Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Phishing-E-Mail im Namen des Schweizer Webhosting-Anbieters Cyon. bild. cyon

Phishing-Welle überrollt Schweiz – darum sind Webseiten-Inhaber perfekte Betrugsopfer

Im Schatten der Corona-Krise laufen immer neue Phishing-Kampagnen gegen Schweizerinnen und Schweizer. Aktuell haben es die Betrüger (mal wieder) auf Webmaster und Domaininhaber abgesehen – denn jedes erbeutete Kundenkonto wird zu einer neuen Phishing-Schleuder.



Zumindest diese Branche hat auch in der Corona-Krise Hochkonjunktur: Online-Kriminelle! Zuletzt versuchten es die Betrüger mit Fake-Wettbewerben für Migros-Gutscheine, vermeintlichen Online-Shops für Schutzmasken und Desinfektionsmittel oder Phishing-E-Mails im Namen des Bundesamtes für Gesundheit (BAG) oder der Weltgesundheitsorganisation (WHO).

In den letzten Tagen und Wochen kam es zu einer Häufung grösserer Phishing-Versuche gegen gleich mehrere Schweizer Webhosting-Provider. Das Computer Emergency Response Team (GovCERT) des Bundes warnt daher: «Seit Anfang April beobachten wir in der Schweiz eine Zunahme von Phishing-Angriffen gegen Webmaster und Domaininhaber.»

Unbekannte Kriminelle versuchen mit gefälschten E-Mails im Namen grosser Webhoster wie Hostpoint, Infomaniak oder Cyon an die Zugangsdaten der Webmaster und Domaininhaber zu gelangen. Das ist für weit mehr als nur die direkt Betroffenen gefährlich, da erbeutete Konten von Webhosting-Kunden bzw. Webseiten-Betreibern für weitere Online-Angriffe missbraucht werden können.

Darum sind Domain-Inhaber das Ziel von Phishing-Betrügern

Der Schweizer Webhosting-Provider Cyon schreibt auf seiner Webseite zum Thema Phishing: «Mit den Login-Daten ist es den Kriminellen möglich, auf dem Webhosting unserer Kunden weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.» Das erbeutete Konto eines Webhosting-Kunden missbrauchen die Cyberkriminellen also in der Regel dafür, weitere Phishing-Angriffe auf andere Personen durchzuführen. Auf dem eigenen Webhosting laufen daher plötzlich kopierte Login-Seiten von Banken, Paypal, etc.

«Im aktuellen Fall konnten wir das bisher noch nicht feststellen», sagt Tom Brühwiler, Kommunikationsleiter bei Cyon. Normalerweise tauchten solche kopierten Webseiten auf gekaperten Kundenkonten auch erst später auf.

«Bei den aktuellen Phishing-Versuchen wurden nicht nur Login-Daten unserer Kunden abgefragt, sondern auch die Kreditkartendaten», sagt Brühwiler. Man könne davon ausgehen, «dass sowohl Login als auch Kreditkartendaten zu einem späteren Zeitpunkt verkauft oder anders verwendet werden.»

In den letzten Tagen hat die Phishing-Welle ihren Höhepunkt erreicht, wie die folgende Grafik zeigt.

Anzahl gemeldeter Phishing-Websites

Bild

Die Grafik zeigt die Anzahl verschiedener Phishing-Websites, die auf antiphishing.ch gemeldet wurden.(Berücksichtigt wurden nur die drei am stärksten betroffenen Schweizer Hosting-Provider) bild: govcert.ch

Zehntausende Fake-E-Mails innert Minuten

Auch bei der aktuellen Angriffswelle ist das Grundmuster zunächst bekannt: Um Zugang zum Admin-Bereich der Webhosting-Kunden zu erhalten, versenden die Angreifer in Wellen massenhaft Phishing-E-Mails, die vorgeben, vom eigenen Hosting-Provider zu stammen. Es beginnt also mit einer Nachricht, in der die Kunden unter einem Vorwand aufgefordert werden, sich auf der vermeintlichen Website ihres Webhosters einzuloggen. Nur dass der Link im erhaltenen E-Mail nicht zur Originalseite führt, sondern zu einer gefälschten Seite.

