Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Phishing-E-Mail im Namen des Schweizer Webhosting-Anbieters Cyon. bild. cyon

Phishing-Welle überrollt Schweiz – darum sind Webseiten-Inhaber perfekte Betrugsopfer

Im Schatten der Corona-Krise laufen immer neue Phishing-Kampagnen gegen Schweizerinnen und Schweizer. Aktuell haben es die Betrüger (mal wieder) auf Webmaster und Domaininhaber abgesehen – denn jedes erbeutete Kundenkonto wird zu einer neuen Phishing-Schleuder.



Zumindest diese Branche hat auch in der Corona-Krise Hochkonjunktur: Online-Kriminelle! Zuletzt versuchten es die Betrüger mit Fake-Wettbewerben für Migros-Gutscheine, vermeintlichen Online-Shops für Schutzmasken und Desinfektionsmittel oder Phishing-E-Mails im Namen des Bundesamtes für Gesundheit (BAG) oder der Weltgesundheitsorganisation (WHO).

In den letzten Tagen und Wochen kam es zu einer Häufung grösserer Phishing-Versuche gegen gleich mehrere Schweizer Webhosting-Provider. Das Computer Emergency Response Team (GovCERT) des Bundes warnt daher: «Seit Anfang April beobachten wir in der Schweiz eine Zunahme von Phishing-Angriffen gegen Webmaster und Domaininhaber.»

Unbekannte Kriminelle versuchen mit gefälschten E-Mails im Namen grosser Webhoster wie Hostpoint, Infomaniak oder Cyon an die Zugangsdaten der Webmaster und Domaininhaber zu gelangen. Das ist für weit mehr als nur die direkt Betroffenen gefährlich, da erbeutete Konten von Webhosting-Kunden bzw. Webseiten-Betreibern für weitere Online-Angriffe missbraucht werden können.

Darum sind Domain-Inhaber das Ziel von Phishing-Betrügern

Der Schweizer Webhosting-Provider Cyon schreibt auf seiner Webseite zum Thema Phishing: «Mit den Login-Daten ist es den Kriminellen möglich, auf dem Webhosting unserer Kunden weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.» Das erbeutete Konto eines Webhosting-Kunden missbrauchen die Cyberkriminellen also in der Regel dafür, weitere Phishing-Angriffe auf andere Personen durchzuführen. Auf dem eigenen Webhosting laufen daher plötzlich kopierte Login-Seiten von Banken, Paypal, etc.

«Im aktuellen Fall konnten wir das bisher noch nicht feststellen», sagt Tom Brühwiler, Kommunikationsleiter bei Cyon. Normalerweise tauchten solche kopierten Webseiten auf gekaperten Kundenkonten auch erst später auf.

«Bei den aktuellen Phishing-Versuchen wurden nicht nur Login-Daten unserer Kunden abgefragt, sondern auch die Kreditkartendaten», sagt Brühwiler. Man könne davon ausgehen, «dass sowohl Login als auch Kreditkartendaten zu einem späteren Zeitpunkt verkauft oder anders verwendet werden.»

In den letzten Tagen hat die Phishing-Welle ihren Höhepunkt erreicht, wie die folgende Grafik zeigt.

Anzahl gemeldeter Phishing-Websites

Bild

Die Grafik zeigt die Anzahl verschiedener Phishing-Websites, die auf antiphishing.ch gemeldet wurden.(Berücksichtigt wurden nur die drei am stärksten betroffenen Schweizer Hosting-Provider) bild: govcert.ch

Zehntausende Fake-E-Mails innert Minuten

Auch bei der aktuellen Angriffswelle ist das Grundmuster zunächst bekannt: Um Zugang zum Admin-Bereich der Webhosting-Kunden zu erhalten, versenden die Angreifer in Wellen massenhaft Phishing-E-Mails, die vorgeben, vom eigenen Hosting-Provider zu stammen. Es beginnt also mit einer Nachricht, in der die Kunden unter einem Vorwand aufgefordert werden, sich auf der vermeintlichen Website ihres Webhosters einzuloggen. Nur dass der Link im erhaltenen E-Mail nicht zur Originalseite führt, sondern zu einer gefälschten Seite.

Bild

Eine gefälschte Login-Seite des Schweizer Webhosting-Anbieters Cyon. bild. cyon

Tatsächlich stammen die betrügerischen E-Mails von gekaperten E-Mail-Konten im Ausland oder von Diensten, die die Angreifer ausschliesslich zu diesem Zweck bei ausländischen Hosting-Providern gemietet haben. Innert weniger Minuten werden bei solchen Wellen Zehntausende E-Mails verschickt. Aktuell sind sie auf Deutsch oder Französisch verfasst.

