Pharming

Geändert am 21.05.2008
Allgemeine Erläuterungen
Online-Banking, Internet-Geldtransfers, Online-Shops oder Internet-Auktionshäuser bekommen eine immer größere Verbreitung und Bedeutung im weltweiten Wirtschaftssystem. Betrüger nutzen daher außer dem bekannteren Phishing eine Betrugsmethode, in welcher technische Schwachstellen ausgenutzt werden sollen.
Internetnutzer werden beim Pharming auf gefälschte Internetseiten umgeleitet die den Originalseiten oft täuschend ähnlich sehen. Unter Vortäuschung falscher Tatsachen wird man dazu bewegt geheime Daten preiszugeben. Während beim Phishing der Nutzer mit Hilfe einer gefälschten E-Mail auf eine ebenso falsche Seite gelockt und dort gebeten wird, Passwörter, PIN und andere sensible Daten einzutippen, verändert der Betrüger beim Pharming zum Beispiel über vorhandene Sicherheitslöcher im Internet-Browser Originaladressen, so dass der User selbst bei richtiger Eingabe der Adresse (URL) ohne es zu bemerken auf eine andere Seite geleitet wird. Diese falschen Internetseiten befinden sich auf den Servern der Betrüger, die dafür große Server-Farmen betreiben (deshalb der Begriff „Pharming“).
So funktioniert Pharming
Jede Internetadresse besteht eigentlich aus einem Zahlencode, der IP-Adresse. Damit der Anwender nicht diese Zahlenfolge zum Seitenaufruf im Internet-Browser eingeben muss, gibt es zur Vereinfachung die Möglichkeit einfach einen Namen anzulegen, mit dessen Hilfe die Seite ebenfalls aufgerufen werden kann. Beispielsweise können Sie den Informationsdienst „heise-online“ über die bekannte Webadresse »www.heise.de« aufrufen oder über deren IP-Adresse »193.99.144.85«.
Nun gibt es auf jedem Rechner eine hosts-Datei, in der sich eine Tabelle der häufig genutzten IP-Adressen befindet damit die entsprechende numerische Adresse nicht immer vom Server des Internet-Providers abgerufen werden muss. Der Betrüger legt nun eine gefälschte Seite an und knackt die hosts-Datei auf Ihrem Rechner mittels Viren oder Programmen in E-Mail-Anhängen. In der Tabelle ändert er jetzt den numerischen Eintrag, der einem Wort/Namen zugeordnet ist. Die neue numerische Adresse ist dann die der falschen Internetseite. Bei jeder Eingabe vom entsprechenden Namen wird nun die gefälschte Seite der Betrüger aufgerufen obwohl der Anwender tatsächlich den richtigen Namen eingegeben hat. Ein Beispiel für eine Pharming-Attacke:

  Diese E-Mail enthielt einen Anhang, in dem angeblich Zahlungsdetails zu finden waren.


  Statt der Zahlungsdetails enthielt der Anhang in Wirklichkeit ein Programm, das die Hosts-Datei modifizierte.


  Der Inhalt der modifizierten Hosts-Datei.

Auf den täuschend echt aussehenden Seiten gibt ein Bankkunde oder Käufer seine PIN, TAN oder Kreditkartennummer ein – und damit den Betrügern unbemerkt alle Möglichkeiten, um mit diesen Informationen Missbrauch zu betreiben.
Konnte man den betrügerischen Internetseiten bei den falschen Phishing-Links noch durch gesundes Misstrauen und der manuellen Eingabe der gewünschten Internetadresse entgehen, ist man beim Pharming selbst durch diese Vorsichtmaßnahme nicht davor sicher, auf eine falsche Seite zu gelangen.
Eine neue Methode ist das Drive-by-Pharming, welches die Router der DSL-Breitbandanschlüsse manipuliert. Viele Privatsurfer wissen wahrscheinlich nicht einmal, dass sie einen solchen Router besitzen. Sie bekommen von ihrem Internet-Provider mehrere Kästchen und sind froh, wenn sie diese entsprechend der Anleitung mit dem Computer und dem Telefonanschluss verbinden können und dann sogar der Internetanschluss funktioniert. Meist ist dieser Router für den Internetzugang schon fertig konfiguriert und so wissen die meisten Benutzer nicht, dass sich diese Einstellungen ändern lassen und dass dazu ein Passwort benötigt wird. Die wenigsten ändern das voreingestellte Standard-Passwort, das oft tatsächlich »password« lautet.
Ein sehr seltener und aufwändiger, aber nicht unmöglicher Angriff eines Betrügers könnte noch direkt auf den DNS-Server erfolgen (DNS-Spoofing). Dagegen kann man seinen Rechner nicht schützen. Einzig der Aufruf der SSL-Zertifikate bei gesicherten »https://«-Einloggseiten kann dann Klarheit bringen.
Schutzmaßnahmen
Ein wichtiger Schutz ist eine funktionierende Firewall und ein täglich aktualisiertes Anti-Virenprogramm. Weiterhin sollten Sie das Passwort Ihres DSL-Routers ändern (soweit Router vorhanden). Nutzen Sie nur die aktuellsten Versionen Ihres Internet-Browsers, diese können Warnmeldungen an Sie abgeben, wenn zum Beispiel das SSL-Zertifikat einer Internetseite fehlerhaft ist. Aber auch mehr Aufmerksamkeit beim Surfen im Internet ist nötig. So sollten Sie bei geringsten Zweifeln die SSL-Zertifikate der »Login«-Seiten aufrufen. Die heute üblichen gesicherten Einloggseiten beginnen immer mit »https://« und im Internet-Browser wird ein Schloss-Symbol angezeigt. Klicken Sie auf das Schlosssymbol und lassen Sie sich die Sicherheitszertifikate anzeigen. Ein guter Schutz ist auch das dauerhafte Surfen mit eingeschränkten Computer-Rechten, denn der Schadcode kann vom Angreifer nur erfolgreich auf Ihren Rechner installiert werden, wenn Sie Administratorrechte über den Computer besitzen.


ZUM SEITENANFANG