Cyberkriminelle werden nicht müde, das weltweite Netz für etwaige Betrugsmethoden zu nutzen. Social Engineering und Ransomware sind dabei nur die Spitze des Eisbergs - gerade auch in der aktuellen Coronavirus-Krise aber beliebte Methoden, um sich auf Kosten von Unternehmen und Privatpersonen zu bereichern. Auch gefälschte Webseiten gehören schon länger zum Standard-Portfolio krimineller Hacker.
Pharming - Definition
Die Umleitung von Netz-Traffic auf gefälschte Webseiten wird als Pharming bezeichnet und stellt eine Weiterentwicklung klassischer Phishing-Methoden dar. Das Ziel des Angreifers besteht für gewöhnlich darin, sensible persönliche Daten zu stehlen oder Malware auf dem Rechner der Nutzer zu installieren. Dazu bilden kriminelle Hacker täuschend echte Webseiten von populären Online-Banking- oder Shopping-Portalen nach.
Bei Pharming-Angriffen werden entweder gezielt Rechner oder DNS-Server manipuliert, um den Traffic auf die Fake-Webseiten umzuleiten. Letztere Vorgehensweise ist dabei für betroffene Nutzer deutlich schwerer zu erkennen.
Wie funktionieren Pharming-Angriffe?
Auch wenn die Zielsetzung eine ähnliche ist: Pharming unterscheidet sich wesentlich von Phishing, wie David Emm, Principal Security Researcher bei Kaspersky, erklärt: "Pharming-Angriffe fokussieren auf die Manipulation von Systemen, statt Nutzer mit Tricks dazu zu bringen, eine maliziöse Webseite aufzurufen. Das Ergebnis von Phishing- und Pharming-Attacken gleicht sich zwar insofern, dass die Angreifer die Nutzer auf schadhafte Seiten locken - die Mechanismen, die dabei greifen, sind aber unterschiedliche."
Pharming-Attacken leiten Nutzeranfragen durch die Manipulation des Domain-Name-Service- (DNS) Protokolls von der eigentlich angesteuerten auf eine IP-Adresse um, die unter der Kontrolle des Angreifers steht. Das funktioniert auf zwei unterschiedliche Weisen:
Angreifer kompromittieren den Rechner des Opfers und verändern das lokale Verzeichnis der IP-Adressen ('local host file'). Das leitet den User dann beim nächsten Versuch, eine bestimmte Seite aufzurufen, um - in der Regel auf täuschend echt nachgebildete Fake-Webseiten. Bei dieser Methode findet im Vorfeld in der Regel ein Phishing-Angriff statt oder das 'local host file' wird per Malware manipuliert. Neben Rechnern sind auch Router ein gängiges Ziel von Pharming-Angriffen - das wird auch als Drive-by Pharming bezeichnet.
Angreifer leiten Traffic um, indem sie Schwachstellen von DNS-Servern ausnutzen. Das hat zur Folge, dass die Opfer auf eine IP-Adresse umgeleitet werden, die unter Kontrolle der Angreifer steht. Diese Methode ist besonders raffiniert, da der Nutzer hierbei keinen Fehler begehen muss, um auf der Fake-Webseite zu landen.
DNS-Server sind im Regelfall deutlich schwieriger zu kompromittieren, weil sie Teil eines Unternehmensnetzwerks und damit entsprechend geschützt sind. Allerdings ist die Methode auch deutlich einträglicher für Cyberkriminelle, weil es potenziell mehr Opfer und damit Beute gibt, aber auch, weil die Möglichkeit besteht, die Kompromittierung auf weitere DNS-Server auszuweiten. Gelangen DNS-Informationen eines so kompromittierten Servers in den Cache eines Internet Service Providers, besteht die Möglichkeit, dass diese sich auf weitere Router und Rechner ausbreiten. Genau das spielte sich im Jahr 2010 bereits ab: Damals stand der betroffene Server in China, was dazu führte, dass die im Reich der Mitte etablierten Zensur-Maßnahmen sich auf andere Länder ausweiteten.