Bild

Eine gefälschte Login-Seite des Schweizer Webhosting-Anbieters Cyon. bild. cyon

Tatsächlich stammen die betrügerischen E-Mails von gekaperten E-Mail-Konten im Ausland oder von Diensten, die die Angreifer ausschliesslich zu diesem Zweck bei ausländischen Hosting-Providern gemietet haben. Innert weniger Minuten werden bei solchen Wellen Zehntausende E-Mails verschickt. Aktuell sind sie auf Deutsch oder Französisch verfasst.

Laut Cyon stammen die Empfänger-Adressen «mutmasslich aus öffentlich zugänglichen Quellen im Internet, zum Beispiel von selbst veröffentlichten Websites (Impressum)».

Bei der letzten Attacke wurden demnach 79 Prozent der insgesamt fast 20'000 Phishing-Mails an leicht zu erratende info@Webseitenname.ch-Adressen verschickt. Und natürlich können solche Adresslisten auch in den dunklen Ecken des Internets gekauft werden.

Warum die Täter kaum geschnappt werden

Wie so oft sind die Täter auch bei den neusten Angriffen unbekannt. «Nicht selten verstecken sich die Phisher hinter VPNs und sind so schwierig zu lokalisieren. Unser Augenmerk liegt vielmehr darauf, die Phishing-Seiten raschestmöglich aus dem Netz zu bekommen», sagt Brühwiler vom Webhoster Cyon.

Man analysiere die Umstände bei jeder neuen Welle erneut und lerne ständig dazu. «Wir arbeiten beispielsweise laufend daran, die Erkennung solcher Phishing-Mails zu verbessern», sagt Brühwiler. Das sei aber eine Gratwanderung, «denn wer plötzlich zu viel filtert, wehrt auch legitime E-Mails ab.»

Ein Ende der Phishing-Angriffe ist vorerst nicht in Sicht: «Während wir immer weitere, ausgeklügeltere Gegenmassnahmen ergreifen, passen auch die Phisher ihre Angriffsmuster immer neu an. Es ist und bleibt ein Katz-und-Maus-Spiel.»

Warum tappen Webmaster in die Phishing-Falle?

Erstens: Die Phishing-E-Mails sind teils personalisiert. Sie enthalten beispielsweise den persönlichen Domainnamen. Auch der Phishing-Link ist so weit personalisiert, dass er mit dem Namen des jeweiligen Webhosting-Providers beginnt. Wer in der Eile nur flüchtig hinschaut, kann darauf hereinfallen.

Bild

Der Mauszeiger über dem Link enthüllt den Betrug.

In diesem Beispiel scheint der für den E-Mail-Empfänger sichtbare Link zwar auf den ersten Blick zum Schweizer Webhosting-Provider Cyon zu zeigen, «tatsächlich landete man bei einem Klick aber auf diversen Servern in Italien, auf denen eine exakte Kopie der Verwaltungsoberfläche von Cyon platziert war», sagt Brühwiler.

Zweitens: Die Angreifer schreiben in der Fake-Nachricht, dass das Konto gesperrt worden sei oder in den nächsten Stunden gesperrt werde, wenn man nicht auf den angegebenen Link klicke. Dazu sagt Brühwiler:

«Unseren Kunden wurde im E-Mail vorgegaukelt, dass sie umgehend eine noch offene Rechnung bezahlen müssten, ansonsten werde Ihre Website oder E-Mail in wenigen Stunden abgestellt. Der aufgebaute Zeitdruck ist bereits ein typisches Zeichen für Phishing. Unter Druck lassen sich Nutzer viel eher dazu verleiten, etwas Unbedachtes zu tun.»

Es tappt nur ein verschwindend kleiner Prozentsatz in die Falle, doch das reicht den Angreifern. Denn jedes erbeutete Kundenkonto kann für neue Phishing-Angriffe missbraucht werden. Es wird so zur nächsten Phishing-Schleuder.

Die aktuell am stärksten betroffenen Webhoster Hostpoint, Infomaniak und Cyon verwalten zusammen rund eine Million Domainnamen.

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen: zum Beispiel Benutzernamen, Passwörter oder PINs und TANs für die E-Banking-Portale von Banken.

Um es Angreifern schwerer zu machen, sollte man im Netz wenn immer möglich die Anmeldung mittels 2-Schritt-Verifizierung (z. B. QR-Code, Code per SMS) aktivieren. Zahlreiche Unternehmen bieten dies teils seit Jahren an.

