Zurück

Phishing

12 Min Lesedauer · Aktualisiert am 23.02.2023

Eine Phishing-E-Mail macht den Anschein, von einem vertrauten Dienst wie cyon zu stammen. Dahinter stecken Cyberkriminelle, welche versuchen, dich unter Druck zu setzen. Schlussendlich wollen die Angreifer an persönliche Daten wie Anmeldenamen, Passwörter oder Kreditkartendaten gelangen. Fühlst du dich von einer E-Mail unter Druck gesetzt, nimm dir bitte kurz Zeit und überprüfe die E-Mail mithilfe folgenden Tipps etwas genauer:

  • Ist die Absendeadresse wirklich von cyon?

    Tippe oder klicke auf den Absendenamen und überprüfe genau, welche E-Mail-Adresse als Absendeadresse angegeben ist. E-Mails von cyon stammen immer von einer E-Mail-Adresse mit der Endung @cyon.ch. Mehr dazu im Abschnitt «Überprüfe die Absendeadresse».

  • Die E-Mail fordert dich auf, rasch eine Aktion auszuführen?

    Lass dich nicht unter Druck setzen! Eine seriöse Firma wie cyon fordert dich bei Rechnungsangelegenheiten nie auf, sofort zu zahlen. Bist du unsicher ob noch Rechnungen offen sind, prüfe dies in aller Ruhe in deinem my.cyon-Konto. Öffne dazu die Seite my.cyon.ch direkt in deinem Browser, ohne auf einen Link in der verdächtigen E-Mail zu klicken. Mehr dazu im Abschnitt «Keine übereiligen Handlungen».

  • Der Inhalt enthält einen Link und bittet dich persönliche Daten anzugeben?

    Wirst du aufgefordert dich über einen Link anzumelden oder Daten um dein Passwort zurückzusetzen oder Kreditkarteninformationen anzugeben, so prüfe zuvor genau ob der Link vertrauenswürdig sein kann. Im Zweifelsfall öffne die Seite immer direkt über deinen Browser ohne auf den Link zu klicken. Mehr dazu im Abschnitt «Links vor dem Klicken überprüfen».

Diese Tipps werden auch im Video der Swiss Internet Security Alliance zusammengefasst:

Video zum Thema Phishing produziert von der Swiss Internet Security Alliance (www.ibarry.ch)

Wie kann ich mich vor Phishing schützen?

Beachte folgende Dinge um dich gegen Täuschungen per E-Mail zu wappnen.

Bei Phishing-Mails steht als Absendename beispielsweise «Cyon» oder «cyon Buchhaltung» oder ähnliches. Die E-Mail wurde aber effektiv von einer anderen E-Mail-Adresse gesendet, in unserem Beispiel 43e4ddf5@unconseilplease.com, welche nicht auf @cyon.ch lautet. Die E-Mail-Adresse wird dir angezeigt, wenn du auf den Absendenamen klickst oder tippst. In vielen E-Mail-Programmen, sowie auch im cyon-Webmail, wird dir immer die komplette E-Mail-Adresse angezeigt.

E-Mails, welche effektiv von cyon stammen, werden ausschliesslich von einer E-Mail-Adresse aus gesendet, welche auf @cyon.ch endet. E-Mails zu Vertragserinnerungen, Rechnungs- und Zahlungserinnerungen oder auch Sperrungen von Webhostings haben somit immer mail@cyon.ch als Absendeadresse.
Absendeadresse überprüfen im Apple Mail
Absendeadresse überprüfen im Apple Mail
Absendeadresse überprüfen im cyon-Webmail
Absendeadresse überprüfen im cyon-Webmail

Nutzt du ein anderes E-Mail-Programm so findest du eine Beschreibung im Artikel «Absendeadresse einer E-Mail herausfinden» zu den meist verwendeten Programmen.

Lass dich beim Empfang von E-Mails vom gesunden Menschenverstand leiten. Ergibt der Inhalt der E-Mail Sinn? Wirst du unter Druck gesetzt, dich sofort auf der vermeintlichen Firmenwebsite einzuloggen und eine bestimmte Aktion auszuführen? Bist du unsicher, klicke nicht auf den Link in der E-Mail, sondern gib die Webadresse manuell in die Adressleiste deines Browsers ein. So stellst du sicher, dass du tatsächlich die echte Seite aufrufst.

Wir setzen dich nicht unter Druck: Bei cyon sperren wir keine Produkte wegen offener Beträge ohne mehrmalige Ankündigung im Voraus per E-Mail und auf dem Postweg. Ist eine Sperrung eines Dienstes wegen Verletzung unserer AGB notwendig, wie beispielsweise bei mit Malware infizierten Websites, so informieren wir die Halterin oder den Halter und den technischen Kontakt per E-Mail mit der Bitte, das betroffene Produkt zu bereinigen.

Oft beinhalten Phishing-Nachrichten grobe Deutschfehler. So hiess es beispielsweise in einem Phishing-Mail vor Kurzem: «Sie haben eine neue Nachricht. Um es zu konsultieren[…]».

Aktiviere für dein my.cyon-Konto die Zwei-Schritt-Verifizierung. Mit der Aktivierung der Zwei-Schritt-Verifizierung verhinderst du zuverlässig, dass sich Unbefugte Zutritt zu deinem my.cyon verschaffen, auch wenn die Angreifenden im Besitz deiner Zugangsdaten sind.

Antworten zum Thema Phishing

Wir sind uns bewusst, dass die meist in Wellen auftretenden Phishing-Versuche verunsichern können. Wir möchten deshalb auf häufig gestellte Fragen eine Antwort geben. Bei weiteren Fragen steht dir unser Support-Team gerne zur Verfügung.

Bei den E-Mails handelt es sich um sogenannte Phishing-E-Mails. Cyberkriminelle versuchen den Eindruck zu erwecken, dass die E-Mail von cyon stamme, und versuchen so die Empfangenden dazu zu bewegen, die Login-Daten (Login und Passwort) für ihr my.cyon-Konto oder ihre E-Mail-Adresse auf einer gefälschten Seite einzugeben. In einigen Fällen wird auch ein Zahlungsformular simuliert, in welches die Opfer ihre Kreditkartendaten eingeben sollen. Die Cyberkriminellen nutzen die so erlangten Daten für weitere kriminelle Absichten.

Phishing-E-Mail, welche auf eine gefälschte my.cyon-Login-Seite leitet Phishing-E-Mail, welche auf eine gefälschte my.cyon-Login-Seite leitet Phishing-E-Mail, welche auf eine gefälschte my.cyon-Login-Seite leitet Phishing-E-Mail, welche auf eine gefälschte my.cyon-Login-Seite leitet
Phishing-E-Mails, welche auf eine gefälschte my.cyon-Login-Seite leiten

Das Ziel von Phishing-Attacken ist es immer, an persönliche Daten von Internet-Nutzenden zu gelangen, also zum Beispiel Anmeldenamen, Passwörter, PINs und TANs für E-Banking-Portale oder Kreditkartendaten.

Im Fall der Angriffe auf cyon-Kundschaft versuchen die Kriminellen, die Empfangenden auf eine gefälschte Website zu locken und diese dort zur Eingabe ihres Logins und Passwortes für das my.cyon oder das Webmail zu animieren.

Sind die Angreifenden im Besitz von Login und Passwort, nutzen sie diese Daten jeweils, um auf dem betreffenden Webhosting weitere gefälschte Phishing-Websites zu erstellen. Sind den Angreifenden die Login-Daten eines E-Mail-Kontos bekannt, nutzen diese das Konto umgehend für den Versand weiterer Phishing-Emails an potentielle Opfer.

Die Cyberkriminellen sind in den aktuellen Phishing-Fällen nicht an dir persönlich interessiert und haben keinen persönlichen Bezug zu dir. Vielmehr geht es den Angreifenden darum, auf einfachem Weg möglichst viele Login- und Kreditkartendaten gleichzeitig zu ergaunern.

In allen uns bekannten Fällen hat die Täterschaft die Zugangsdaten zum my.cyon und zum (Web-)Mail genutzt, um weitere Phishing-Angriffe auf andere Personen durchzuführen. Mit den Login-Daten war es den Kriminellen möglich, auf dem Webhosting unserer Kundschaft weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.

Theoretisch sind mit den erbeuteten Daten jedoch noch andere Verwendungszwecke denkbar. Sind die Angreifenden erst einmal im Besitz von Logindaten einer E-Mail-Adresse, können diese beispielsweise auch für Bestellungen in Onlineshops oder ähnliches genutzt werden. Ausserdem besteht potentiell die Gefahr, dass die Angreifenden auf alle Dienste Zugriff erhalten, welche mittels der E-Mail-Adresse eröffnet wurden (zum Beispiel Facebook, Instagram, Krankenkasse und so weiter).

Grundsätzlich: Sei bei Links, die in E-Mails enthalten sind, vorsichtig. Prüfe das Ziel des Links, indem du mit dem Mauszeiger über die Adresse fährst. Stimmt das Ziel nicht mit dem Link-Text überein, kann es sich um einen Phishing-Versuch handeln. Hast du eine E-Mail nicht angefordert oder bezweifelst die Echtheit, frage bei dem*der vermeintlichen Absender*in nach.

Melde Phishing-E-Mails, die du erhalten hast, jeweils dem NCSC (Nationales Zentrum für Cybersicherheit) unter https://www.antiphishing.ch/de.

Geben sich die Absendenden der E-Mail fälschlicherweise als cyon aus, leite diese E-Mail bitte auch an uns weiter (abuse-mail@cyon.ch), damit wir entsprechende Gegenmassnahmen ergreifen können. Du hilfst uns am besten, indem du uns auch die sogenannten Header-Daten der E-Mail weiterleitest. Wie das geht, haben wir für dich in unserem Supportcenter festgehalten: Header-Daten einer E-Mail zur Analyse senden.

Unsere Recherchen haben unsere Vermutungen inzwischen bestätigt, wonach die Empfangsadressen aus öffentlich zugänglichen Quellen im Internet stammen, zum Beispiel von selbst veröffentlichten Websites, aus Internet-Foren oder WHOIS-Einträgen für Domainnamen.

Eine weitere gängige Methode ist die Verwendung von geratenen E-Mail-Adressen nach häufig verwendeten Adressmustern wie info@….

Wir können mit Bestimmtheit ausschliessen, dass die E-Mail-Adressen von cyon selbst stammen. Es hat kein Hack oder ein anders gearteter Datendiebstahl stattgefunden.

Die Abwehr von Phishing-Angriffen beruht vor allem auf Koordination zwischen internen und externen Stellen und einer zeitkritischen Kommunikation. Wir haben deshalb eine interne Task-Force gegründet, die sich dediziert um die Bekämpfung von Phishing und die Definition unserer Gegenmassnahmen kümmert.

Da die Phishing-E-Mails an unsere Kundinnen und Kunden von fremden E-Mail-Servern verschickt werden, liegt unser Augenmerk auf der Abwehr solcher Fake-E-Mails - und zwar bevor sie die Zieladresse erreichen. Das beginnt mit der Früherkennung solcher E-Mails durch unsere Spamfilter, die darauf ausgelegt sind, entsprechende Muster zu erkennen und solche E-Mails sofort abzulehnen, so dass diese gar nicht erst im E-Mail-Postfach landen.

Gleichzeitig versuchen wir sofort nach Kenntnis eines Phishing-Versuchs, das «Arbeitsmittel» der Kriminellen lahmzulegen. Wir ermitteln dazu den Webhosting-Dienst, bei dem die Phishing-Website gehostet ist, und informieren ihn über die Phishing-Website. Der Dienst sperrt daraufhin die Phishing-Website, womit es nicht mehr möglich ist, Zugangsdaten auf der präparierten Website einzugeben. Die Reaktionszeiten der Webhosting-Dienste sind unterschiedlich, in aller Regel dauert es aber nur wenige Stunden, bis die entsprechende Website gesperrt wird.

Im Blogbeitrag «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten» erklären wir ausführlich weitere Massnahmen, die wir in solchen Fällen ergreifen.

Die Sperrung bzw. die Löschung von gefälschten Websites kann ausschliesslich vom Webhosting-Dienst vorgenommen werden, bei welchem die Cyberkriminellen die Website installiert haben. Sobald wir Kenntnis von einer solchen gefälschten Website haben, informieren wir den jeweils betroffenen Webhosting-Dienst, weitere externe Dienste (bspw. den Domain-Registrar, Google Safe Browsing, etc.) und auch staatliche Stellen, wie zum Beispiel NCSC (Nationales Zentrum für Cybersicherheit), darüber. Ob und wie schnell der betroffene Webhosting-Dienst auf unsere Information reagiert, können wir jedoch nicht beeinflussen.

cyon gehört inzwischen zu den grössten Webhosting-Diensten der Schweiz und ist auch deshalb vermehrt Ziel solcher Phishing-Attacken. Naturgemäss lohnt sich für die Kriminellen die Konzentration auf grössere Dienste viel mehr als auf kleinere.

Phishing ist ein Problem, das nicht nur cyon betrifft. Auch andere Webhosting-Dienste sind regelmässig von solchen Angriffen betroffen. Das Problem beschränkt sich aber nicht auf unsere Branche. So sind beispielsweise auch Banken und Telekommunikationsanbieter regelmässig Ziel solcher Phishing-Angriffe.

Kategorien

Was dir auch helfen könnte

Verwandte Artikel

Du hast noch Fragen?

Wir beantworten sie dir gerne persönlich.

Kontaktiere uns