"Einen DNS-Server erfolgreich zu hacken ist sehr schwierig zu bewerkstelligen, weswegen solche Angriffe nicht oft vorkommen", weiß der Kaspersky-Experte und fügt hinzu: "Bei der Verbreitung von Malware auf einem bestimmten Device beschränkt sich der Schaden auf den Betroffenen, wohingegen eine Infektion von DNS-Servern potenziell alle Geräte betreffen kann, die auf diese zugreifen. Das kann folglich beträchtliche Schäden nach sich ziehen."
Wie gängig sind Pharming-Attacken?
Der potenzielle Schaden eines Pharming-Angriffs hängt von der Zielsetzung des Angreifers ab. Die könnte beispielsweise darin bestehen, Kreditkarteninformationen oder Login-Daten zu stehlen und diese anschließend zum Verkauf anzubieten. Insbesondere der Diebstahl von Login-Informationen eignet sich auch als Einstiegspunkt für weiterführende Angriffe auf Unternehmen und Organisationen.
Die Aussichten auf geringere Beute bei Angriffen auf Einzelpersonen und die vergleichsweise diffizilen Abläufe führen dazu, dass Pharming - etwa im Vergleich zu Phishing-Attacken - deutlich weniger häufig von Cyberkriminellen genutzt wird.
Kaspersky konnte im Jahr 2019 einen Pharming-Angriff in Venezuela aufdecken, wie David Emm preisgibt: "Einen Tag nachdem Juan Guadio die Menschen dazu angehalten hatte, ihre persönlichen Informationen auf einer Webseite zu wohltätigen Zwecken einzugeben, tauchte plötzlich eine nahezu identische Seite auf. Beide Domains wiesen unterschiedliche Besitzer auf, waren aber in Venezuela unter derselben IP-Adresse registriert - diese wiederum befand sich im Besitz von kriminellen Hackern. Es spielte also keine Rolle, ob die Nutzer ihre Daten auf der echten oder der gefälschten Webseite eingaben - die Informationen wurden in beiden Fällen abgegriffen."
Ein weiterer erwähnenswerter Pharming-Angriff fand im Jahr 2015 in Brasilien statt und wurde vom IT-Sicherheitsanbieter Proofpoint entdeckt. Dabei versendeten die Angreifer Phishing-E-Mails an Nutzer von bestimmten Heimnetzwerk-Routern und gaben sich dabei als Mitarbeiter des größten TK-Anbieters in Brasilien aus. Die in den E-Mails integrierten Links führten zum Download von Malware, die Schwachstellen in den Routern ausnutzte und den Angreifern ermöglichte, die DNS-Einstellungen zu manipulieren.
Eine besonders groß angelegte Pharming-Kampagne spielte sich bereits im Jahr 2007 ab, von der mindestens 50 Finanzinstitutionen betroffen waren. Für jede dieser Organisationen war im Vorfeld eine entsprechende Fake-Webseite erstellt worden, um Login-Daten abzugreifen.
Wie lässt sich Pharming verhindern?
Die folgenden Best Practices reduzieren die Erfolgschancen von Pharming-Angriffen:
Schulen Sie die Nutzer in Sachen Cyberhygiene - etwa, wenn es darum geht, verdächtige Links zu erkennen, die zu Fake-Webseiten führen.
Versorgen Sie Endgeräte mit Updates und Patches und führen Sie kontinuierliche Virenscans durch. Darüber hinaus empfiehlt es sich auch, regelmäßig Caches und Browser Cookies zu löschen.
Patchen, auditieren und überwachen Sie DNS-Server, um das Risiko einer Kompromittierung zu reduzieren.
Rollen Sie TLS-Zertifikate auf Unternehmenswebseiten aus, um das Risiko von Spoofing zu reduzieren.
Rechner von Mitarbeitern müssen gepatcht, überwacht und mit entsprechenden Security-Lösungen ausgestattet werden.
Sorgen Sie für starke Passwörter auf Routern, um das Risiko von Drive-by-Angriffen zu reduzieren.
Threat-Intelligence-Lösungen können verhindern, dass Fake Domains registriert werden, die Ihren eigenen ähneln.
Die Einbindung von Zwei- beziehungsweise Multi-Faktor-Authentifizierung bei der Nutzung von Services kann die Folgen des Diebstahls von Login-Informationen abmildern.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.