Wie erkenne ich Phishing?

  • Phishing-E-Mails täuschen vor, von einem vertrauten Dienst wie cyon zu stammen.

  • Dringlichkeit soll zu raschem Handeln verleiten. Halte inne und kläre in Ruhe ab, ob der Inhalt Sinn ergibt.

  • Kriminelle versuchen über gefälschte Links und Websites an Zugangsdaten oder Kreditkartennummern zu gelangen.

Tipps, wie du betrügerische E-Mails erkennst

Phishing-Meldungen

Vorsicht von aktuellen Phishing-E-Mails Aktuell sind keine Phishing-E-Mails im Umlauf

Phishingmeldungen der vergangenen drei Monate

20.04.2024 - Phishing «Eine ausstehende Rechnung auf Ihrem Konto»
Merkmal Angaben Phishing-E-Mail Korrekte Angaben
Absende­name Servicekunde cyon GmbH
Absende­adresse hola+clientes@tiendanube.com mail@cyon.ch
Betreff Eine ausstehende Rechnung auf Ihrem Konto
Motiv Über einen Link in der E-Mail wollte die Täterschaft vermutlich die Daten deiner Kreditkarte erbeuten. Die gefälschte Website wurde aber bereits blockiert und war zum Zeitpunkt des Versandes nicht mehr erreichbar.
Screenshot Beispiel der oben beschriebenen Phishing-E-Mail

Schau genau hin

Absendeadresse immer prüfen

Bei Phishing-Mails steht als Absendename beispielsweise «Cyon» oder «cyon Buchhaltung». Die E-Mail wird aber effektiv von einer anderen E-Mail-Adresse gesendet, in unserem Beispiel 43e4ddf5@unconseilplease.com, welche nicht auf @cyon.ch lautet.

Die E-Mail-Adresse wird dir angezeigt, wenn du auf den Absendenamen klickst oder tippst. In vielen E-Mail-Programmen wird dir immer die komplette E-Mail-Adresse angezeigt.

Im Artikel «Absendeadresse einer E-Mail herausfinden» beschreiben wir, wie du diese in deinem E-Mail-Programm einblenden kannst.

E-Mails, welche effektiv von cyon stammen, werden ausschliesslich von einer E-Mail-Adresse gesendet, die auf @cyon.ch endet.

Achtung bei Links

Prüfe Links jeweils, bevor du diese öffnest. Fahre mit der Maus über den Link. Die meisten E-Mail-Programme zeigen dir daraufhin den Ziellink an. Zeigt dieser nicht auf einen Dienst von cyon, wie cyon.ch, my.cyon.ch oder webmail.cyon.ch, dann handelt es sich wahrscheinlich um Phishing.

Alternativ kannst du den Link kopieren und in die Adresszeile deines Browsers einfügen. Prüfe nun vor dem Öffnen der Seite, ob die Adresse von cyon stammen kann.

Fahre mit der Maus über verlinkten Text um den kompletten Link anzuzeigen.

Heisser Tipp

Wieso du Two-Factor-Authentification aktivieren solltest

Mit der Aktivierung der Zwei-Schritt-Verifizierung verhinderst du zuverlässig, dass sich Unbefugte Zutritt zu deinem my.cyon-Konto verschaffen, auch wenn die Angreifenden im Besitz deiner Zugangsdaten sind.

2-Schritt-Verifizierung aktivieren

FAQ

Weitere Fragen zu Phishing

Was ist Phishing?

Das Ziel von Phishing-Attacken ist es, an persönliche Daten wie Anmeldenamen, Passwörter, Kreditkartendaten oder PINs und TANs für E-Banking-Portale von Internet-Nutzenden zu gelangen.

Bei Angriffen auf cyon-Kundschaft versuchen die Kriminellen, die Empfangenden auf eine gefälschte Website zu locken und diese dort zur Eingabe ihrer Kreditkartendaten oder ihrer Anmeldedaten für das my.cyon-Konto oder Webmail zu animieren.

Bei der Eingabe von Kreditkartendaten werden meist umgehend grosse Beträge von deiner Kreditkarte abgebucht. Sind die Angreifenden hingegen im Besitz von Anmeldedaten, nutzen sie diese Daten, um auf dem betreffenden Webhosting weitere gefälschte Phishing-Websites zu erstellen. Oder sie nutzen dein E-Mail-Konto für den Versand weiterer Phishing-E-Mails an potentielle Opfer.

Wieso erhalte ich E-Mails, die vorgeben, von cyon zu sein?

Es handelt sich dabei um sogenannte Phishing-E-Mails. Cyberkriminelle versuchen über die gefälschte E-Mail den Eindruck zu erwecken, dass dies von cyon stamme und versuchen so die Empfangenden dazu zu bewegen, Anmeldedaten (Login und Passwort) für ihr my.cyon-Konto oder ihre E-Mail-Adresse auf einer gefälschten Website einzugeben. In einigen Fällen wird auch ein Zahlungsformular simuliert, in welches die Opfer ihre Kreditkartendaten eingeben sollen. Die Cyberkriminellen nutzen die so erlangten Daten für weitere kriminelle Absichten.

Wieso haben es die Phisher auf meine Daten abgesehen?

Die Cyberkriminellen sind in der Regel nicht an dir persönlich interessiert und haben keinen persönlichen Bezug zu dir. Vielmehr geht es den Angreifenden darum, auf einfachem Weg möglichst viele Anmelde- oder Kreditkartendaten gleichzeitig zu ergaunern.

Was machen die Phisher mit meinen Daten?

In allen uns bekannten Fällen hat die Täterschaft die Zugangsdaten zum my.cyon und Webmail genutzt, um weitere Phishing-Angriffe auf andere Personen durchzuführen. Mit den Anmeldedaten war es den Kriminellen möglich, auf dem Webhosting unserer Kundschaft weitere Phishing-Websites zu erstellen oder deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.

Theoretisch sind mit den erbeuteten Daten jedoch noch andere Verwendungszwecke denkbar. Sind die Angreifenden erst einmal im Besitz von Anmeldedaten einer E-Mail-Adresse, können diese beispielsweise auch für Bestellungen in Onlineshops oder ähnliches genutzt werden. Ausserdem besteht potentiell die Gefahr, dass die Angreifenden auf alle Dienste Zugriff erhalten, welche mittels der E-Mail-Adresse eröffnet wurden (zum Beispiel Facebook, Instagram, Krankenkasse und so weiter).

Wie gehe ich mit Phishing-E-Mails um?

Als erstes gilt es, verdächtige E-Mails zu erkennen. Befolge dazu unsere Tipps auf dieser Seite.
Zudem werden diese im Video der SISA (Swiss Internet Security Alliance) noch anschaulich zusammengefasst:

Video auf YouTube zum Thema Phishing, produziert von der Swiss Internet Security Alliance (www.ibarry.ch)
Video auf YouTube zum Thema Phishing, produziert von der Swiss Internet Security Alliance (www.ibarry.ch)

Melde Phishing-E-Mails, die du erhalten hast, jeweils dem NCSC (Nationales Zentrum für Cybersicherheit) unter https://www.antiphishing.ch/de.

Geben sich die Absendenden der E-Mail als cyon aus, leite diese E-Mail bitte auch an unsere Meldeadresse abuse-mail@cyon.ch weiter, damit wir entsprechende Gegenmassnahmen ergreifen können. Am hilfreichsten ist es, wenn du uns die Originalnachricht inklusive der sogenannten Header-Daten weiterleitest, wie im Supportcenter-Artikel «Header-Daten einer E-Mail zur Analyse senden» beschrieben.

Woher stammen die E-Mail-Adressen? Wurde cyon gehackt?

