Skip to main content

Wie wir uns gegen eine Phishingattacke wehrten

Der 28. Juni 2019 hatte es in sich: An diesem Freitag wurden cyon-Kundinnen und -Kunden Ziel einer Phishingattacke. Die Absicht der Angreifer: my.cyon-Benutzerdaten zu ergaunern. Während die genauen Beweggründe der Angreifer unbekannt sind, steht eines fest: Gekaperte Webhostings sind wertvolle Beute für Cyberkriminelle: 5 Gründe, warum Hacker Ihre Website hacken. Aber fangen wir von vorne an.

Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten

Morgenstund hat Gold im Mund: Phishing-Alarm

Der Tag begann mit einer Meldung von Tom in unserem Slack-Channel für besonders wichtige Ereignisse.

Tom meldet Phishingattacke

Freitagmorgen: Tom meldet die Phishingattacke im Alarm-Slack-Channel.

Das hiess für uns, die bei Ausfällen und Problemen vorgesehenen Prozesse anzustossen. Doch trotz Routine, mit Phishing dieser Grösse hatten wir es bis dato nicht zu tun gehabt. Schnell klinkten sich verantwortliche Personen aus allen Teams ein. An dieser Stelle ein Dankeschön an alle Beteiligten. In Krisenfällen zeigt sich besonders: Bei cyon sind die Leute mit Herzblut bei der Sache.

Situationsanalyse: Was war geschehen?

Als erstes verschafften wir uns einen Überblick darüber, was denn eigentlich passiert war. In der Nacht zuvor hatten Angreifer offenbar gezielt cyon-Kundinnen und -Kunden angeschrieben und sie aufgefordert, auf einen präparierten Link in der E-Mail zu klicken. Der Link führte zu einer täuschend echten Kopie des Login-Formulars von my.cyon.ch. Die Phishing-Nachricht war, mit Ausnahme von ein paar Details, nicht schlecht gemacht. Oder hätten Sie die Nachricht auf den ersten Blick als Phishing erkannt?

Screenshot Phishing-E-Mail

Phishing-E-Mail: Hätten Sie den Betrug sofort erkannt?

Die Zeit drängt: Falle unschädlich machen

Die allererste Devise bei Phishing: Die Phishing-Seite möglichst schnell vom Netz nehmen zu lassen. Können nämlich Phishing-Opfer die Website nicht mehr aufrufen, ist der ganze Spuk bereits vorbei. Darum schickten unsere System-Engineers sofort eine Phishing-Meldung an den deutschen Hoster der Phishing-Seite. Um der Meldung zusätzliches Gewicht zu geben, griffen wir ein paar Minuten später zum Telefonhörer.

Zusätzlich meldeten wir die URL der Phishing-Seite bei Safe Browsing – Google Safe Browsing sowie antiphishing.ch, dem Meldeportal der Melde- und Analysestelle Informationssicherung MELANI.

Was passiert nach einer Meldung?
MELANI überprüft Ihre Meldung, informiert den zuständigen Web Hosting Anbieter sowie den Inhaber der Webseite und bittet diese, die betrügerische Seite vom Netz zu nehmen. Zusätzlich werden gemeldete Phishing Seiten IT-Sicherheitsdienstleistern, Web Browser-Hersteller und Blacklist-Betreibern zur Verfügung gestellt, um einen maximalen Schutz der Internetnutzer in der Schweiz zu erreichen.

antiphishing.ch

Woher stammen die E-Mail-Adressen?

Werden gezielt die eigenen Kundinnen und Kunden angeschrieben, stellt sich für uns sofort die Frage: Woher stammen die E-Mail-Adressen? In einem solchen Fall ist auch ein internes Datenleck denkbar. Relativ schnell wurde allerdings klar, dass dieser Verdacht unbegründet war.

Aber wie kamen die Angreifer an E-Mail-Adressen von cyon-Kundinnen und -Kunden? Nach heutigem Kenntnisstand ist die Antwort trivial und clever zugleich: Durch das Abgrasen von bei cyon gehosteten Websites. Konkret haben wir zwei Muster erkennen können:

  • Die E-Mail-Adresse lautet info@, mail@, kontakt@, usw., entspricht also verbreiteten Standardadressen, unter der Website-Betreiberinnen und -Betreiber erreichbar sind.
  • Die E-Mail-Adresse befindet sich öffentlich einsehbar auf der entsprechenden Website. Häufig ist das die Kontaktseite oder das Impressum.

Unser Jagdtrieb ist geweckt

Die Sperrung der Website durch den Hoster zog sich für unseren Geschmack etwas lange hin. Wir überlegten uns also, was wir in der Zwischenzeit tun konnten, um den Angreifern das Leben möglichst schwer zu machen.

