Zurück

Phishing

12 Min Lesedauer - Aktualisiert am 17.05.2021

Cyberkriminelle versuchen immer wieder mit sogenannten Phishing-E-Mails an persönliche Daten von dir als cyon-Kunde*in zu gelangen. Die Angreifenden simulieren dabei den Anmelde- bzw. Loginbereich unseres my.cyon oder des Webmail-Zugangs und versuchen so an Benutzernamen, Passwörter oder Kreditkartendaten unserer Kundschaft zu gelangen.

Wie erkenne ich Phishing-Mails?

Eine Phishing-Mail macht den Anschein, von einem vertrauten Dienst wie cyon zu stammen, und versucht mittels persönlicher Angaben, wie beispielsweise deinem Namen oder Firmennamen als Anrede, Vertrauen zu erwecken. Meist wird eine schnelle Reaktion gefordert und/oder du wirst gebeten sich mit den Zugangsdaten über einen Link anzumelden. Treffen folgende Aussagen zu, handelt es sich mit aller Wahrscheinlichkeit um eine Phishing-Mail:

  • Der Inhalt erscheint dir seltsam oder unpassend für cyon.
  • Die Absendeadresse endet nicht mit @cyon.ch.
  • Die E-Mail setzt dich unter Druck, rasch eine Aktion auszuführen.
  • Der Inhalt enthält einen Link, unter dem du gebeten wirst, deine Zugangsdaten anzugeben

Wie du diese Angaben überprüfst, beschreiben wir im Abschnitt «Wie kann ich mich vor Phishing schützen?».

Antworten zum Thema Phishing

Wir sind uns bewusst, dass die meist in Wellen auftretenden Phishing-Versuche verunsichern können. Wir möchten deshalb auf häufig gestellte Fragen eine Antwort geben. Bei weiteren Fragen steht dir unser Support-Team gerne zur Verfügung.

  • Wie kann ich mich vor Phishing schützen?

    Überprüfe vor Eingabe von Benutzernamen und Passwort immer, ob in deinem Webbrowser die Adresse https://my.cyon.ch (für das my.cyon) oder https://webmail.cyon.ch (für das Webmail) angezeigt wird. Ist das nicht der Fall und die besuchte Website sieht wie das my.cyon- oder Webmail-Login aus, handelt es sich um einen Phishing-Versuch. Gib auf keinen Fall deinen Benutzernamen und dein Passwort ein. Ändere umgehend dein my.cyon-Passwort, falls du deine Login-Daten auf der Phishing-Website eingegeben hast. Unser Support-Team steht dir bei Fragen gerne zur Seite.

    Phishing-E-Mails haben oft einige Merkmale, die sie auffliegen lassen. Nachfolgend ein paar Beispiele der häufigsten Merkmale:

    Gefälschte Absendeadresse

    Bei Phishing-Mails steht als Absendename beispielsweise «Cyon» oder «cyon Buchhaltung» oder ähnliches. Die E-Mail wurde aber effektiv von einer anderen E-Mail-Adresse gesendet, in unserem Beispiel info@fisiokinesifantauzzi.it, welche nicht auf @cyon.ch lautet. Die E-Mail-Adresse wird dir angezeigt, wenn du mit dem Mauszeiger über die Absende-Details fährst oder wenn du dir die Details anzeigen lässt. Im cyon-Webmail wird dir in der Nachrichten-Vorschau immer die komplette E-Mail-Adresse angezeigt.

    E-Mails, welche effektiv von cyon stammen, werden ausschliesslich von einer @cyon.ch-E-Mail-Adresse aus gesendet, wobei alle E-Mails zu Vertragserinnerungen, Rechnungs- und Zahlungserinnerungen oder auch Sperrungen von Webhostings mail@cyon.ch als Absendeadresse haben.
    Gefälschter Absendename.

    Aufforderung zu schneller Handlung

    Lass dich beim Empfang von E-Mails vom gesunden Menschenverstand leiten. Ergibt der Inhalt der E-Mail Sinn? Wirst du unter Druck gesetzt, dich sofort auf der vermeintlichen Firmenwebsite einzuloggen und eine bestimmte Aktion auszuführen? Bist du unsicher, klicke nicht auf den Link in der E-Mail, sondern gib die Webadresse manuell in die Adressleiste deines Browsers ein. So stellst du sicher, dass du tatsächlich die echte Seite aufrufst.

    Wir setzen dich nicht unter Druck: Bei cyon sperren wir keine Produkte wegen offener Beträge ohne mehrmalige Ankündigung im Voraus per E-Mail und auf dem Postweg. Ist eine Sperrung eines Dienstes wegen Verletzung unserer AGB notwendig, wie z. B. bei mit Malware infizierten Websites, so informieren wir den*die Halter*in und den technischen Kontakt per E-Mail mit der Bitte, das betroffene Produkt zu bereinigen.

    Links, die täuschen

    Prüfe Links jeweils, bevor du diese öffnest. Fahre mit der Maus über den Link - die meisten E-Mail-Programme zeigen dir daraufhin den Ziellink an. Zeigt dieser nicht auf einen Dienst von cyon, wie cyon.ch, my.cyon.ch oder webmail.cyon.ch, so handelt es sich um Phishing.
    Alternativ kannst du den Link kopieren und in die Adresszeile deines Browsers einfügen. Prüfe nun vor dem Öffnen der Seite, ob der Link auch effektiv von uns stammen kann.

    Präparierte Links zu einer Phishing-Website.

    Unsauberes Deutsch

    Oft beinhalten Phishing-Nachrichten grobe Deutschfehler. So hiess es beispielsweise in einem Phishing-Mail vor Kurzem: «Sie haben eine neue Nachricht. Um es zu konsultieren[…]».

    Zwei-Schritt-Verifizierung aktivieren

    Aktiviere für dein my.cyon-Konto die Zwei-Schritt-Verifizierung. Mit der Aktivierung der Zwei-Schritt-Verifizierung verhinderst du zuverlässig, dass sich Unbefugte Zutritt zu deinem my.cyon verschaffen, auch wenn die Angreifenden im Besitz deiner Zugangsdaten sind.

  • Wieso erhalte ich Mails, die vorgeben, von cyon zu sein?

    Bei den E-Mails handelt es sich um sogenannte Phishing-E-Mails. Cyberkriminelle versuchen den Eindruck zu erwecken, dass die E-Mail von cyon stamme, und versuchen so die Empfangenden dazu zu bewegen, die Login-Daten (Login und Passwort) für ihr my.cyon-Konto oder ihre E-Mail-Adresse auf einer gefälschten Seite einzugeben. In einigen Fällen wird auch ein Zahlungsformular simuliert, in welches die Opfer ihre Kreditkartendaten eingeben sollen. Die Cyberkriminellen nutzen die so erlangten Daten für weitere kriminelle Absichten.

    Phishing-E-Mails, welche auf eine gefälschte my.cyon-Login-Seite leiten. 
  • Was ist Phishing?

    Das Ziel von Phishing-Attacken ist es immer, an persönliche Daten von Internet-Nutzenden zu gelangen, also zum Beispiel Benutzernamen, Passwörter, PINs und TANs für E-Banking-Portale oder Kreditkartendaten.

    Im Fall der Angriffe auf cyon-Kundschaft versuchen die Kriminellen, die Empfangenden auf eine gefälschte Website zu locken und diese dort zur Eingabe ihres Logins und Passwortes für das my.cyon oder das Webmail zu animieren.

    Sind die Angreifenden im Besitz von Login und Passwort, nutzen sie diese Daten jeweils, um auf dem betreffenden Webhosting weitere gefälschte Phishing-Websites zu erstellen. Sind den Angreifenden die Login-Daten eines E-Mail-Kontos bekannt, nutzen diese das Konto umgehend für den Versand weiterer Phishing-Emails an potentielle Opfer.

  • Wieso haben es die Phisher auf meine Daten abgesehen?

    Die Cyberkriminellen sind in den aktuellen Phishing-Fällen nicht an dir persönlich interessiert und haben keinen persönlichen Bezug zu dir. Vielmehr geht es den Angreifenden darum, auf einfachem Weg möglichst viele Login- und Kreditkartendaten gleichzeitig zu ergaunern.

  • Was machen die Phisher mit meinen Daten?

    In allen uns bekannten Fällen hat die Täterschaft die Zugangsdaten zum my.cyon und zum (Web-)Mail genutzt, um weitere Phishing-Angriffe auf andere Personen durchzuführen. Mit den Login-Daten war es den Kriminellen möglich, auf dem Webhosting unserer Kundschaft weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.

    Theoretisch sind mit den erbeuteten Daten jedoch noch andere Verwendungszwecke denkbar. Sind die Angreifenden erst einmal im Besitz von Logindaten einer E-Mail-Adresse, können diese beispielsweise auch für Bestellungen in Onlineshops oder ähnliches genutzt werden. Ausserdem besteht potentiell die Gefahr, dass die Angreifenden auf alle Dienste Zugriff erhalten, welche mittels der E-Mail-Adresse eröffnet wurden (zum Beispiel Facebook, Instagram, Krankenkasse und so weiter).

  • Wie gehe ich mit Phishing-E-Mails um?

    Grundsätzlich: Sei bei Links, die in E-Mails enthalten sind, vorsichtig. Prüfe das Ziel des Links, indem du mit dem Mauszeiger über die Adresse fährst. Stimmt das Ziel nicht mit dem Link-Text überein, kann es sich um einen Phishing-Versuch handeln. Hast du eine E-Mail nicht angefordert oder bezweifelst die Echtheit, frage bei dem*der vermeintlichen Absender*in nach.

    Melde Phishing-E-Mails, die du erhalten hast, jeweils der Melde- und Analysestelle Informationssicherung MELANI des Bundes unter https://www.antiphishing.ch/de.

