Pharming: Die neue Bedrohung aus dem Internet
Eine Pharming-Attacke ist schwerer auszuführen als der klassische Phishing-Angriff. Doch für erfahrene Hacker ist Pharming ein lukratives Geschäft.
Für Sicherheitsexperten sind es die Weichteile des Internets und nachdem die Hacker Blut geleckt haben, fahren sie die Krallen aus. Die Rede ist von den DNS-Servern des Internets und der Angriff auf die zentrale Struktur des Internets nennt sich Pharming. Pharming ist weitaus heimtückischer als Phishing, den ein Pharming-Angriff biegt eine Nutzeranfrage nach einer legitimen Web-Site ohne Zutun des Nutzers auf eine gefälschte Site um. Beim Phishing hingegen muß der Nutzer salbst aktiv werden und auf eine gefälschte Mail antworten und sich aktiv auf die gefälschte Seite durchklicken. Beim Pharming muß der Nutzer nichts weiter tun als im Internet surfen.
Wie wird Pharming möglich?
Alle URLs müssen in IP-Adressen umgewandelt werden bevor ein Rechner etwas damit anfangen kann. Das ist der Job der DNS-Server. Sie ermitteln zu jeder vom Nutzer eingegebenen URL die passende IP-Adresse und geben diese an den Browser zurück. Der Trick ist, einen DNS-Server so zu vergiften, daß er statt der korrekten eine gefälschte IP-Adresse zurückgibt. So wird es dem Hacker möglich den Browser zu kapern und dem Nutzer eine gefälschte Web-Site unterzujubeln. Der Hacker wird darauf achten, daß diese Site dem Original so ähnlich wie möglich aussieht. Das ist aber kein großes Problem, denn mit einem Offline-Reader läßt sich eine komplette Web-Site laden, auf Festplatte speichern und dann wieder auf eine andere Webpräsenz hochladen. Mit etwas Feinarbeit hat der Hacker sehr schnell eine schicke Kopie und ist bereit zur Täuschung.Der nichts ahnende Nutzer kommt vorbei, will sein Paßwort eingeben und einige Überweisungen tätigen. Die gefälschte Web-Site nimmt die Daten auf und meldet sich mit der Fehlermeldung zurück "Login war ungültig". Der Nutzer denkt, er habe sich vertippt und versucht es noch einmal. In der Zwischenzeit hat der Hacker den Nutzer bereits auf die korrekte Site weitergeleitet, das Login klappt nun und der Nutzer vergißt den kleinen Zwischenfall. Der Hacker hat sein Ziel erreicht, die Login-Daten und das Konto gehören ihm.
Was kann ein Nutzer tun um sich zu schützen?
Relativ wenig, da die meisten keinen DNS-Server betreiben. Es ist die Aufgabe Ihres ISPs dafür zu sorgen, daß er immer die aktuellste DNS-Software verwendet. Die meisten DNS-Server arbeiten mit BIND (Berkeley Internet Name Domain). Symantec-Experte Oliver Friedrichs empfiehlt den Einsatz der Version 9, denn diese Version ist - im Gegensatz zu älteren Versionen - kaum zu vergiften. Das Problem laut Friederichs: "Viele ISPs arbeiten mit veralteter Software. Oft kommt sogar noch die hoffnungslos veraltete Version 4 zum Einsatz". Jim Stickley von TraceSecurity schlägt in dieselbe Kerbe: "Wenn man nur gründlich genug danach sucht, wird man immer einen verletzlichen DNS-Server finden." Das bedeutet: Alle Kunden dieses ISPs sind stark gefährdet.Wenn Sie sichergehen wollen, daß Sie und Ihre Firma vor Pharming-Attacken sicher sind, müssen Sie mit Ihrem ISP reden und ihn fragen, was er tut, um seine DNS-Server zu sichern.
voriger: Gericht verhängt Strafbefehl gegen Dialer-Chef | nächster: Nigeria-Connection mal anders