Zumindest diese Branche hat auch in der Corona-Krise Hochkonjunktur: Online-Kriminelle! Zuletzt versuchten es die Betrüger mit Fake-Wettbewerben für Migros-Gutscheine, vermeintlichen Online-Shops für Schutzmasken und Desinfektionsmittel oder Phishing-E-Mails im Namen des Bundesamtes für Gesundheit (BAG) oder der Weltgesundheitsorganisation (WHO).
In den letzten Tagen und Wochen kam es zu einer Häufung grösserer Phishing-Versuche gegen gleich mehrere Schweizer Webhosting-Provider. Das Computer Emergency Response Team (GovCERT) des Bundes warnt daher: «Seit Anfang April beobachten wir in der Schweiz eine Zunahme von Phishing-Angriffen gegen Webmaster und Domaininhaber.»
Unbekannte Kriminelle versuchen mit gefälschten E-Mails im Namen grosser Webhoster wie Hostpoint, Infomaniak oder Cyon an die Zugangsdaten der Webmaster und Domaininhaber zu gelangen. Das ist für weit mehr als nur die direkt Betroffenen gefährlich, da erbeutete Konten von Webhosting-Kunden bzw. Webseiten-Betreibern für weitere Online-Angriffe missbraucht werden können.
Der Schweizer Webhosting-Provider Cyon schreibt auf seiner Webseite zum Thema Phishing: «Mit den Login-Daten ist es den Kriminellen möglich, auf dem Webhosting unserer Kunden weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.» Das erbeutete Konto eines Webhosting-Kunden missbrauchen die Cyberkriminellen also in der Regel dafür, weitere Phishing-Angriffe auf andere Personen durchzuführen. Auf dem eigenen Webhosting laufen daher plötzlich kopierte Login-Seiten von Banken, Paypal, etc.
«Im aktuellen Fall konnten wir das bisher noch nicht feststellen», sagt Tom Brühwiler, Kommunikationsleiter bei Cyon. Normalerweise tauchten solche kopierten Webseiten auf gekaperten Kundenkonten auch erst später auf.
«Bei den aktuellen Phishing-Versuchen wurden nicht nur Login-Daten unserer Kunden abgefragt, sondern auch die Kreditkartendaten», sagt Brühwiler. Man könne davon ausgehen, «dass sowohl Login als auch Kreditkartendaten zu einem späteren Zeitpunkt verkauft oder anders verwendet werden.»
In den letzten Tagen hat die Phishing-Welle ihren Höhepunkt erreicht, wie die folgende Grafik zeigt.
Auch bei der aktuellen Angriffswelle ist das Grundmuster zunächst bekannt: Um Zugang zum Admin-Bereich der Webhosting-Kunden zu erhalten, versenden die Angreifer in Wellen massenhaft Phishing-E-Mails, die vorgeben, vom eigenen Hosting-Provider zu stammen. Es beginnt also mit einer Nachricht, in der die Kunden unter einem Vorwand aufgefordert werden, sich auf der vermeintlichen Website ihres Webhosters einzuloggen. Nur dass der Link im erhaltenen E-Mail nicht zur Originalseite führt, sondern zu einer gefälschten Seite.
Tatsächlich stammen die betrügerischen E-Mails von gekaperten E-Mail-Konten im Ausland oder von Diensten, die die Angreifer ausschliesslich zu diesem Zweck bei ausländischen Hosting-Providern gemietet haben. Innert weniger Minuten werden bei solchen Wellen Zehntausende E-Mails verschickt. Aktuell sind sie auf Deutsch oder Französisch verfasst.
Laut Cyon stammen die Empfänger-Adressen «mutmasslich aus öffentlich zugänglichen Quellen im Internet, zum Beispiel von selbst veröffentlichten Websites (Impressum)».
Bei der letzten Attacke wurden demnach 79 Prozent der insgesamt fast 20'000 Phishing-Mails an leicht zu erratende info@Webseitenname.ch-Adressen verschickt. Und natürlich können solche Adresslisten auch in den dunklen Ecken des Internets gekauft werden.
Wie so oft sind die Täter auch bei den neusten Angriffen unbekannt. «Nicht selten verstecken sich die Phisher hinter VPNs und sind so schwierig zu lokalisieren. Unser Augenmerk liegt vielmehr darauf, die Phishing-Seiten raschestmöglich aus dem Netz zu bekommen», sagt Brühwiler vom Webhoster Cyon.
Man analysiere die Umstände bei jeder neuen Welle erneut und lerne ständig dazu. «Wir arbeiten beispielsweise laufend daran, die Erkennung solcher Phishing-Mails zu verbessern», sagt Brühwiler. Das sei aber eine Gratwanderung, «denn wer plötzlich zu viel filtert, wehrt auch legitime E-Mails ab.»
Ein Ende der Phishing-Angriffe ist vorerst nicht in Sicht: «Während wir immer weitere, ausgeklügeltere Gegenmassnahmen ergreifen, passen auch die Phisher ihre Angriffsmuster immer neu an. Es ist und bleibt ein Katz-und-Maus-Spiel.»
Erstens: Die Phishing-E-Mails sind teils personalisiert. Sie enthalten beispielsweise den persönlichen Domainnamen. Auch der Phishing-Link ist so weit personalisiert, dass er mit dem Namen des jeweiligen Webhosting-Providers beginnt. Wer in der Eile nur flüchtig hinschaut, kann darauf hereinfallen.
In diesem Beispiel scheint der für den E-Mail-Empfänger sichtbare Link zwar auf den ersten Blick zum Schweizer Webhosting-Provider Cyon zu zeigen, «tatsächlich landete man bei einem Klick aber auf diversen Servern in Italien, auf denen eine exakte Kopie der Verwaltungsoberfläche von Cyon platziert war», sagt Brühwiler.
Zweitens: Die Angreifer schreiben in der Fake-Nachricht, dass das Konto gesperrt worden sei oder in den nächsten Stunden gesperrt werde, wenn man nicht auf den angegebenen Link klicke. Dazu sagt Brühwiler:
Es tappt nur ein verschwindend kleiner Prozentsatz in die Falle, doch das reicht den Angreifern. Denn jedes erbeutete Kundenkonto kann für neue Phishing-Angriffe missbraucht werden. Es wird so zur nächsten Phishing-Schleuder.
Wieso es wichtig ist IMMER die Mailadresse genauer anzuschauen bei solchen eMails😉
— Michael #StayTheFHome Frauchiger (@MFrauchigerSVP) April 16, 2020
Zum Glück ist mein Provider @hostpoint diesbezüglich klar, einfach und schnell in der Kommunikation 🤓
Passt auf und prüft Mails bevor Ihr blind auf links Klickt 😉 pic.twitter.com/42mtKNCQcd
Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen: zum Beispiel Benutzernamen, Passwörter oder PINs und TANs für die E-Banking-Portale von Banken.
Um es Angreifern schwerer zu machen, sollte man im Netz wenn immer möglich die Anmeldung mittels 2-Schritt-Verifizierung (z. B. QR-Code, Code per SMS) aktivieren. Zahlreiche Unternehmen bieten dies teils seit Jahren an.
Pflicht ist die zweistufige Anmeldung allerdings, ausser beim E-Banking, fast nie. Der Grund: «Wir stellen immer wieder fest, dass viele das Verfahren als mühsam oder lästig empfinden und deshalb ablehnen. Darauf müssen wir Rücksicht nehmen», sagt Brühwiler.
Eine gute Übersicht mit Tipps, wie man sich gegen Online-Betrug schützen kann, gibt es hier.