Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten
Inhaltsverzeichnis
Der 28. Juni 2019 hatte es in sich: An diesem Freitag wurden cyon-Kundinnen und -Kunden Ziel einer Phishingattacke. Die Absicht der Angreifer: my.cyon-Benutzerdaten zu ergaunern. Während die genauen Beweggründe der Angreifer unbekannt sind, steht eines fest: Gekaperte Webhostings sind wertvolle Beute für Cyberkriminelle: 5 Gründe, warum Hacker Ihre Website hacken. Aber fangen wir von vorne an.
Morgenstund hat Gold im Mund: Phishing-Alarm
Der Tag begann mit einer Meldung von Tom in unserem Slack-Channel für besonders wichtige Ereignisse.
Das hiess für uns, die bei Ausfällen und Problemen vorgesehenen Prozesse anzustossen. Doch trotz Routine, mit Phishing dieser Grösse hatten wir es bis dato nicht zu tun gehabt. Schnell klinkten sich verantwortliche Personen aus allen Teams ein. An dieser Stelle ein Dankeschön an alle Beteiligten. In Krisenfällen zeigt sich besonders: Bei cyon sind die Leute mit Herzblut bei der Sache.
Situationsanalyse: Was war geschehen?
Als erstes verschafften wir uns einen Überblick darüber, was denn eigentlich passiert war. In der Nacht zuvor hatten Angreifer offenbar gezielt cyon-Kundinnen und -Kunden angeschrieben und sie aufgefordert, auf einen präparierten Link in der E-Mail zu klicken. Der Link führte zu einer täuschend echten Kopie des Login-Formulars von my.cyon.ch. Die Phishing-Nachricht war, mit Ausnahme von ein paar Details, nicht schlecht gemacht. Oder hätten Sie die Nachricht auf den ersten Blick als Phishing erkannt?
Die Zeit drängt: Falle unschädlich machen
Die allererste Devise bei Phishing: Die Phishing-Seite möglichst schnell vom Netz nehmen zu lassen. Können nämlich Phishing-Opfer die Website nicht mehr aufrufen, ist der ganze Spuk bereits vorbei. Darum schickten unsere System-Engineers sofort eine Phishing-Meldung an den deutschen Hoster der Phishing-Seite. Um der Meldung zusätzliches Gewicht zu geben, griffen wir ein paar Minuten später zum Telefonhörer.
Zusätzlich meldeten wir die URL der Phishing-Seite bei Safe Browsing – Google Safe Browsing sowie antiphishing.ch, dem Meldeportal der Melde- und Analysestelle Informationssicherung MELANI.
MELANI überprüft Ihre Meldung, informiert den zuständigen Web Hosting Anbieter sowie den Inhaber der Webseite und bittet diese, die betrügerische Seite vom Netz zu nehmen. Zusätzlich werden gemeldete Phishing Seiten IT-Sicherheitsdienstleistern, Web Browser-Hersteller und Blacklist-Betreibern zur Verfügung gestellt, um einen maximalen Schutz der Internetnutzer in der Schweiz zu erreichen.
Woher stammen die E-Mail-Adressen?
Werden gezielt die eigenen Kundinnen und Kunden angeschrieben, stellt sich für uns sofort die Frage: Woher stammen die E-Mail-Adressen? In einem solchen Fall ist auch ein internes Datenleck denkbar. Relativ schnell wurde allerdings klar, dass dieser Verdacht unbegründet war.
Aber wie kamen die Angreifer an E-Mail-Adressen von cyon-Kundinnen und -Kunden? Nach heutigem Kenntnisstand ist die Antwort trivial und clever zugleich: Durch das Abgrasen von bei cyon gehosteten Websites. Konkret haben wir zwei Muster erkennen können:
- Die E-Mail-Adresse lautet info@, mail@, kontakt@, usw., entspricht also verbreiteten Standardadressen, unter der Website-Betreiberinnen und -Betreiber erreichbar sind.
- Die E-Mail-Adresse befindet sich öffentlich einsehbar auf der entsprechenden Website. Häufig ist das die Kontaktseite oder das Impressum.
Unser Jagdtrieb ist geweckt
Die Sperrung der Website durch den Hoster zog sich für unseren Geschmack etwas lange hin. Wir überlegten uns also, was wir in der Zwischenzeit tun konnten, um den Angreifern das Leben möglichst schwer zu machen.
Nach der Analyse der Phishing-Seite war klar, besonders Mühe hatten sich die Angreifer beim Aufstellen der Falle nicht gemacht. So wurden Bilder oder CSS-Code nicht etwa auf den Server der Phishing-Seite kopiert, sondern direkt von my.cyon.ch eingebunden. Und das brachte uns auf die Idee: Werden Inhalte eingebunden, die unter unserer Kontrolle sind, können wir diese Inhalte kontrollieren. Dank einer praktischen Funktion von Webbrowsern, können wir steuern, wer diese Inhalte zu Gesicht bekommt: Der Referrer.
Kurzerhand packte unser Software-Entwickler Dominic seine besten Photoshop-Skills aus, zauberte mithilfe von wenigen Zeilen Rewrite-Code eine unmissverständliche Warnung auf die Phishing-Seite und deaktivierte die CSS-Anweisungen.
Damit war, trotz noch erreichbarer Falle, allen potentiellen Phishing-Opfern klar: Hier sollte ich keine sensiblen Daten eingeben.
Süsser Honig: Wir stellen den Angreifern eine Falle
Die Neugier trieb uns weiter an. Wer waren diese Angreifer? Was ist ihre Absicht? Wir erstellten ein präpariertes my.cyon-Konto mit funktionierenden Zugangsdaten und füllten diese auf der Phishing-Seite ab. Die Hoffnung: Die Angreifer würden später versuchen, sich mit den gewonnenen Zugangsdaten auf my.cyon.ch einzuloggen. Das Warten begann. Zwischenzeitlich blockte der Hoster der Phishing-Seite den kompromittierten Account. Damit war die Gefahr für weitere Phishing-Opfer endgültig gebannt.
Am Freitagabend war es dann tatsächlich soweit. Das präparierte my.cyon-Konto verzeichnete ein erfolgreiches Login. Sofort begannen wir die IP-Adresse des Angreifers mit unseren Logs zu vergleichen. Und tatsächlich: Wir konnten weitere Loginversuche auf anderen my.cyon-Konten von der IP-Adresse des Angreifers feststellen. Erfolgreiche Logins liessen sich zum Glück an einer Hand abzählen.
Um weitere Anmeldeversuche zu unterbinden, sperrten wir anschliessend die marokkanische IP-Adresse des Angreifers und prüften unsere Logs auf weitere ungewöhnliche Zugriffe.
Während wir die Gesamtzahl aller Empfängerinnen und Empfänger der Phishing-E-Mail nicht kennen, wissen wir: Auf unseren Servern ist die Phishing-Nachricht knapp über 10’000-mal eingetroffen. Die Dunkelziffer dürfte höher sein, denn nicht alle cyon-Kundinnen und -Kunden betreiben neben der Website auch ihre E-Mail-Konten bei uns.
Am darauffolgenden Samstagmorgen informierten wir alle betroffenen Kunden nochmals in einer entsprechenden E-Mail. Der Tenor der Rückmeldungen deckte sich mit den Anfragen, die wir auf die ursprüngliche Phishing-E-Mail erhalten haben: cyon-Kundinnen und -Kunden sind sich der Gefahr von Phishing sehr bewusst und erkennen, wenn es sich um einen Betrugsversuch handelt.
Fazit: Erste Phishingattacke überstanden
Nach über 16-jährigem Bestehen von cyon war dies der erste Phishing-Angriff auf unsere Kundinnen und Kunden. Das zeigt, dass wir mittlerweile für einen nicht unerheblichen Teil des «Schweizer» Internets verantwortlich sind, was uns naturgemäss auch zum Ziel solcher Angriffe macht. Zugleich führt uns das auch unsere Verantwortung gegenüber unseren Kundinnen und Kunden einmal mehr eindrücklich vor Augen. Das Thema Sicherheit hat bei uns einen hohen Stellenwert und wird das auch in Zukunft behalten. Nicht zuletzt schweissen solche Ereignisse auch immer zusammen. Teambildende Massnahmen in extrem sozusagen. Und auch der Humor geht in solch stressigen Situationen nicht verloren. Unsere beiden Grundwerte «Freude» und «Respekt» bestehen also auch in Krisensituationen.
