News
Insights

Insight

Phishing: So schützen Sie Ihre wertvollen Webhosting Daten
Es waren unschöne Momente, als während der letzten Wochen wieder und wieder gefälschte E-Mails im Namen unserer Schweizer Webhosting Marktbegleiter an deren Kunden versandt wurden, um - manchmal erfolgreich! - sensible Zugangsinformationen zu erschleichen ("Phishing"). Agieren Sie jetzt präventiv und schützen Sie Ihre persönlichen Daten noch heute und somit rechtzeitig vor derart krimineller Energie. - Hier erfahren Sie wie!

Phishing? - Jetzt Multifaktor-Authentifizierung aktivieren (Spoileralarm)!

In der Kürze liegt bekanntlich die Würze: Wenn Sie Ihre persönlichen Daten, welche Sie in unserem Webhosting gespeichert haben, wirkungsvoll vor Phishing (und anderen Machenschaften und Methoden von Datendiebstahl) schützen möchten, aktivieren Sie, am besten gleich jetzt, die von uns für das Kundencenter angebotene Multifaktor Authentifizierung via dortige Navigationsoption „Kundendaten“. - Wenn Ihnen diese Information so bereits ausreicht, brauchen Sie ab hier nicht mehr weiterzulesen. Wer es aber gerne ein bisschen ausführlicher mag, der findet im folgenden weiterführende Hintergrundinformationen wie und warum Sie Daten in Ihrem Webhosting, aber auch andere persönliche Daten, nachhaltig vor Phishing schützen. Die meisten Opfer erfolgreicher Phishing Attacken kannten diesen Begriff im Voraus lediglich vom Hörensagen oder oft überhaupt nicht; ein Verständnis der Problematik ist der erste Schritt für eine wirkungsvolle Prävention!

Image: 2fa.jpg

Phishing? - Passiert mir nicht!

Sie kennen es: In Ihrer Mailbox liegt - entweder im 'Spam'-Verzeichnis oder gar in die Spam-Quarantäne aussortiert - eine E-Mailnachricht mit Betreff "Ihr Kontosicherheit ist gefährlicht", welche da vermeintlich von einer Schweizer Grossbank an Sie versandt und offenbar von einer dortigen Mitarbeiterin mit wohlklingendem Namen formuliert wurde; das HTML-Layout der Nachricht wurde so gut es ging jenem der obigen Bank nachempfunden, aber spätestens beim schrecklichen Deutsch des Nachrichteninhaltes fällt es Ihnen wie Schuppen von den Augen: Sie haben eine Phishing Nachricht empfangen! Jemand möchte da mit einer erheblichen Portion krimineller Energie Zugangsdaten erschleichen, mein Konto plündern, mein Vermögen an sich reissen. - Pfui Tüüfel! - Selbstverständlich löschen Sie eine solche E-Mail unverzüglich und ohne weiteres und natürlich sind Sie jetzt beruhigt: Der geo-redundante, mehrstufige Antispam- und Antivirus-Mechanismus in meinem Schweizer Webhosting von Hostfactory hat seine Aufgabe mit Bravour gemeistert, Sie besitzen gar kein Konto bei oben genanntem Geldinstitut und, ja klar: "Auf so etwas falle ich bestimmt niemals rein!"

Phishing? - Könnte mir doch passieren!

Dass derartiges aber auch anders und deutlich besser geht, zeigten in jüngster Vergangenheit die wiederholten Vorkommnisse bei einigen unserer Schweizer Webhosting Marktbegleiter. Wieder und wieder wurden gefälschte Nachrichten in deren Namen und wiederum an deren Kunden versandt: (Okay..., wenigstens manchmal) korrektes Deutsch, (Okay..., wenigstens manchmal) nahezu identisches Layout, (Okay..., wenigstens manchmal) plausible Formulierung und - last but not least - eine Verlinkung "Zum Kundenkonto", welche zu einer ebenso exakt vom tatsächlichen Schweizer Webhosting Provider kopierte Website führte, welche selbst den überdurchschnittlichen Internetbenutzer glauben liess, tatsächlich vor dem wirklichen Login zu seinem ihm doch allerbestens vertrauten Webhosting Control Panel zu stehen. Um die Sicherheit zu verbessern - beispielsweise - hätte der Support von unserem Schweizer Webhosting Provider des Vertrauens eine wichtige Nachricht für uns parat, wäre jetzt ein Login hier nötig, wird in der ursprünglichen Nachricht erklärt, zum Schutz Ihrer Webhosting Daten, damit niemand die Inhalte persönlichster E-Mails einsehen könne, damit alles seinen rechten Lauf nehme. Während wir nun proaktiv unseren Benutzernamen und unser aktuell gültiges Passwort - wohlverstanden oftmals eine Kombination, wie wir sie hier und da, auch bei Facebook, Instagram, Parhsip und und und... verwenden - via gut kopierte und somit gut gefälschte Website der Betrüger in deren Datenbank speichern, wird uns auf dem Bildschirm bestätigt, dass jetzt alles seinen rechten Lauf nehmen würde, unsere Daten jetzt in Sicherheit sein. - Entspannt lehnen wir uns zurück, wähnen uns wiederum in Sicherheit und sind beruhigt. Vor lauter Stolz zu Gunsten erhöhter Sicherheit gehandelt zu haben, denken wir - auch wenn in diesem vermeintlichen Control Panel eigentlich alles fehlt, was es sonst hier üblicherweise zur Verwaltung gibt (Domainverwaltung, E-Mail Mangement etc.)! - keinen Moment daran, dass es jetzt doch tatsächlich aller höchste Eisenbahn wäre, im tatsächlichen Control Panel unseres Webhosting Providers, das soeben betrügerischen Dritten ausgeplauderte Passwort umgehend durch ein neues, starkes, einzigartiges Passwort zu ersetzen.

Es waren dann jeweils unschöne Momente bei unseren Webhosting Wettbewerber, als dann doch einige wenige den üblen Plan und die bösen Machenschaften, welcher dieser Phishing Nachricht zugrunde lagen, durchschauten und - zum Glück - via Twitter den Provider und andere Mitleser umgehend warnten:

Bild: https://twitter.com/vonarxMarketing/status/1157375165770153990
Bild: https://twitter.com/vonarxMarketing/status/1157375165770153990

Phishing? - Die Frage ist nicht ob, sondern wann!

Nicht nur der oben beispielhaft gezeigte Schweizer Hosting Provider Cyon wurde Opfer derartiger Machenschaften: Gleiche Warnungen im Zusammenhang mit Hostpoint, Hosttech, Novatrend etc. haben uns ebenfalls erreicht. Und so sind wir es uns bewusst: Es steht nicht die Frage im Raum, ob es bald auch Schweizer Webhosting Kunden von Hostfactory treffen würde, vielmehr aber wann derartiges passieren wird. Deshalb ist es unablässig, jetzt die Phishing-Sinne zu schärfen und präventiv zu agieren. Späteres, defensives Reagieren ist weitaus komplizierter: Lassen Sie es uns also heute noch angehen!

Phishing? - Was ist das eigentlich ganz genau?

