Pharming – Phishing auf einem neuen Level
Erwartete Lesezeit: 2 minuten
Unter dem Sammelbegriff des Pharmings versteht man verschiedene Angriffe die sich der Technik der DNS Manipulation bedienen. Ziel des Angreifers ist es , das Opfer auf eine gefälschte Webseite zu leiten und dort die Daten abzugreifen.
Um zu verstehen , wie dieser Angriffsvariante arbeitet, muss man einmal verstehen wie ein Zugriff auf eine Website funktioniert.
Hier ein vereinfachtes Beispiel :
Der Anwender gibt in seinem Browser die Url der Webseite , die er besuchen möchte ein. Da Server im Netz nicht durch die Domainnamen , sondern durch IP Adressen angesprochen werden muss der Domainnamen in eine IP übersetzt werden. Hierzu existieren DNS – Server , die diese Aufgabe übernehmen. Vereinfacht kann man einen DNS Server mit einem Telefonbuch vergleichen. Das Betriebssystem fragt mit dem Domainnamen an und bekommt die IP Adresse zurück. Mittels dieser IP wird dann der Zugriff ausgeführt.
Und genau an dieser Stelle setzen die Betrüger an. Ihnen stehen verschiedene Techniken zur Verfügung:
- Bevor das Betriebsystem überhaupt einen DNS Server befragt , schaut es in eine lokale Host Datei, ob dort bereits ein Eintrag hinterlegt ist nach. Über Viren und Trojaner kann es dem Betrüger gelingen den Inhalt dieser Datei zu manipulieren und dort eine andere IP anlegen.
Im obigen Beispiel hat der Server auf der diese Website liegt aktuell die IP 134.119.56.95. Wenn jetzt in der host Datei auf dem Rechner ein Eintrag für die Domäne marcooderkerk.de z.B. mit der IP 93.184.216.34 hinterlegt wäre, würde jeder Aufruf auf den Servern von example.com landen. - Schwieriger ist es einen DNS-Server zu kompromittieren und in deren Datenbestand die IP auszutauschen.
- Eine weitere Variante ist das Drive-By Pharming. Hierbei wird versucht über die Webschnittstelle des eigenen Routers mittels Javascript den DNS Server Eintrag im Router zu ändern und so die Anfragen auf einen eigenen DNS Server umzuleiten.
Wie kann ich mich schützen ?
Neben der Installation eines Virenscanners und einer lokalen Firewall, die die Änderungen an den Hostdateien überwachen sollte man bei seinem Router das Standardpasswort gegen ein neues sicheres Passwort auswechseln, damit der DNS Eintrag nicht fremdgesteuert geändert werden kann.
Zusätzlich sollte man Webseiten von Shops, Communities und ähnlichen Seiten , auf denen man personenbezogene Daten bekannt geben will, immer über https ausrufen. Hierbei ist es aber besonders wichtig, zu prüfen , ob der Browser das für die Verschlüsselung genutzte Zertifikat als gültig anerkennt. In den meisten Browsern ist eine entsprechende Information in der Adresszeile vorhanden.
Erst wenn auch das Zertifikat gültig ist , kann man zu 99 % sicher sein, dass die Seite die man besucht auch die ist die man besuchen wollte. Ich sage hier nur 99% , da die Gegner auch nicht schlafen und ihre Techniken weiter verfeinern.