angriff auf unsere Kundinnen und Kunden. Das zeigt, dass wir mittlerweile für einen nicht unerheblichen Teil des «Schweizer» Internets verantwortlich sind, was uns naturgemäss auch zum Ziel solcher Angriffe macht. Zugleich führt uns das auch unsere Verantwortung gegenüber unseren Kundinnen und Kunden einmal mehr eindrücklich vor Augen. Das Thema Sicherheit hat bei uns einen hohen Stellenwert und wird das auch in Zukunft behalten. Nicht zuletzt schweissen solche Ereignisse auch immer zusammen. Teambildende Massnahmen in extrem sozusagen. Und auch der Humor geht in solch stressigen Situationen nicht verloren. Unsere beiden Grundwerte «Freude» und «Respekt» bestehen also auch in Krisensituationen.

cyonistas packen gemeinsam an.

cyonistas packen gemeinsam an.

30 Kommentare

  1. Grosses Kino, grosse Klasse, cyon!

  2. Hei Liebes Cyon Team
    Danke das ihr so schnell reagiert habt!
    Ich hatte die Email auch erhalten und es war mir von Anfang an klar das dies nicht von euch ist. :)
    Danke auch für den spannenden Bericht eurer Gegenwehr
    Grüsse
    Lukas Dreyer

  3. Ich weiss, warum ich bei cyon bin

  4. Sehr grosses Kino! Ich bin sehr froh, beim besten Hoster der Welt zu sein. Herzlichen Dank für eure Arbeit und euer Engagement.

  5. Super! Auch dem Anglerverein Tenniken sei gedankt :-D

  6. Genial! Ich bin jeden Tag froh, bei euch zu sein und nicht bei irgendeinem anderen Standard-Plesk-Hosting Anbieter!

  7. LOL, hatte die Phishinseite nicht mal Let’s Encrypt?

    > Zugleich führt uns das auch unsere Verantwortung gegenüber unseren Kundinnen und Kunden einmal mehr eindrücklich vor Augen. Das Thema Sicherheit hat bei uns einen hohen Stellenwert und wird das auch in Zukunft behalten.

    Das erinnert mich übrigens an damals, als my.cyon.ch noch ein EV Zertifikat hatte…

    Bitte macht mit Referrer Filtern nicht eure Seiten kaputt. Referrer gehören im Browser nämlich allein schon aus Datenschutzgründen deaktiviert.
    Eine Referrer-Policy dürftet ihr hingegen sehr gerne mal aktivieren. Und ganz allgemein eine Content-Security-Policy.

  8. Ganz stark! Vielen Dank auch für diese ultra ausführliche Beschreibung eurer Sofortmassnahmen in dieser Ausnahmesituation. Das nenne ich mal Transparenz – 100 Punkte von mir.

    Das Mail war in der Tat nicht mal so schlecht wie teils andere, mit Ausnahme des „HIER“ und natürlich der ominösen Absender-Adresse.

    Kleiner Tipp noch:
    Bei Links in solchen Mails einfach mal unten im Browser beim Mouse-Over prüfen, was denn für eine URL angezeigt wird. Ist da nichts von cyon.ch zu sehen, Finger weg. Gute Mail-Provider verhindern ein direktes Öffnen solcher Links übrigens auch mittels eines Popups.

    Was MELANI leistet finde ich übrigens ebenfalls grossartig.

  9. Herzlichen Dank, liebes Cyon Team.
    Vor allem auch für die detaillierte Information = Transparenz

  10. Danke für die transparenten Einblicke – eimal mehr ein guter Grund dafür bei Cyon zu sein.

  11. Herzlichen Dank für den grossen Einsatz des Cyon-Teams. Ein weiterer Grund, warum ich meine WebSites bei Cyon habe.

    Ich betreue 2 unterschiedliche WebSites (1 Private und 1 Geschäftliche). Ich habe kein Phishing-Mail erhalten, weil auf beiden WebSites keine realen Mailadressen sichtbar sind (nur ein kleines Couvert).

    Im weiteren habe ich meine WebSites mit zusätzlichen Massnahmen geschützt (u.a. Plugin Wordfence), die mir wöchentlich rapportiert, woher allfällige Angriffe auf die WebSites versucht wurden (und das sind nicht wenige!).

    In Mails, die mir verdächtig vorkommen, öffne ich keinerlei Links, auch wenn es von meiner Bank kommen würde (denn solche Mails verschickt keine Bank oder Kreditkartenanbieter). In 99% aller Fälle werden aber solche Mails bereits vom exzellenten Google-Spamfilter herausgefiltert, denn alle Mails auf meine Cyon-Mailadressen habe ich an mein einziges Mailkonto bei Google umgeleitet, auch arbeite ich nur mit dem Google-Mailkonto.

    Die Problematik von Phishing-Mails liegt daran, dass mindestens 70% der User keine Ahnung haben, was ein Phishing-Mail ist und das es solche gibt. Da können die Zeitungen noch soviel darüber schreiben, gelesen bzw. verstanden wird das leider kaum.

    Darum sind die Anbieter wie Cyon, aber auch die WebSiten-Admins gefordert, besonders aufmerksam zu sein. Gut zu wissen, dass das bei Cyon so ausgezeichnet funktioniert.

    • Na dann weiterhin viel Spass, wenn du alles zusätzlich noch Freund Google anvertraust ;o) Ich für meinen Teil habe meine und meiner Freunde E-Mail Konten bei cyon und die werden niemals zusätzlich zu irgend einer hungrigen Datenkrake weiter geleitet.

      Aber jedem seine eigene Vorstellung von Datensicherheit und Datenschutz.

  12. Spannender Hintergrundbericht und Komplimente fürs Vorgehen! Wir empfehlen cyon.ch nach wie vor sehr gerne!

  13. Liebes Cyon Support Team
    Saubere Arbeit, herzliche Gratulation für das Herzblut wie Ihr an die Sache geht.
    Auch deswegen schätze ich den Groove welcher bei Euch herrscht.
    Einfach toll und keine Selbstverständlichkeit.
    Weiterhin gutes Gelingen und freundliche Grüsse, Daniel Belizars

  14. Ha, herrlich! Top-Leistung bei der Problemleistung und dann noch so unterhaltsam einen Blick hinter die Kulissen gewähren, das macht cyon aus. Sehr schön.

  15. Cyon-Superduppers, stark, wie ihr die Attacke gekontert habt: mit kühlem Kopf, Grips, Können, Kreativität, raschem Handeln und effizientem Dranbleiben. Eine Wohltat, euren Report zu lesen. Danke, danke, well done. Herzlichst, HPB

  16. Spannend zu lesender Erfolgsbericht!
    Viel Erfolg weiterhin.

  17. Liebes Cyon-Team

    Grossartig! Wir sind stolz darauf, euch als unser Webpartner zu haben. Ihr beweist uns täglich, dass unsere Daten und Kundenprojekte bei euch in den besten Händen sind. Chapeau! Und eine coole Truppe seit ihr obendrauf auch noch ;)

    Liebe Grüsse aus Luzern,
    Team Pixels

  18. Ich erkannte die Fake Mail sofort und habe den Angriff an Cyon schnell gemeldet und unsere Emailadressen meines Bruders und mir liegen ausserhalb von Cyon.

    Wir meldeten das Pfisching wie folgt am 28.6.19 gegen 7Uhr32:

    Fw: Sehr geehrter Kunde, sehr geehrte Kundin.
    Von:
    „Ingbert Hoffmann“
    An:
    info@cyon.ch
    CC:
    Ingbert , „Robert Hoffmann“
    Datum:
    28.06.2019 07:32:56
    Achtung jemand scheint Ihre Webseite für Datenklau zu missbrauchen???

    Bitte Sie haben noch nie eine solche Mail versendet und wir senden das in Spam weg. Haben Sie weitere Hinweise für den Missbrauch Ihres Namens?

    MFG
    Hoffmann

    Uhrmachermeister Ingbert Hoffmann
    Brünnigstrasse 140
    6060 Sarnen
    Tel: 0041 41 660 8600
    GSM: 0041 76 518 0760
    http://www.hoffmannuhren.ch
    http://www.hoffmannuhrenshop.ch
    http://www.swiss-watch-store.ch
    http://www.swiss-watch-shop.ch

    Bitte wenn andere Cyon Nutzer solche Mails sehen melden Sie diese Umgehend an Cyon weil unsere webseiten betroffen sind und wir haben viele bei Cyon.

  19. Wir haben noch die echten Bilder von Cyon gesehen und warnten Cyon somit hoffentlich sehr zeitig. Das Fake haben wir noch nicht gesehen als die mails als Pfishing bei uns erkannt waren.

  20. Starke Leistung, vielen Dank an das ganze Team!
    Und toll, das Thema nicht einfach nur nüchtern und sachlich zu berichten, sondern eine gut lesbare Story daraus zu machen.
    Ich weiß, weshalb ich deutschen Hostern den Rücken gekehrt habe, und nun Euch Schweizern vertraue ;-)

  21. Hallo Cyon Team. Sehr gut gemacht! Schade kann man bei solchen Leuten nicht einfach zurückschlagen.

  22. Danke sehr für die Transparenz und den spannenden Bericht!

    Auch ich bin wirklich froh, bei Euch zu sein!

  23. Kompliment für eure zügige, konsequente und ERFOLGREICHE reaktion! Und vor allem auch die nachfolgende kommunikation darüber!!
    Auch ich hatte da mail sofort gelöscht. Trotzdem :)

  24. Haben Sie die Angreifer auch physisch identifiziert – mit Namen und Adresse? Ich kenne Leute, die denen liebend gerne einen bleibenden Abrieb verpassen würden. Und deren Compis und Handies zu Schrott zertrampeln. Vielleicht sogar auch gernevte Anwender in Marokko, die wahrscheinlich auch höchst vergnügt mitmachen würden… Vielleicht sogar zusammen mit dem Anglerverein von Teniken Baselland, deren Absender wohl auch missbraucht worden ist.

  25. Mega spannender Blog!
    Und bin ziemlich überrascht ob der guten Qualität dieser Phishing-Mail. Forallem Sprahchlich kent mann ja da gans anderes. ;-)

  26. Wirklich grosses Kino bei Cyon.

    Der Arbeiter-Schiessverein dankt auch eurem starken Einsatz!

    Danke für den spannenden Bericht.

  27. Mega guat winnar da uf da Phishing reagiert hait ond winnar da bi eu ghostet Content modifizeirt hait om d Warning ufzschalte.

    De Artikel het sich wina chliini Detektivgschicht glesa. Super gmacht!!

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog