Cyberkriminelle versuchen immer wieder mit sogenannten Phishing-E-Mails an persönliche Daten von Ihnen als cyon-Kunde zu gelangen. Die Angreifer simulieren dabei den Anmelde- bzw. Loginbereich unseres my.cyon oder des Webmail-Zugangs und versuchen so an Benutzernamen, Passwörter oder Kreditkartendaten von cyon-Kundinnen und -Kunden zu gelangen.

Wie erkenne ich Phishing-Mails?

Eine Phishing-Mail macht den Anschein, von einem vertrauten Anbieter/Geschäftspartner wie cyon zu stammen und versucht mittels persönlichen Angaben, wie beispielsweise Ihrem Namen oder Firmennamen als Anrede, Vertrauen zu erwecken. Meist wird eine schnelle Reaktion gefordert und/oder man wird gebeten sich mit den Zugangsdaten über einen Link anzumelden. Treffen folgende Aussagen zu, handelt es sich mit aller Wahrscheinlichkeit um eine Phishing-Mail:

  • Der Inhalt erscheint Ihnen seltsam oder unpassend für cyon
  • Die E-Mail-Adresse hinter dem Absender lautet nicht auf @cyon.ch
  • Die E-Mail setzt Sie unter Druck, rasch eine Aktion auszuführen
  • Der Inhalt enthält einen Link, wo Sie gebeten werden, Ihre Zugangsdaten anzugeben

Wie Sie diese Angaben überprüfen, beschreiben wir im Abschnitt «Wie kann ich mich vor Phishing schützen?».

Antworten zum Thema Phishing

Wir sind uns bewusst, dass die meist in Wellen auftretenden Phishing-Versuche verunsichern können. Wir möchten deshalb auf oft gestellte Fragen eine Antwort geben. Bei weiteren Fragen steht Ihnen unser Support-Team gerne zur Verfügung.

  • Wie kann ich mich vor Phishing schützen?

    Überprüfen Sie vor Eingabe von Benutzername und Passwort immer, ob in Ihrem Webbrowser die Adresse https://my.cyon.ch (für das my.cyon) oder https://webmail.cyon.ch (für das Webmail) angezeigt wird. Ist das nicht der Fall und die besuchte Website sieht wie das my.cyon- oder Webmail-Login aus, handelt es sich um einen Phishing-Versuch. Geben Sie auf keinen Fall Ihren Benutzernamen und Ihr Passwort ein. Ändern Sie umgehend Ihr my.cyon-Passwort, falls Sie Ihre Login-Daten auf der Phishing-Website eingegeben haben. Unser Support-Team steht Ihnen bei Fragen gerne zur Seite.

    Phishing-E-Mails haben oft einige Merkmale, die sie auffliegen lassen. Nachfolgend ein paar Beispiele der häufigsten Merkmale:

    Gefälschter Absender

    Bei Phishing-Mails steht als Absendername beispielsweise «Cyon» oder «cyon Buchhaltung» oder ähnliches. Das E-Mail wurde aber effektiv von einer anderen E-Mail-Adresse gesendet, in unserem Beispiel info@fisiokinesifantauzzi.it, welche nicht auf @cyon.ch lautet. Die E-Mail-Adresse wird Ihnen angezeigt, wenn Sie mit dem Mauszeiger über die Absender-Details fahren oder wenn Sie die Details anzeigen lassen. Im cyon-Webmail wird Ihnen in der Nachrichten-Vorschau immer die komplette E-Mail-Adresse angezeigt.

    E-Mails, welche effektiv von cyon stammen, werden ausschliesslich von einer @cyon.ch E-Mail-Adresse aus gesendet, wobei alle E-Mails zu Vertragserinnerungen, Rechnungs- und Zahlungserinnerungen oder auch Sperrungen von Webhostings mail@cyon.ch als Absender haben.
    Gefälschter Absendername.

    Aufforderung zu schneller Handlung

    Lassen Sie sich beim Empfang von E-Mails vom gesunden Menschenverstand leiten. Macht der Inhalt der E-Mail Sinn? Werden Sie unter Druck gesetzt, sich sofort auf der vermeintlichen Firmenwebsite einzuloggen und eine bestimmte Aktion auszuführen? Sind Sie unsicher, klicken Sie nicht auf den Link in der E-Mail, sondern geben Sie die Webadresse manuell in die Adressleiste Ihres Browsers ein. So stellen Sie sicher, dass Sie tatsächlich die echte Seite aufrufen.

    Wir setzen Sie nicht unter Druck: Bei cyon sperren wir keine Produkte wegen offenen Beträgen ohne mehrmalige Ankündigung im Voraus per E-Mail und auf dem Postweg. Ist eine Sperrung eines Dienstes wegen Verletzung unserer AGB notwendig, wie z. B. bei mit Malware infizierten Websites, so informieren wir den Halter und den technischen Kontakt per E-Mail mit der Bitte, das betroffene Produkt zu bereinigen.