Laut Cyon stammen die Empfänger-Adressen «mutmasslich aus öffentlich zugänglichen Quellen im Internet, zum Beispiel von selbst veröffentlichten Websites (Impressum)».

Bei der letzten Attacke wurden demnach 79 Prozent der insgesamt fast 20'000 Phishing-Mails an leicht zu erratende info@Webseitenname.ch-Adressen verschickt. Und natürlich können solche Adresslisten auch in den dunklen Ecken des Internets gekauft werden.

Warum die Täter kaum geschnappt werden

Wie so oft sind die Täter auch bei den neusten Angriffen unbekannt. «Nicht selten verstecken sich die Phisher hinter VPNs und sind so schwierig zu lokalisieren. Unser Augenmerk liegt vielmehr darauf, die Phishing-Seiten raschestmöglich aus dem Netz zu bekommen», sagt Brühwiler vom Webhoster Cyon.

Man analysiere die Umstände bei jeder neuen Welle erneut und lerne ständig dazu. «Wir arbeiten beispielsweise laufend daran, die Erkennung solcher Phishing-Mails zu verbessern», sagt Brühwiler. Das sei aber eine Gratwanderung, «denn wer plötzlich zu viel filtert, wehrt auch legitime E-Mails ab.»

Ein Ende der Phishing-Angriffe ist vorerst nicht in Sicht: «Während wir immer weitere, ausgeklügeltere Gegenmassnahmen ergreifen, passen auch die Phisher ihre Angriffsmuster immer neu an. Es ist und bleibt ein Katz-und-Maus-Spiel.»

Warum tappen Webmaster in die Phishing-Falle?

Erstens: Die Phishing-E-Mails sind teils personalisiert. Sie enthalten beispielsweise den persönlichen Domainnamen. Auch der Phishing-Link ist so weit personalisiert, dass er mit dem Namen des jeweiligen Webhosting-Providers beginnt. Wer in der Eile nur flüchtig hinschaut, kann darauf hereinfallen.

Bild

Der Mauszeiger über dem Link enthüllt den Betrug.

In diesem Beispiel scheint der für den E-Mail-Empfänger sichtbare Link zwar auf den ersten Blick zum Schweizer Webhosting-Provider Cyon zu zeigen, «tatsächlich landete man bei einem Klick aber auf diversen Servern in Italien, auf denen eine exakte Kopie der Verwaltungsoberfläche von Cyon platziert war», sagt Brühwiler.

Zweitens: Die Angreifer schreiben in der Fake-Nachricht, dass das Konto gesperrt worden sei oder in den nächsten Stunden gesperrt werde, wenn man nicht auf den angegebenen Link klicke. Dazu sagt Brühwiler:

«Unseren Kunden wurde im E-Mail vorgegaukelt, dass sie umgehend eine noch offene Rechnung bezahlen müssten, ansonsten werde Ihre Website oder E-Mail in wenigen Stunden abgestellt. Der aufgebaute Zeitdruck ist bereits ein typisches Zeichen für Phishing. Unter Druck lassen sich Nutzer viel eher dazu verleiten, etwas Unbedachtes zu tun.»

Es tappt nur ein verschwindend kleiner Prozentsatz in die Falle, doch das reicht den Angreifern. Denn jedes erbeutete Kundenkonto kann für neue Phishing-Angriffe missbraucht werden. Es wird so zur nächsten Phishing-Schleuder.

Die aktuell am stärksten betroffenen Webhoster Hostpoint, Infomaniak und Cyon verwalten zusammen rund eine Million Domainnamen.

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen: zum Beispiel Benutzernamen, Passwörter oder PINs und TANs für die E-Banking-Portale von Banken.

Um es Angreifern schwerer zu machen, sollte man im Netz wenn immer möglich die Anmeldung mittels 2-Schritt-Verifizierung (z. B. QR-Code, Code per SMS) aktivieren. Zahlreiche Unternehmen bieten dies teils seit Jahren an.

Pflicht ist die zweistufige Anmeldung allerdings, ausser beim E-Banking, fast nie. Der Grund: «Wir stellen immer wieder fest, dass viele das Verfahren als mühsam oder lästig empfinden und deshalb ablehnen. Darauf müssen wir Rücksicht nehmen», sagt Brühwiler.

Eine gute Übersicht mit Tipps, wie man sich gegen Online-Betrug schützen kann, gibt es hier.

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Betrug mit Post-Paketen im grossen Stil

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel