Tag täglich landen Menschen auf gefälschten Webseiten und werden entweder Opfer von Identitätsdiebstahl, oder sie erleiden einen finanziellen Schaden. Dies erreichen Kriminelle nicht nur ganz klassisch mittels Phishing über Spammails, sondern auch mittels sog. Pharming. In diesem Artikel beleuchten wir, wie sie dabei vorgehen und wie ein sicherer Schutz davor aussehen kann.

Sie waren immer vorsichtig und haben nie auf Links in verdächtigen Mails geklickt? Das Bankkonto wurde aber trotzdem leer geräumt? Oder jemand anderes kontrolliert nun Ihr Konto bei Facebook? Dann sind sie möglicherweise Opfer eines sog. Pharming-Angriffs geworden.

Pharming, was ist das eigentlich?

Genau wie beim Phishing, sollen auch beim Pharming ahnungslose Benutzer auf eine präparierte Webseite angelockt werden, mit dem Zweck, um sie dann zu betrügen. Dies könnte z. B. die Webseite einer Bank sein. Wer dort aber seine Zugangsdaten für das Online-Banking eingibt, wird hinterher feststellen, dass Kriminelle sich am eigenen Bankkonto bedient haben.

Es gibt nur einen Unterschied zwischen Pharming und Phishing: Um potenzielle Opfer anzulocken, müssen beim Pharming nicht massenhaft gefälschte E-Mails verschickt werden. Stattdessen werden sog. DNS-Abfragen manipuliert, damit potenzielle Opfer so unbemerkt auf einer präparierten Webseite landen. Diese Art der Manipulation ist nämlich viel unauffälliger als das Phishing. Eine gefälschte und massenhaft verschickte Mail würde zwangsläufig auch bei solchen Empfängern landen, die gar kein Konto bei der jeweiligen Bank besitzen. Diese würden den Betrug dann sofort merken und evtl. auch Schritte dagegen einleiten.

Wie kann eine Manipulation von DNS-Abfragen gelingen?

DNS-Abfragen können mit verschiedenen Mitteln manipuliert werden. Ganz klassisch könnte bspw. ein Trojaner dafür eingesetzt werden. Dieser muss nur auf dem Computer eines potenziellen Opfers einen Eintrag in der sog. "Hosts"-Datei erstellen. Darin befindet sich die Domain seiner Bank sowie der Verweis auf die IP-Adresse eines Servers, auf dem sich die präparierte und falsche Webseite befindet. Gibt dieser Benutzer in die Leiste seines Browsers nun die Adresse seiner Bank ein, würde er automatisch auf der gefälschten Webseite landen.

Sich davor schützen können sich Benutzer nur, indem sie auf das grüne Schloss neben der Adressleiste in ihrem Browser achten. Angreifer können nämlich keine Sicherheitszertifikate für Domains ausstellen, welche ihnen nicht gehören. Fehlt das grüne Schloss oder meldet der Browser eine unsichere Verbindung, bedeutet das: Finger Weg! Diese Webseite ist potenziell gefährlich!

Eine derartige Attacke kann aber auch auf einer ganz hohen Ebene stattfinden, z. B. auf einem viel frequentierten DNS-Server. Dieser speichert die IP-Adressen bereits abgefragter Domains in einem Cache, um Abfragen bei übergeordneten Servern nicht ständig wiederholen zu müssen. Wird der Cache nun aber manipuliert, können damit Scharen von Benutzern auf eine falsche Webseite umgeleitet und ausgenommen werden. Auch dies könnte mittels eines Trojaners bewerkstelligt werden oder durch die Ausnutzung einer Sicherheitslücke in der DNS-Server-Software. In diesem Zusammenhang spricht man auch von einem sog. Cache Poisoning.

Einer Manipulation des Caches können am effektivsten nur Inhaber von Domains begegnen, indem sie ihre sog. DNS-Zonendaten mit einer kryptografischen Signatur versehen. Bei jeder Abfrage wird diese durch den Empfänger dann überprüft und sollte diese abweichen, liegt potenziell eine Manipulation vor. Domain-Inhaber sollten sich daher bei Möglichkeit mit DNSSEC vertraut machen. Auch wir beraten Sie in dieser Angelegenheit gern.