    Links, die täuschen

    Prüfen Sie Links jeweils bevor Sie diese öffnen. Fahren Sie mit der Maus über den Link - die meisten E-Mail-Programme zeigen Ihnen daraufhin den Ziellink an. Zeigt dieser nicht auf einen Dienst von cyon, wie cyon.ch, my.cyon.ch oder webmail.cyon.ch, so handelt es sich um Phishing.
    Alternativ können Sie den Link kopieren und in die Adresszeile Ihres Browsers einfügen. Prüfen Sie nun vor dem Öffnen der Seite, ob der Link auch effektiv von uns stammen kann.

    Präparierte Links zu einer Phishing-Website.

    Unsauberes Deutsch

    Oft beinhalten Phishing-Nachrichten grobe Deutschfehler. So hiess es beispielsweise in einem Phishing-Mail vor kurzem «Sie haben eine neue Nachricht. Um es zu konsultieren[…]».

    Zwei-Schritt-Verifizierung aktivieren

    Aktivieren Sie für Ihr my.cyon-Konto die Zwei-Schritt-Verifizierung. Mit der Aktivierung der Zwei-Schritt-Verifizierung verhindern Sie zuverlässig, dass sich Unbefugte Zutritt zu Ihrem my.cyon verschaffen, auch wenn die Angreifer im Besitz Ihrer Zugangsdaten sind.

  • Wieso erhalte ich Mails, die vorgeben, von cyon zu sein?

    Bei den E-Mails handelt es sich um sogenannte Phishing-E-Mails. Cyberkriminelle versuchen den Eindruck zu erwecken, dass die E-Mail von cyon stammt und versuchen so den Empfänger dazu zu bewegen, die Login-Daten (Login und Passwort) für sein my.cyon-Konto oder seine E-Mail-Adresse auf einer gefälschten Seite einzugeben. In einigen Fällen wird auch ein Zahlungsformular simuliert, in welches die Opfer ihre Kreditkartendaten eingeben sollen. Die Cyberkriminellen nutzen die so erlangten Daten für weitere kriminelle Absichten.

    Phishing-E-Mail, welche auf eine gefälschte my.cyon-Login-Seite leitet. 
  • Was ist Phishing?

    Das Ziel von Phishing-Attacken ist es immer an persönliche Daten von Internet-Nutzern zu gelangen, also zum Beispiel Benutzernamen, Passwörter, PINs und TANs für E-Banking-Portale oder Kreditkartendaten.

    Im Fall der Angriffe auf cyon-Kunden versuchen die Kriminellen, die Empfänger auf eine gefälschte Website zu locken und diese dort zur Eingabe Ihres Logins und Passwortes für das my.cyon oder das Webmail zu animieren.

    Sind die Angreifer im Besitz von Login/Passwort, nutzen sie diese Daten jeweils, um auf dem Webhosting des Kunden/der Kundin weitere gefälschte Phishing-Websites zu erstellen. Sind den Angreifern die Login-Daten eines E-Mail-Kontos bekannt, nutzen diese das Konto umgehend für den Versand weiterer Phishing-Emails an potentielle Opfer.

  • Wieso haben es die Phisher auf meine Daten abgesehen?

    Die Cyberkriminellen sind in den aktuellen Phishing-Fällen nicht an Ihnen persönlich interessiert und haben keinen persönlichen Bezug zu Ihnen. Vielmehr geht es den Angreifern darum, auf einfachem Weg, möglichst viele Login- und Kreditkartendaten gleichzeitig zu ergaunern.

  • Was machen die Phisher mit meinen Daten?

    In allen uns bekannten Fällen haben die Täter die Zugangsdaten zum my.cyon bzw. zum (Web-) Mail genutzt, um weitere Phishing-Angriffe auf andere Personen durchzuführen. Mit den Login-Daten war es den Kriminellen möglich, auf dem Webhosting unserer Kunden weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.

    Uns sind auch Fälle

    Theoretisch sind mit den erbeuteten Daten jedoch noch andere Verwendungszwecke denkbar. Ist ein Angreifer erst einmal im Besitz von Logindaten einer E-Mail-Adresse, können diese beispielsweise auch für Bestellungen in Onlineshops oder ähnliches genutzt werden. Ausserdem besteht potentiell die Gefahr, dass der Angreifer auf alle Dienste Zugriff erhält, welche mittels der E-Mail-Adresse eröffnet wurden (zum Beispiel Facebook, Instagram, Krankenkasse und so weiter).

  • Wie gehe ich mit Phishing-E-Mails um?

    Grundsätzlich: Seien Sie bei Links, die in E-Mails enthalten sind, vorsichtig. Prüfen Sie das Ziel des Links, indem sie mit dem Mauszeiger über die Adresse fahren. Stimmt das Ziel nicht mit dem Link-Text überein, kann es sich um einen Phishing-Versuch handeln. Haben Sie eine E-Mail nicht angefordert oder bezweifeln Sie die Echtheit, fragen Sie beim vermeintlichen Absender nach.

    Melden Sie Phishing-E-Mails, die Sie erhalten haben, jeweils der Melde- und Analysestelle Informationssicherung MELANI des Bundes unter https://www.antiphishing.ch/de.