    Geben sich die Absendenden der E-Mail fälschlicherweise als cyon aus, leite diese E-Mail bitte auch an uns weiter (abuse-mail@cyon.ch), damit wir entsprechende Gegenmassnahmen ergreifen können. Du hilfst uns am besten, indem du uns auch die sogenannten Header-Daten der E-Mail weiterleitest. Wie das geht, haben wir für dich in unserem Supportcenter festgehalten: Header-Daten einer E-Mail zur Analyse senden.

  • Was tun, wenn ich auf einen Link geklickt und Zugangs- oder Kreditkartendaten eingegeben habe?

    Hast du versehentlich Zugangsdaten auf der Phishing-Seite eingegeben, melde uns dies bitte. Ändere zudem möglichst schnell das Passwort für den betroffenen Dienst, sodass die Kriminellen keinen Zugriff auf deinen Account erlangen können.

    Aus Sicherheitsgründen empfehlen wir dir ausserdem, deinen Computer einem Antivirenscan zu unterziehen, so dass eine Drive-by-Infection mit einer Malware ausgeschlossen werden kann.

    Hast du Kreditkartendaten auf der Phishing-Seite eingegeben, lass die Karte bei deiner Bank sperren und erstatte Anzeige bei der Polizei.

  • Woher stammen die E-Mail-Adressen? Wurde cyon gehackt?

    Unsere Recherchen haben unsere Vermutungen inzwischen bestätigt, wonach die Empfänger-Adressen aus öffentlich zugänglichen Quellen im Internet stammen, zum Beispiel von selbst veröffentlichten Websites, aus Internet-Foren oder WHOIS-Einträgen für Domainnamen.

    Eine weitere gängige Methode ist die Verwendung von geratenen E-Mail-Adressen nach häufig verwendeten Adressmustern wie info@….

    Wir können mit Bestimmtheit ausschliessen, dass die E-Mail-Adressen von cyon selbst stammen. Es hat kein Hack oder ein anders gearteter Datendiebstahl stattgefunden.

  • Was unternimmt cyon, um das Phishing zu verhindern?

    Die Abwehr von Phishing-Angriffen beruht vor allem auf Koordination zwischen internen und externen Stellen und einer zeitkritischen Kommunikation. Wir haben deshalb eine interne Task-Force gegründet, die sich dediziert um die Bekämpfung von Phishing und die Definition unserer Gegenmassnahmen kümmert. 

    Da die Phishing-E-Mails an unsere Kundinnen und Kunden von fremden E-Mail-Servern verschickt werden, liegt unser Augenmerk auf der Abwehr solcher Fake-E-Mails - und zwar bevor sie die Zieladresse erreichen. Das beginnt mit der Früherkennung solcher E-Mails durch unsere Spamfilter, die darauf ausgelegt sind, entsprechende Muster zu erkennen und solche E-Mails sofort abzulehnen, so dass diese gar nicht erst im E-Mail-Postfach landen.

    Gleichzeitig versuchen wir sofort nach Kenntnis eines Phishing-Versuchs, das «Arbeitsmittel» der Kriminellen lahmzulegen. Wir ermitteln dazu den Webhosting-Dienst, bei dem die Phishing-Website gehostet ist, und informieren ihn über die Phishing-Website. Der Dienst sperrt daraufhin die Phishing-Website, womit es nicht mehr möglich ist, Zugangsdaten auf der präparierten Website einzugeben. Die Reaktionszeiten der Webhosting-Dienste sind unterschiedlich, in aller Regel dauert es aber nur wenige Stunden, bis die entsprechende Website gesperrt wird.

    Im Blogbeitrag «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten» erklären wir ausführlich weitere Massnahmen, die wir in solchen Fällen ergreifen.

  • Warum dauert es so lange, bis die Phishing-Websites gesperrt werden?

    Die Sperrung bzw. die Löschung von gefälschten Websites kann ausschliesslich vom Webhosting-Dienst vorgenommen werden, bei welchem die Cyberkriminellen die Website installiert haben. Sobald wir Kenntnis von einer solchen gefälschten Website haben, informieren wir den jeweils betroffenen Webhosting-Dienst, weitere externe Dienste (bspw. den Domain-Registrar, Google Safe Browsing, etc.) und auch staatliche Stellen, wie zum Beispiel MELANI, darüber. Ob und wie schnell der betroffene Webhosting-Dienst auf unsere Information reagiert, können wir jedoch nicht beeinflussen.

  • Warum sind Kundinnen und Kunden von cyon Ziel von solchen Attacken?

    cyon gehört inzwischen zu den grössten Webhosting-Diensten der Schweiz und ist auch deshalb vermehrt Ziel solcher Phishing-Attacken. Naturgemäss lohnt sich für die Kriminellen die Konzentration auf grössere Dienste viel mehr als auf kleinere.

  • Haben auch andere Hoster dieses Problem?

    Phishing ist ein Problem, das nicht nur cyon betrifft. Auch andere Webhosting-Dienste sind regelmässig von solchen Angriffen betroffen. Das Problem beschränkt sich aber nicht auf unsere Branche. So sind beispielsweise auch Banken und Telekommunikationsanbieter regelmässig Ziel solcher Phishing-Angriffe.

Was dir auch helfen könnte

Verwandte Artikel