Pflicht ist die zweistufige Anmeldung allerdings, ausser beim E-Banking, fast nie. Der Grund: «Wir stellen immer wieder fest, dass viele das Verfahren als mühsam oder lästig empfinden und deshalb ablehnen. Darauf müssen wir Rücksicht nehmen», sagt Brühwiler.

Eine gute Übersicht mit Tipps, wie man sich gegen Online-Betrug schützen kann, gibt es hier.

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Betrug mit Post-Paketen im grossen Stil

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

25
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
25Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • aberhallo 25.04.2020 07:17
    Highlight Highlight Diese Phishing-Masche betrifft nicht nur Webseiten-Betreiber. Auch echt aussehende Mails, die scheinbar von Banken oder von Postfinance stammen, versuchen den selben Trick. Man muss wirklich gut schauen, um den Betrug zu merken. Ich verwende grundsätzlich keine Links in E-Mails, um etwas zu bezahlen. Ich logge mich immer in mein entsprechendes Konto beim Provider oder der Bank ein und mache meine Zahlungen nur von dort. Dann haben Betrüger keine Chance.
  • Swen Goldpreis 25.04.2020 02:23
    Highlight Highlight Zwei-Faktor-Authentifizierung ist nicht nur mühsam, sondern auch gefährlich.

    Als mir im Urlaub das Handy gestohlen wurde, konnte ich auf bestimmte Dienste gar nicht mehr zugreifen.

    Was aber noch schlimmer war: Ich konnte meine Passwörter nicht ändern.

    Wenn der Dieb es irgendwie geschafft hätte, den Sperrbildschirm zu öffnen (was wegen den Fingerabdrücken nicht soo schwer ist) hätte er oder sie Zugang zu all meinen Konten gehabt, während ich mich nicht mehr hätte wehren können.

    Daher: Lasst unbedingt die Finger von dem Zwei-Faktor-Mist.
    • Ueli der Knecht 25.04.2020 12:47
      Highlight Highlight Zwei-Faktor-Authentifizierung wird oft nicht richtig, bzw. nicht sicher umgesetzt.

      Eine Zwei-Faktor-Authentifizierung muss immer drei Sachen sicherstellen, um sicher zu sein:

      1) Der Benutzer muss etwas WISSEN (das Passwort),

      2) Der Benutzer muss etwas HABEN (zB. das Handy)

      und ganz wichtig (hier scheitert es oft)

      3) das WISSEN und das HABEN muss auf ZWEI VERSCHIEDENEN GERÄTEN verifiziert werden.

      Wenn du das Passwort auf dem Handy eingibst, und dann einen 2FA-Verifikationscode zB. über SMS auf dem Handy erhälst, dann ist das nicht sicher, bzw. nur eine trügerische Sicherheit.
  • atorator 24.04.2020 19:36
    Highlight Highlight Wusste gar nicht, dass es den Begriff Webmaster noch gibt. Hatte auch mal einen Digicomp-Kurs damals.

    Im Ernst, nach 25 Jahren Erfahrung mit Server, Webseiten, Entwicklung muss ich dringend empfehlen, einen Hoster zu wählen, der zwar etwas teurer ist, aber persönlich erreichbar ist.

    Kurz das Telefon in die Hand, anrufen, kurz reden. Die Sache ist geklärt und safe. Und es hilft, einigermassen den Überblick über Accounts und seine eigene Buchhaltung zu haben.
    • NerdiBoy 24.04.2020 20:18
      Highlight Highlight Und welcher hostinganbieter wäre das?
    • Ueli der Knecht 24.04.2020 23:55
      Highlight Highlight Man kann auch einen Hoster oder eine Banke wählen, der/die nur über Web oder eine App erreichbar ist.

      Dann einfach nicht auf den Link in irgendwelchen Emails klicken, sondern sich über den normalen Weg im Web oder in der App anmelden, und sein Konto auf dem regulären Weg überprüfen.
    • PeteZahad 25.04.2020 01:24
      Highlight Highlight Also wenn du mit der Erfahrung ein Phishing Mail nicht erkennst und einfach löscht und stattdessen noch mit deinem Hoster telefonieren musst, läuft etwas schief ...
  • Lari Fahri 24.04.2020 18:08
    Highlight Highlight Genau aus diesem Grund bin ich der Ansicht, dass Schüler im Rahmen des Unterrichtes verstärkt "Nutzung von Online Medien" lernen sollten.
    • Ueli der Knecht 25.04.2020 00:00
      Highlight Highlight Sie sollten eher lernen, wie man Fakenews in die Welt setzt, wie man Leute täuscht, wie man Phishing-Emails generiert; und generell, wie man Menschen manipuliert (zB. auch mit Werbung oder Propaganda).