Unsere Recherchen haben unsere Vermutungen bestätigt, wonach die Empfangsadressen aus öffentlich zugänglichen Quellen im Internet stammen, zum Beispiel von selbst veröffentlichten Websites, aus Internet-Foren oder WHOIS-Einträgen für Domainnamen.

Eine weitere gängige Methode ist die Verwendung von geratenen E-Mail-Adressen nach häufig verwendeten Adressmustern wie info@….

Wir können mit Bestimmtheit ausschliessen, dass die E-Mail-Adressen von cyon selbst stammen. Es hat kein Hack oder ein anders gearteter Datendiebstahl stattgefunden.

Was unternimmt cyon, um Phishing zu verhindern?

Die Abwehr von Phishing-Angriffen beruht vor allem auf Koordination zwischen internen und externen Stellen und einer schnellen Kommunikation. Wir haben deshalb eine interne Task-Force gegründet, die sich dediziert um die Bekämpfung von Phishing und die Definition unserer Gegenmassnahmen kümmert.

Da die Phishing-E-Mails an unsere Kundschaft von fremden E-Mail-Servern verschickt werden, liegt unser Augenmerk auf der Abwehr solcher Fake-E-Mails - und zwar bevor sie die Zieladresse erreichen. Das beginnt mit der Früherkennung solcher E-Mails durch unsere Spamfilter, die darauf ausgelegt sind, entsprechende Muster zu erkennen und solche E-Mails sofort abzulehnen, sodass diese gar nicht erst im E-Mail-Postfach landen.

Gleichzeitig versuchen wir sofort nach Kenntnis eines Phishing-Versuchs, das «Arbeitsmittel» der Kriminellen lahmzulegen. Wir ermitteln dazu den Webhosting-Dienst, bei dem die Phishing-Website gehostet ist, und informieren ihn über die Phishing-Website. Der Dienst sperrt daraufhin die Phishing-Website, womit es nicht mehr möglich ist, Zugangsdaten auf der präparierten Website einzugeben. Die Reaktionszeiten der Webhosting-Dienste sind unterschiedlich, in aller Regel dauert es aber nur wenige Stunden, bis die entsprechende Website gesperrt wird.

Im Blogbeitrag «Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten» erklären wir ausführlich weitere Massnahmen, die wir in solchen Fällen ergreifen.

Warum dauert es so lange, bis die Phishing-Websites gesperrt werden?

Die Sperrung bzw. die Löschung von gefälschten Websites kann ausschliesslich vom Webhosting-Dienst vorgenommen werden, bei welchem die Cyberkriminellen die Website installiert haben. Sobald wir Kenntnis von einer solchen gefälschten Website haben, informieren wir den jeweils betroffenen Webhosting-Dienst, weitere externe Dienste (bspw. den Domain-Registrar, Google Safe Browsing, etc.) und auch staatliche Stellen, wie zum Beispiel das NCSC (Nationales Zentrum für Cybersicherheit), darüber. Ob und wie schnell der betroffene Webhosting-Dienst auf unsere Information reagiert, können wir jedoch nicht beeinflussen.

Warum Kundschaft von cyon Ziel von solchen Attacken?

cyon gehört inzwischen zu den grössten Webhosting-Diensten der Schweiz und ist auch deshalb vermehrt Ziel solcher Phishing-Attacken. Naturgemäss lohnt sich für die Kriminellen die Konzentration auf grössere Dienste viel mehr als auf kleinere.

Haben auch andere Hoster dieses Problem?

Phishing ist ein Problem, das nicht nur cyon betrifft. Auch andere Webhosting-Dienste sind regelmässig von solchen Angriffen betroffen. Das Problem beschränkt sich aber nicht auf unsere Branche. So sind beispielsweise auch Banken und Telekommunikationsanbieter regelmässig Ziel solcher Phishing-Angriffe.

Du hast noch Fragen?

Wir beantworten sie dir gerne persönlich.

Kontaktiere uns