    Gibt sich der Absender der E-Mail fälschlicherweise als cyon aus, leiten Sie diese E-Mail bitte auch an uns weiter (abuse-mail@cyon.ch) damit wir entsprechende Gegenmassnahmen ergreifen können. Sie helfen uns am besten, indem Sie uns auch die sogenannten Header-Daten des E-Mails weiterleiten. Wie das geht, haben wir für Sie in einem Supportartikel festgehalten: Header-Daten einer E-Mail zur Analyse senden.

  • Was tun, wenn ich auf einen Link geklickt und Zugangs- oder Kreditkartendaten eingegeben habe?

    Haben Sie versehentlich Zugangsdaten auf der Phishing-Seite eingegeben, melden Sie uns dies bitte.  Ändern Sie zudem möglichst schnell das Passwort für den betroffenen Dienst, so dass die Kriminellen keinen Zugriff auf Ihren Account erlangen können.

    Aus Sicherheitsgründen empfehlen wir Ihnen ausserdem, Ihren Computer einem Antivirenscan zu unterziehen, so dass eine Drive-by-Infection mit einer Malware ausgeschlossen werden kann.

    Haben Sie Kreditkartendaten auf der Phishing-Seite eingegeben, lassen Sie die Karte bei Ihrer Bank sperren und erstatten Sie Anzeige bei der Polizei.

  • Woher stammen die E-Mail-Adressen? Wurde cyon gehackt?

    Unsere Recherchen haben unsere Vermutungen inzwischen bestätigt, wonach die Empfänger-Adressen  aus öffentlich zugänglichen Quellen im Internet stammen, zum Beispiel von selbst veröffentlichten Websites, aus Internet-Foren oder WHOIS-Einträgen für Domainnamen.

    Eine weitere gängige Methode ist die Verwendung von geratenen E-Mailadressen nach häufig verwendeten Adressmustern wie info@….

    Wir können mit Bestimmtheit ausschliessen, dass die E-Mail-Adressen von cyon selber stammen. Es hat kein Hack oder ein anders gearteter Datendiebstahl stattgefunden.

  • Was unternimmt cyon, um das Phishing zu verhindern?

    Die Abwehr von Phishing-Angriffen beruht vor allem auf Koordination zwischen internen und externen Stellen und einer zeitkritischen Kommunikation. Wir haben deshalb eine interne Task-Force gegründet, die sich dediziert um die Bekämpfung von Phishing und die Definiton unserer Gegenmassnahmen kümmert. 

    Da die Phishing-E-Mails an unsere Kundinnen und Kunden von fremden E-Mail-Servern verschickt werden, liegt unser Augenmerk auf der Abwehr solcher Fake-E-Mails - und zwar bevor sie die Zieladresse erreichen. Das beginnt mit der Früherkennung solcher E-Mails durch unsere Spamfilter, die darauf ausgelegt sind, entsprechende Muster zu erkennen und solche E-Mails sofort abzulehnen, so dass diese gar nicht erst im E-Mail-Postfach landen.

    Gleichzeitig versuchen wir sofort nach Kenntnis eines Phishing-Versuchs, das «Arbeitsmittel» der Kriminellen lahmzulegen. Wir ermitteln dazu den Webhosting-Anbieter, bei dem die Phishing-Website gehostet ist und informieren ihn über die Phishing-Site. Der Anbieter sperrt daraufhin die Phishing-Website, womit es nicht mehr möglich ist, seine Zugangsdaten auf der präparierten Website einzugeben. Die Reaktionszeiten der Webhosting-Anbieter sind unterschiedlich, in aller Regel dauert es aber nur wenige Stunden bis die entsprechende Website gesperrt wird.

    Im Blogbeitrag «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten» erklären wir ausführlich weitere Massnahmen, die wir in solchen Fällen ergreifen.

  • Warum dauert es so lange, bis die Phishing-Websites gesperrt werden?

    Die Sperrung bzw. die Löschung von gefälschten Websites kann ausschliesslich vom Webhosting-Provider vorgenommen werden, bei welchem die Cyberkriminellen die Website installiert haben. Sobald wir Kenntnis von einer solchen gefälschten Website haben, informieren wir den jeweils betroffenen Webhoster, weitere Dienstleister (bspw. den Domain-Registrar, Google Safe Browsing, etc.) als auch staatliche Stellen, wie zum Beispiel MELANI, darüber. Ob und wie schnell der betroffene Webhoster auf unsere Information reagiert, können wir jedoch leider nicht beeinflussen.

  • Warum sind Kundinnen und Kunden von cyon Ziel von solchen Attacken?

    cyon gehört inzwischen zu den grössten Webhosting-Anbietern der Schweiz und ist auch deshalb vermehrt Ziel solcher Phishing-Attacken. Naturgemäss lohnt sich für die Kriminellen die Konzentration auf grössere Anbieter viel mehr als auf kleinere.

  • Haben auch andere Hoster dieses Problem?

    Phishing ist ein Problem, das nicht nur cyon betrifft. Auch andere Webhosting-Anbieter sind regelmässig von solchen Angriffen betroffen. Das Problem beschränkt sich aber nicht auf unsere Branche. So sind beispielsweise auch Banken und Telekommunikationsanbieter regelmässig Ziel solcher Phishing-Angriffe.