Digital
Schweiz

Bund warnt vor massiver Phishing-Welle – das steckt dahinter

Phishing-E-Mail im Namen des Schweizer Webhosting-Anbieters Cyon.
Phishing-E-Mail im Namen des Schweizer Webhosting-Anbieters Cyon. bild. cyon

Phishing-Welle überrollt Schweiz – darum sind Webseiten-Inhaber perfekte Betrugsopfer

Im Schatten der Corona-Krise laufen immer neue Phishing-Kampagnen gegen Schweizerinnen und Schweizer. Aktuell haben es die Betrüger (mal wieder) auf Webmaster und Domaininhaber abgesehen – denn jedes erbeutete Kundenkonto wird zu einer neuen Phishing-Schleuder.
24.04.2020, 16:4825.04.2020, 15:55
Mehr «Digital»

Zumindest diese Branche hat auch in der Corona-Krise Hochkonjunktur: Online-Kriminelle! Zuletzt versuchten es die Betrüger mit Fake-Wettbewerben für Migros-Gutscheine, vermeintlichen Online-Shops für Schutzmasken und Desinfektionsmittel oder Phishing-E-Mails im Namen des Bundesamtes für Gesundheit (BAG) oder der Weltgesundheitsorganisation (WHO).

In den letzten Tagen und Wochen kam es zu einer Häufung grösserer Phishing-Versuche gegen gleich mehrere Schweizer Webhosting-Provider. Das Computer Emergency Response Team (GovCERT) des Bundes warnt daher: «Seit Anfang April beobachten wir in der Schweiz eine Zunahme von Phishing-Angriffen gegen Webmaster und Domaininhaber.»

Unbekannte Kriminelle versuchen mit gefälschten E-Mails im Namen grosser Webhoster wie Hostpoint, Infomaniak oder Cyon an die Zugangsdaten der Webmaster und Domaininhaber zu gelangen. Das ist für weit mehr als nur die direkt Betroffenen gefährlich, da erbeutete Konten von Webhosting-Kunden bzw. Webseiten-Betreibern für weitere Online-Angriffe missbraucht werden können.

Darum sind Domain-Inhaber das Ziel von Phishing-Betrügern

Der Schweizer Webhosting-Provider Cyon schreibt auf seiner Webseite zum Thema Phishing: «Mit den Login-Daten ist es den Kriminellen möglich, auf dem Webhosting unserer Kunden weitere Phishing-Websites zu erstellen bzw. deren E-Mail-Konten für den Versand weiterer Phishing-E-Mails zu nutzen.» Das erbeutete Konto eines Webhosting-Kunden missbrauchen die Cyberkriminellen also in der Regel dafür, weitere Phishing-Angriffe auf andere Personen durchzuführen. Auf dem eigenen Webhosting laufen daher plötzlich kopierte Login-Seiten von Banken, Paypal, etc.

«Im aktuellen Fall konnten wir das bisher noch nicht feststellen», sagt Tom Brühwiler, Kommunikationsleiter bei Cyon. Normalerweise tauchten solche kopierten Webseiten auf gekaperten Kundenkonten auch erst später auf.

«Bei den aktuellen Phishing-Versuchen wurden nicht nur Login-Daten unserer Kunden abgefragt, sondern auch die Kreditkartendaten», sagt Brühwiler. Man könne davon ausgehen, «dass sowohl Login als auch Kreditkartendaten zu einem späteren Zeitpunkt verkauft oder anders verwendet werden.»

In den letzten Tagen hat die Phishing-Welle ihren Höhepunkt erreicht, wie die folgende Grafik zeigt.

Anzahl gemeldeter Phishing-Websites

Die Grafik zeigt die Anzahl verschiedener Phishing-Websites, die auf antiphishing.ch gemeldet wurden.(Berücksichtigt wurden nur die drei am stärksten betroffenen Schweizer Hosting-Provider)
Die Grafik zeigt die Anzahl verschiedener Phishing-Websites, die auf antiphishing.ch gemeldet wurden.(Berücksichtigt wurden nur die drei am stärksten betroffenen Schweizer Hosting-Provider)bild: govcert.ch

Zehntausende Fake-E-Mails innert Minuten

Auch bei der aktuellen Angriffswelle ist das Grundmuster zunächst bekannt: Um Zugang zum Admin-Bereich der Webhosting-Kunden zu erhalten, versenden die Angreifer in Wellen massenhaft Phishing-E-Mails, die vorgeben, vom eigenen Hosting-Provider zu stammen. Es beginnt also mit einer Nachricht, in der die Kunden unter einem Vorwand aufgefordert werden, sich auf der vermeintlichen Website ihres Webhosters einzuloggen. Nur dass der Link im erhaltenen E-Mail nicht zur Originalseite führt, sondern zu einer gefälschten Seite.

Eine gefälschte Login-Seite des Schweizer Webhosting-Anbieters Cyon.
Eine gefälschte Login-Seite des Schweizer Webhosting-Anbieters Cyon.bild. cyon

Tatsächlich stammen die betrügerischen E-Mails von gekaperten E-Mail-Konten im Ausland oder von Diensten, die die Angreifer ausschliesslich zu diesem Zweck bei ausländischen Hosting-Providern gemietet haben. Innert weniger Minuten werden bei solchen Wellen Zehntausende E-Mails verschickt. Aktuell sind sie auf Deutsch oder Französisch verfasst.

Laut Cyon stammen die Empfänger-Adressen «mutmasslich aus öffentlich zugänglichen Quellen im Internet, zum Beispiel von selbst veröffentlichten Websites (Impressum)».

Bei der letzten Attacke wurden demnach 79 Prozent der insgesamt fast 20'000 Phishing-Mails an leicht zu erratende info@Webseitenname.ch-Adressen verschickt. Und natürlich können solche Adresslisten auch in den dunklen Ecken des Internets gekauft werden.

Warum die Täter kaum geschnappt werden

Wie so oft sind die Täter auch bei den neusten Angriffen unbekannt. «Nicht selten verstecken sich die Phisher hinter VPNs und sind so schwierig zu lokalisieren. Unser Augenmerk liegt vielmehr darauf, die Phishing-Seiten raschestmöglich aus dem Netz zu bekommen», sagt Brühwiler vom Webhoster Cyon.

Man analysiere die Umstände bei jeder neuen Welle erneut und lerne ständig dazu. «Wir arbeiten beispielsweise laufend daran, die Erkennung solcher Phishing-Mails zu verbessern», sagt Brühwiler. Das sei aber eine Gratwanderung, «denn wer plötzlich zu viel filtert, wehrt auch legitime E-Mails ab.»

Ein Ende der Phishing-Angriffe ist vorerst nicht in Sicht: «Während wir immer weitere, ausgeklügeltere Gegenmassnahmen ergreifen, passen auch die Phisher ihre Angriffsmuster immer neu an. Es ist und bleibt ein Katz-und-Maus-Spiel.»

Warum tappen Webmaster in die Phishing-Falle?

Erstens: Die Phishing-E-Mails sind teils personalisiert. Sie enthalten beispielsweise den persönlichen Domainnamen. Auch der Phishing-Link ist so weit personalisiert, dass er mit dem Namen des jeweiligen Webhosting-Providers beginnt. Wer in der Eile nur flüchtig hinschaut, kann darauf hereinfallen.

Der Mauszeiger über dem Link enthüllt den Betrug.
Der Mauszeiger über dem Link enthüllt den Betrug.

In diesem Beispiel scheint der für den E-Mail-Empfänger sichtbare Link zwar auf den ersten Blick zum Schweizer Webhosting-Provider Cyon zu zeigen, «tatsächlich landete man bei einem Klick aber auf diversen Servern in Italien, auf denen eine exakte Kopie der Verwaltungsoberfläche von Cyon platziert war», sagt Brühwiler.

Zweitens: Die Angreifer schreiben in der Fake-Nachricht, dass das Konto gesperrt worden sei oder in den nächsten Stunden gesperrt werde, wenn man nicht auf den angegebenen Link klicke. Dazu sagt Brühwiler:

«Unseren Kunden wurde im E-Mail vorgegaukelt, dass sie umgehend eine noch offene Rechnung bezahlen müssten, ansonsten werde Ihre Website oder E-Mail in wenigen Stunden abgestellt. Der aufgebaute Zeitdruck ist bereits ein typisches Zeichen für Phishing. Unter Druck lassen sich Nutzer viel eher dazu verleiten, etwas Unbedachtes zu tun.»

Es tappt nur ein verschwindend kleiner Prozentsatz in die Falle, doch das reicht den Angreifern. Denn jedes erbeutete Kundenkonto kann für neue Phishing-Angriffe missbraucht werden. Es wird so zur nächsten Phishing-Schleuder.

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen: zum Beispiel Benutzernamen, Passwörter oder PINs und TANs für die E-Banking-Portale von Banken.

Um es Angreifern schwerer zu machen, sollte man im Netz wenn immer möglich die Anmeldung mittels 2-Schritt-Verifizierung (z. B. QR-Code, Code per SMS) aktivieren. Zahlreiche Unternehmen bieten dies teils seit Jahren an.

Pflicht ist die zweistufige Anmeldung allerdings, ausser beim E-Banking, fast nie. Der Grund: «Wir stellen immer wieder fest, dass viele das Verfahren als mühsam oder lästig empfinden und deshalb ablehnen. Darauf müssen wir Rücksicht nehmen», sagt Brühwiler.

Eine gute Übersicht mit Tipps, wie man sich gegen Online-Betrug schützen kann, gibt es hier.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Betrug mit Post-Paketen im grossen Stil
Video: srf
Das könnte dich auch noch interessieren:
23 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
El Vals del Obrero
24.04.2020 17:11registriert Mai 2016
Einem Webseiten-Inhaber, dem die URL "zahlung.cyon.ch.irgend.ein.quatsch.edu.it" nicht auffällt, sollte sich besser ein anderes Hobby oder einen anderen Job suchen.
12533
Melden
Zum Kommentar
avatar
Lari Fahri
24.04.2020 18:08registriert Juni 2019
Genau aus diesem Grund bin ich der Ansicht, dass Schüler im Rahmen des Unterrichtes verstärkt "Nutzung von Online Medien" lernen sollten.
819
Melden
Zum Kommentar
avatar
Lauwärmer
24.04.2020 17:38registriert Mai 2015
Bitte passt auch auf DHL-Mails auf, die angeben, ein Paket warte am Zoll auf euch. Auch dieses Phishing kursiert momentan vermehrt und viele geben ihre Kreditkartendaten an.
623
Melden
Zum Kommentar
23
Nvidia präsentiert neuen «KI-Superchip»
Der Chipkonzern Nvidia will die führende Rolle bei Technik für Anwendungen mit Künstlicher Intelligenz mit einer neuen Generation seiner Computerplattform ausbauen.

Nvidia sieht das System mit dem Namen Blackwell als «Antrieb einer neuen industriellen Revolution» durch KI. Das System sei beim Anlernen von Künstlicher Intelligenz vier Mal leistungsstärker als die aktuelle Generation Grace Hopper.

Zur Story