Nach der Analyse der Phishing-Seite war klar, besonders Mühe hatten sich die Angreifer beim Aufstellen der Falle nicht gemacht. So wurden Bilder oder CSS-Code nicht etwa auf den Server der Phishing-Seite kopiert, sondern direkt von my.cyon.ch eingebunden. Und das brachte uns auf die Idee: Werden Inhalte eingebunden, die unter unserer Kontrolle sind, können wir diese Inhalte kontrollieren. Dank einer praktischen Funktion von Webbrowsern, können wir steuern, wer diese Inhalte zu Gesicht bekommt: Der Referrer.

Referrer (englisch to refer „verweisen“) bezeichnet im World Wide Web die Webseite, über die der Benutzer zur aktuellen Webseite bzw. Datei gekommen ist. Bei einer HTTP-Anfrage (z. B. eine Webseite oder ein Bild) sendet der Webbrowser den URL der ursprünglichen Webseite an den Webserver.

Referrer bei wikipedia.org

Kurzerhand packte unser Software-Entwickler Dominic seine besten Photoshop-Skills aus, zauberte mithilfe von wenigen Zeilen Rewrite-Code eine unmissverständliche Warnung auf die Phishing-Seite und deaktivierte die CSS-Anweisungen.

Achtung Fake, Warnung auf der Phishing-Seite

Damit war, trotz noch erreichbarer Falle, allen potentiellen Phishing-Opfern klar: Hier sollte ich keine sensiblen Daten eingeben.

Süsser Honig: Wir stellen den Angreifern eine Falle

Die Neugier trieb uns weiter an. Wer waren diese Angreifer? Was ist ihre Absicht? Wir erstellten ein präpariertes my.cyon-Konto mit funktionierenden Zugangsdaten und füllten diese auf der Phishing-Seite ab. Die Hoffnung: Die Angreifer würden später versuchen, sich mit den gewonnenen Zugangsdaten auf my.cyon.ch einzuloggen. Das Warten begann. Zwischenzeitlich blockte der Hoster der Phishing-Seite den kompromittierten Account. Damit war die Gefahr für weitere Phishing-Opfer endgültig gebannt.

Am Freitagabend war es dann tatsächlich soweit. Das präparierte my.cyon-Konto verzeichnete ein erfolgreiches Login. Sofort begannen wir die IP-Adresse des Angreifers mit unseren Logs zu vergleichen. Und tatsächlich: Wir konnten weitere Loginversuche auf anderen my.cyon-Konten von der IP-Adresse des Angreifers feststellen. Erfolgreiche Logins liessen sich zum Glück an einer Hand abzählen.

Der Angreifer tappt in die Falle.

Der Angreifer tappt in die Falle.

Um weitere Anmeldeversuche zu unterbinden, sperrten wir anschliessend die marokkanische IP-Adresse des Angreifers und prüften unsere Logs auf weitere ungewöhnliche Zugriffe.

Während wir die Gesamtzahl aller Empfängerinnen und Empfänger der Phishing-E-Mail nicht kennen, wissen wir: Auf unseren Servern ist die Phishing-Nachricht knapp über 10’000-mal eingetroffen. Die Dunkelziffer dürfte höher sein, denn nicht alle cyon-Kundinnen und -Kunden betreiben neben der Website auch ihre E-Mail-Konten bei uns.

Am darauffolgenden Samstagmorgen informierten wir alle betroffenen Kunden nochmals in einer entsprechenden E-Mail. Der Tenor der Rückmeldungen deckte sich mit den Anfragen, die wir auf die ursprüngliche Phishing-E-Mail-erhalten haben: cyon-Kundinnen und -Kunden sind sich der Gefahr von Phishing sehr bewusst und erkennen, wenn es sich um einen Betrugsversuch handelt.

Fazit: Erste Phishingattacke überstanden

Nach über 16-jährigem Bestehen von cyon war dies der erste Phishing-Angriff auf unsere Kundinnen und Kunden. Das zeigt, dass wir mittlerweile für einen nicht unerheblichen Teil des «Schweizer» Internets verantwortlich sind, was uns naturgemäss auch zum Ziel solcher Angriffe macht. Zugleich führt uns das auch unsere Verantwortung gegenüber unseren Kundinnen und Kunden einmal mehr eindrücklich vor Augen. Das Thema Sicherheit hat bei uns einen hohen Stellenwert und wird das auch in Zukunft behalten. Nicht zuletzt schweissen solche Ereignisse auch immer zusammen. Teambildende Massnahmen in extrem sozusagen. Und auch der Humor geht in solch stressigen Situationen nicht verloren. Unsere beiden Grundwerte «Freude» und «Respekt» bestehen also auch in Krisensituationen.

cyonistas packen gemeinsam an.

cyonistas packen gemeinsam an.

Originaler Post


Keine Kommentare vorhanden