Bereit für den Wechsel?
Wechsle jetzt zu cyon für ein souveräneres und nachhaltigeres Internet.
Beteilige dich an der Diskussion
30 Kommentare
Mega guat winnar da uf da Phishing reagiert hait ond winnar da bi eu ghostet Content modifizeirt hait om d Warning ufzschalte.
De Artikel het sich wina chliini Detektivgschicht glesa. Super gmacht!!
Wirklich grosses Kino bei Cyon.
Der Arbeiter-Schiessverein dankt auch eurem starken Einsatz!
Danke für den spannenden Bericht.
Mega spannender Blog!
Und bin ziemlich überrascht ob der guten Qualität dieser Phishing-Mail. Forallem Sprahchlich kent mann ja da gans anderes. ;-)
Haben Sie die Angreifer auch physisch identifiziert – mit Namen und Adresse? Ich kenne Leute, die denen liebend gerne einen bleibenden Abrieb verpassen würden. Und deren Compis und Handies zu Schrott zertrampeln. Vielleicht sogar auch gernevte Anwender in Marokko, die wahrscheinlich auch höchst vergnügt mitmachen würden… Vielleicht sogar zusammen mit dem Anglerverein von Teniken Baselland, deren Absender wohl auch missbraucht worden ist.
Kompliment für eure zügige, konsequente und ERFOLGREICHE reaktion! Und vor allem auch die nachfolgende kommunikation darüber!!
Auch ich hatte da mail sofort gelöscht. Trotzdem :)
Danke sehr für die Transparenz und den spannenden Bericht!
Auch ich bin wirklich froh, bei Euch zu sein!
Hallo Cyon Team. Sehr gut gemacht! Schade kann man bei solchen Leuten nicht einfach zurückschlagen.
Starke Leistung, vielen Dank an das ganze Team!
Und toll, das Thema nicht einfach nur nüchtern und sachlich zu berichten, sondern eine gut lesbare Story daraus zu machen.
Ich weiß, weshalb ich deutschen Hostern den Rücken gekehrt habe, und nun Euch Schweizern vertraue ;-)
Wir haben noch die echten Bilder von Cyon gesehen und warnten Cyon somit hoffentlich sehr zeitig. Das Fake haben wir noch nicht gesehen als die mails als Pfishing bei uns erkannt waren.
Ich erkannte die Fake Mail sofort und habe den Angriff an Cyon schnell gemeldet und unsere Emailadressen meines Bruders und mir liegen ausserhalb von Cyon.
Wir meldeten das Pfisching wie folgt am 28.6.19 gegen 7Uhr32:
Fw: Sehr geehrter Kunde, sehr geehrte Kundin.
Von:
«Ingbert Hoffmann»
An:
info@cyon.ch
CC:
Ingbert , «Robert Hoffmann»
Datum:
28.06.2019 07:32:56
Achtung jemand scheint Ihre Webseite für Datenklau zu missbrauchen???
Bitte Sie haben noch nie eine solche Mail versendet und wir senden das in Spam weg. Haben Sie weitere Hinweise für den Missbrauch Ihres Namens?
MFG
Hoffmann
Uhrmachermeister Ingbert Hoffmann
Brünnigstrasse 140
6060 Sarnen
Tel: 0041 41 660 8600
GSM: 0041 76 518 0760
http://www.hoffmannuhren.ch
http://www.hoffmannuhrenshop.ch
http://www.swiss-watch-store.ch
http://www.swiss-watch-shop.ch
Bitte wenn andere Cyon Nutzer solche Mails sehen melden Sie diese Umgehend an Cyon weil unsere webseiten betroffen sind und wir haben viele bei Cyon.