      Das Fach Social Engineering sollte Pflichtfach werden.
      https://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29

      Lesetipp:
      Kevin D. Mitnick: Die Kunst der Täuschung. Risikofaktor Mensch. ISBN 3-8266-1569-7.

      https://cyberfahnder.de/doc/CF-03-SocialEnginneering.pdf
    • aberhallo 25.04.2020 07:30
      Highlight Highlight Jetzt im Zeitalter des Home Schooling müssen Schüler ziemlich vieles mit Online Medien machen. Fotos vom Handy auf den PC übertragen, Videos vom Entstehen von Bastelarbeiten hochladen, Chatten mit der Klasse und der Lehrperson, etc. Ich musste das neue Office 365 installieren, weil die Worksheets der Lehrperson nicht mehr mit meinem alten Office 2013 funktionierten. Jetzt müssen wir lernen, wie man Dokumente zwischen den persönlichen Cloudspeichern innerhalb der Familie austauscht. Das Home Schooling stellt manche Familien vor ganz neue Herausforderungen.
    • Satan Claws 25.04.2020 09:25
      Highlight Highlight @aberhallo

      Ich hätte dem Lehrer diesen proprietären Müll zurück geschickt, tausendfach.
    Weitere Antworten anzeigen
  • Denk nach 24.04.2020 17:51
    Highlight Highlight Ich hatte 2 Emails in den letzten 2 Wochen auf meinem Email account, die vom "Team" oder "Support" dieses Mailanbieter stammen sollten, mit Aufforderung irgendwelche Daten zu bestätigen oder was zu öffnen. Beide male schwer erkennbar (weil gut gemacht) und beide male nicht vom Spamfilter gefischt.... Übel. War nur an den detaillierten Informationen des Senders zu erkennen, ohne die klassisch schlechte Rechtschreibung oder sonstige Anzeichen. Man wurde sogar wegen der schlechten Darstellung auf dem Mobilegerät dazu aufgefordert dies auf dem PC zu öffnen...
  • Lauwärmer 24.04.2020 17:38
    Highlight Highlight Bitte passt auch auf DHL-Mails auf, die angeben, ein Paket warte am Zoll auf euch. Auch dieses Phishing kursiert momentan vermehrt und viele geben ihre Kreditkartendaten an.
  • El Vals del Obrero 24.04.2020 17:11
    Highlight Highlight Einem Webseiten-Inhaber, dem die URL "zahlung.cyon.ch.irgend.ein.quatsch.edu.it" nicht auffällt, sollte sich besser ein anderes Hobby oder einen anderen Job suchen.
    • atorator 24.04.2020 19:44
      Highlight Highlight Das kann den erfahrensten Betreiber erwischen. Böser Streit mit der Partnerin oder Partner, Elternteil gestorben. Es gibt eben immer Ausnahmesituationen. Oder besoffen.

    • Sarkasmusdetektor 24.04.2020 21:06
      Highlight Highlight Wenn du deine Mails so flüchtig liest, wir diesen Artikel, wirst du auch darauf reinfallen. Der Link sah eben gerade nicht so aus wie du schreibst.
  • derWolf 24.04.2020 17:00
    Highlight Highlight Mein Spam Ordner meldet sich fast im Stundentakt. Wahnsinn was zzt. abgeht. Nun meldet sich mein gmx Konto und erzählt mir ich hätte mich abgemeldet, habe ich nicht. 100%. Kann auch Mails versenden, bringe aber den Sch***balken nicht aus dem Bild! Bin absolut kein Profi, keine Ahnung was ich noch tun soll. Es nervt einfach gewaltig...
    • Pakart 24.04.2020 20:36
      Highlight Highlight gmx? – selber schuld, sorry 😐!
    • skynet 24.04.2020 21:53
      Highlight Highlight seriously?
    • Antinatalist ⚠ Lockdown-Fan-Club 24.04.2020 22:11
      Highlight Highlight Wie muss man sich den Sch***balken vorstellen?
    Weitere Antworten anzeigen

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel