Phishing-Attacke auf hosttech - das ist passiert!

Am 28.08.2019 wurden E-Mails im Namen von hosttech versendet, die zum Ziel hatten, die myhosttech-Zugangsdaten von Kunden zu 'phishen'. Hier die Story, was hinter den Kulissen passiert ist.

Zunächst: Was ist Phishing?

Bei Phishing handelt es sich um eine betrügerische Aktivität, bei der versucht wird, Zugangsdaten zu erhalten. Dazu wird eine Aufmerksamkeit erregende E-Mail versendet, welche einen Link zu einer gefälschten Website beinhaltet. Klickt nun ein Opfer auf diesen Link und gibt die Zugangsdaten ein, werden diese an den Betrüger weitergeleitet. Oft wird der Login so weitergeleitet, dass das Opfer nicht einmal bemerkt, dass es auf einer falschen Website war.

Im Falle von hosttech sah die Phishing-Mail wie folgt aus:

Betreff: Handlung erforderlich!

Screenshot eines Phishing-E-Mails im Namen von hosttech

Abgesehen von einem kleinen Durcheinander bei der Anrede (Du & Sie), sieht die Mail doch erstaunlich echt aus. Wer nun auf diesen Link klickt, gelangt auf eine Seite, die genauso aussieht wie die Login-Seite vom myhosttech-Kundencenter. Was sich dahinter aber tatsächlich verbirgt, ist ein Formular zum Sammeln von Zugangsdaten.

Keine Schäden dank schneller Handlung

Dank schneller Reaktion und der Mithilfe aller Mitarbeiter konnte die Attacke schnell unschädlich gemacht werden. Gerne möchten wir einen Einblick in den Ablauf der Attacke geben.

Chronologischer Ablauf des Angriffs

05:00 Uhr - Versand der Phishing-Mails durch Betrüger
07:30 Uhr - Erkennung der Mails durch hosttech
08:20 Uhr - Meldung an die Melde- und Analysestelle Informationssicherung (MELANI)
08:30 Uhr - Information an Kunden
08:35 Uhr - Meldung des Betrugs beim Hoster der Website
08:40 Uhr - Meldung der Seite bei Google Safe Browsing & Co.
08:45 Uhr - Phishing-Seite mit 'FAKE' gekennzeichnet (weiter unten mehr zu diesem Trick)
09:15 Uhr - Kunden, welche über die Phishing-Seite einloggen, erhalten eine Warnung im Kundencenter
11:15 Uhr - Die Betrüger haben unseren Trick erkannt und das Logo selbst gehostet
12:00 Uhr - Wir haben einen Sicherheitsschritt für das Login im Kundencenter hinzugefügt
15:00 Uhr - Die Phishing-Seite wurde vom Hoster gesperrt

Woher stammen die Informationen?

Die häufigste Frage unserer Kunden war, wie die Betrüger an Ihre E-Mail-Adresse gekommen sind und woher diese wussten, dass sie hosttech-Kunden sind. Diese Frage war auch für uns von grösster Wichtigkeit. Gab es womöglich ein Datenleck?

Nach genauerer Untersuchung dann die Erleichterung: Die meisten E-Mail-Adressen waren nicht identisch mit den Kunden-Informationen, welche in unserer Datenbank liegen.

Für uns kommen 3 mögliche Quellen für die E-Mail-Adressen infrage:

  1. Daten aus dem Whois
  2. Daten auf der Website (Impressum, etc.)
  3. Daten aus anderen Quellen, wie E-Mail-Listen von Hackern

Und dass eine Domain bei hosttech registriert ist, kann man ohnehin im Whois einsehen. Somit konnten die Betrüger auch ohne Datenleck an die benötigten Informationen gelangen.

Da die E-Mails nicht personalisiert waren, ist auch davon auszugehen, dass die Betrüger keine Namen der Opfer hatten.

Wie erkenne ich Phishing-Versuche?

Egal ob hosttech oder ein anderes Unternehmen: Phishing gibt es überall. Wichtig ist, dass man weiss, wie man solche Betrugsversuche erkennt und richtig darauf reagiert.

Diese Checkliste hilft zu prüfen, ob eine E-Mail vertrauenswürdig ist:

  1. Ist der Absender vertrauenswürdig?
  2. Ist die E-Mail in der gängigen Sprache verfasst?
  3. Weist die E-Mail eine gute Grammatik auf?
  4. Verweisen Links in der E-Mail auf sinnvolle URLs (Adressen)?
  5. Ergibt der Inhalt der E-Mail aus Sicht eines Unternehmens Sinn?
  6. Im Zweifelsfall: Kontakt mit dem vermeintlichen Absender aufnehmen (nicht auf die E-Mail antworten)

Wenn eine E-Mail nicht vertrauenswürdig ist, gilt Folgendes:

  1. Inhalt der E-Mail ignorieren
  2. Keine Links öffnen
  3. Keine Antwort verfassen
  4. E-Mail löschen
  5. Den vermeintlichen Absender über den Betrug informieren

Mehr Background für Geeks

Wie wurde die Seite geklont?

Die Betrüger haben für den Datenklau eine identische Website unseres Login-Formulars erstellt. Hat man den Quellcode der Website untersucht, konnte man schnell sehen, wie die Fälschung angefertigt wurde. Zum Einsatz kam ein Tool, welches den Namen 'HTTrack Website Copier' trägt.

Ein Ausschnitt aus dem Quellcode:

Mirrored from www.myhosttech.eu/auth/login/ by HTTrack Website Copier/3.x [XR&CO'2014], Tue, 27 Aug 2019 18:28:42 GMT

Was diese Zeile ebenfalls zeigt: Die Website war rund 11 Stunden online, bevor die Phishing-Mails versendet wurden.

Wenn man den Betrüger betrügen muss

Nachdem die Kunden informiert waren, blieb weiterhin die Angst, dass vielleicht nicht alle Kunden unsere Warnung lesen. Die Analyse der gefälschten Website hat ergeben, dass das Logo direkt von unseren Servern eingebunden wurde. Da diese Datei von uns stammte, konnten wir glücklicherweise auch entscheiden, was ausgeliefert wird. So haben wir dem Server kurzerhand beigebracht, dass wenn das Logo von der gefälschten Website aus eingebunden wird, eine Alternative ausgeliefert wird. Eine, die auf den Betrug hinweist. Hilfreich war hier der HTTP-Referrer.

Ausgesehen hat das dann so:

Screenshot der Phishing-Website nach Anwendung des Tricks