Per Definition wird unter Phishing (von englisch "fishing", zu deutsch "fischen") der Versuch verstanden, in der Regel via betrügerische, gefälschte E-Mailnachrichten, manchmal aber auch per SMS, „Whatsapp“-Messages odgl., welche dann selbst wiederum auf eine ebenso betrügerische, gefälschte Website verlinken, Identitätsdiebstahl zu begehen und oder persönliche Daten einer anderen Person zu erschleichen und somit dieser zu schaden. Bei Phishing wird die Gutgläubigkeit des Opfers ausgenutzt: Typischerweise wird dabei der Internetauftritt einer bekannten Institution täuschend echt nachgebaut. In der Regel wird das Opfer nun per E-Mailnachricht, deren Absender gefälscht wurde, aufgefordert, die obige Website aus wichtigem Grund zu besuchen und dort eine Anmeldung vorzunehmen. In Tat und Wahrheit werden diese Angaben an den Angreifer übermittelt, welche diese möglichst bald auf der Website des tatsächlichen Anbieters missbräuchlich verwendet. Im Falle einer Bank beispielsweise kann so das Konto des Opfers geplündert werden, im Falle eines Webhosting Providers erhält der Angreifer Zugriff auf beispielsweise E-Mails des Opfers oder aber kann via Mailboxen des Opfers und in dessen Name weitere, kriminelle Nachrichten versenden. Solche Phishing E-Mails werden meist in HTML formuliert, was dem Angreifer die Möglichkeit bietet, den angezeigten Linktext vom tatsächlichen Linkziel abweichend zu formulieren. In der Nachricht steht also beispielsweise „Zum Hostfactory Kundencenter“, während der tatsächliche URL dieser Verlinkung in Tat und Wahrheit aber auf die Zieldomain des Betrügers führt. – Klicken Sie nun eine solche Verlinkung an, erreichen Sie in Wirklichkeit den Server des Angreifers, welcher hier aber eine möglichst genaue Kopie der vermeintlichen Originalwebsite anbietet; dass in der Adresszeile Ihres Browsers eine abweichende Domain steht, übersehen Sie vermutlich, wenn Sie auf diese Thematik nicht ganz besonders sensibilisiert sind. Oftmals machen es sich die Kriminellen zu Nutze, dass dem eigentlichen Original sehr ähnliche Domains verwendet werden (statt YAHOO.COM, vielleicht YAH00.com, also eine Null anstelle eines Buchstabens „O“). – „Okay, kann sein, dass dieses Detail in der Hitze des Gefechts übersehen wird, aber genau dafür gibt es doch HTTPS, resp. gültige SSL-Zertifikate“, werden wir jetzt einwenden. Grundsätzlich ja. Ja, aber! Warum sollte denn der Angreifer für „YAH00.com“ kein gültiges SSL-Zertifikat verwenden? Es spricht nichts dagegen und – viel schlimmer noch: Ihr Browser wird „yah00.com“ als „sicher“ attestieren! – War der Angreifer bereits bis hierhin erfolgreich, wird er es vermutlich also weiterhin bleiben und er wird uns auf seiner Seite eine Anmeldung präsentieren. Im Glauben auf der originalen Webseite des vermeintlichen Anbieters, also eben von unserer Hausbank, von unserem Webhosting Provider oder wo auch immer, zu sein, werden wir vertrauensvoll unseren Benutzernamen und unser Passwort in die dazu vorgesehen Felder eintragen und das Formular absenden. – Bingo! Just in diesem Moment speichern wir unsere persönlichen, vertraulichen Informationen direkt und proaktiv in die Datenbank des kriminellen Angreifers. Just in diesem Moment erhält derselbe einwandfrei autorisierten Zugriff auf unser tatsächliches Konto beim eigentlichen Anbieter. – Das war’s dann…

Nebst der hier beschriebenen, ursprünglichen Form von Phishing gibt es mittlerweile auch neuere, komplexere Methoden via sog. Trojanische Pferde, Man-in-the-Middle Attacken, Spear-Phishing, Pharming etc., welche aber deutlich weniger verbreitet sind und auf diese ich an dieser Stelle nicht näher eingehen möchte.

Phishing? – Klar, verstanden! Aber was nun?

Die vertraulichen Anmeldeinformationen befinden sich also mittlerweilen in der Datenbank des Betrügers – unsererseits unbemerkt, wohlverstanden – zumindest im ersten Moment! Der Angreifer wird die von uns gewonnenen – oder eben: gefischten – Informationen so bald wie möglich missbräuchlich verwenden und Ihnen Schaden – welcher Art auch immer – zufügen. – Es bleibt nur eines: Die gesammelten Daten müssen unbrauchbar bleiben und jetzt kommt der eingangs erwähnte Mechanismus der Multifaktor Authentifizierung ins Spiel! Wird für eine erfolgreiche Anmeldung nebst Benutzername und Passwort eine weitere, jeweils nur während sehr kurzer Zeit gültigen Komponente vorausgesetzt, wird der Machenschaft, wie wir diese oben beschrieben haben, in praktisch allen Fällen der Garaus gemacht.

Für das Hostfactory Kundencenter „my.hostfactory“ bieten wir unter „Kundendaten“ > „Logindaten“ die entsprechende Möglichkeit „Zwei-Faktor-Authentifizierung“ an, welche per Google Authenticator App auf ihrem Mobiltelefon genau diese dritte, jeweils nur kurz gültige Komponente offeriert. Aktivieren Sie diese Option als Webhosting Kunde von Hostfactory besser heute als erst morgen. Darüber hinaus lohnt sich in diesem Zusammenhang die plausibilität des Absenders einer E-Mail stets zu prüfen. Achten Sie ausserdem peinlichst genau darauf, dass allfällige Linkziele in solchen Nachrichten auch tatsächlich dorthin verweisen, wo sie auch wirklich hinweisen (Thema „YAHOO.COM“ nicht zu „YAH00.COM“) und prüfen Sie nach Möglichkeit, auf welche genaue Organisation ein allenfalls vorhandenes SSL-Zertifikat ausgestellt wurde:

Image: hfchev.png

In diesem Sinne, auf eine geschützte, sichere Zusammenarbeit!

Mit Begeisterung!
Andi Herzig

hostfactory.ch
Anleitung