Pharming

Was ist Pharming?

Die Angriffsmethode Pharming is bei Hackern sehr beliebt, um an sensible Informationen zu gelangen und diese im Anschluss auch gegen Sie zu verwenden.

Pharming kann sich als eine Art Weiterentwicklung von dem Angriffsszenario “Phishing” ableiten lassen. Angreifer nutzen hier verschiedenste Social-Engineering Methoden, beispielsweise Phishing E-Mails, um ihre Opfer in die Falle zu locken, den Nutzer zu fahrlässigem Verhalten zu veranlassen.

Beim Pharming hingegen geschieht alles direkt in Verbindung mit dem Webbrowser. Webseiten, die ein Enduser aufrufen möchte, leiten diesen auf betrügerische Webseiten weiter.

Angreifer betreiben dabei teilweise riesige Server-Farmen, auf deren diese betrügerischen Webseiten gehostet werden. Daher leitet sich der Begriff des Pharmings ab.

Wie funktioniert Pharming?

Die Weiterleitung zu dem vom Angreifer gehosteten betrügerischen Abbild der Webseite, die der User eigentlich besuchen möchte, geschieht über eine Manipulation des DNS-Protokolls und seiner Mechanismen. Das DNS-Protokoll ist dafür verantwortlich, eine URL-Adresse (z.B. prosec-networks.com) in ihre korrespondierende IP-Adresse umzuwandeln. DNS ist in diesem Sinne das Telefonbuch des Internets, in dem Namen mit ihrer dazugehörigen Telefonnummer aufgeführt sind.

Dieser Vorgang der Umwandlung zwischen URL und der dazugehörigen IP-Adresse bietet dem Angreifer verschiedene Angriffspunkte, um diese Zuordnung zu manipulieren.

Im Folgenden werden die zwei bekanntesten Angriffswege des Pharmings erklärt:

Angriff auf die „hosts“-Datei

Bevor ein Client einen DNS-Server für die Auflösung einer Webadresse in eine IP-Adresse anfragt, schaut er in seine lokale „hosts“-Datei. Hierbei handelt es sich um ein Vorgängerverfahren des Domain Name Systems, das statische Verknüpfungen von Hostnamen zu IP-Adressen aufführt. Sie informiert einen darüber, ob die angefragte Adresse bereits aufgelistet ist.

Ist dies der Fall, so muss der Client keine Anfrage an den DNS-Server stellen, sondern folgt dem korrespondierenden Eintrag. Eine Möglichkeit beim Pharming besteht darin, die Hostdatei lokal zu modifizieren.

PSN_kb_pharming_2

Dies geschieht beispielsweise mithilfe eines Trojaners, welcher über eine Phishing-E-Mail oder einen Drive-by-Download ins System eingeschleust wurde, oder auch durch physischen Zugang zu Endgeräten. Mithilfe des Trojaners können im Zuge des Pharmings im Anschluss Verknüpfungen von Hostnamen wie „google.de“, „facebook.com“ oder „paypal.com“ zu vom Angreifer kontrollierten IP-Adressen eingetragen werden.

Beim korrekten Webseitenaufruf wird der Endnutzer so auf die vom Angreifer präparierten betrügerischen Abbilder dieser Webseiten umgeleitet. So erregt es beim Endnutzer im Normalfall keinen Verdacht. Diese Angriffsmöglichkeit eignet sich sehr gut bei gezielten Angriffen von einzelnen Personen oder direktem Zugriff zu Clients.

Angriff auf den DNS-Server

Eine weitere, aber aufwendigere Möglichkeit beim Pharming besteht darin, einen DNS-Server zu beeinflussen und so die Auflösung einer IP-Adresse für einen User zu fälschen. Dies gelingt über sogenanntes DNS-Cache-Poisoning. Hierbei werden einem DNS-Server für Adressen außerhalb seiner zuständigen Domäne (z. B. prosec-networks.com) vom Angreifer manipulierte Adressen durch gefälschte DNS-Antworten zugespielt, die der betroffene DNS-Server nun seinerseits in seinem Cache ablegt. So wird eine Adressauflösung suggeriert, noch bevor der DNS-Server eine korrekte Zuordnung über andere DNS-Server vornehmen kann.

PSN_kb_pharming_3

Hierfür muss das Endgerät vom User nicht mit Schadsoftware / Malware infiziert sein. Das gefährliche an diesem Verfahren ist, dass nicht nur eine Person gezielt angegriffen wird, sondern alle Endnutzer, die eine Anfrage an den beeinflussten DNS-Server stellen.

Sind die Daten in Deinem IT-System ausreichend geschützt?
Optimiere jetzt mit uns Deine Datenschutzmaßnahmen.
Zur IT-Sicherheitsberatung

Wie kann man sich gegen Pharming schützen?

PSN_Icon_Color_Set_8-300x300

E-Mails

Auch wenn E-Mails für viele zum Alltag gehören, wie Sauerstoff in den Lungen, sollten Sie bei Aufforderungen, Links zu folgen oder etwas herunterzuladen bzw. zu installieren, immer Vorsicht walten lassen und im Zweifel ihren Administrator oder ihren Gegenüber noch einmal kontaktieren

Icon_Nessus5-300x300

Überprüfen Sie ihre besuchten Seiten

Mittlerweile benutzt der überwiegende Anteil aller Phishing-Webseiten HTTPS und gültige Zertifikate. Um sich hier als Endnutzer wirklich gegen Pharming und andere Arten digitaler Angriffe schützen zu können, hilft nur eine gesunde Portion Misstrauen und das Prinzip „Double Tape“. Bevor Sie irgendeine Eingabe von sensitiven Informationen tätigen, kontrollieren Sie das digitale Zertifikat der Verbindung und prüfen Sie mittels einem Zweit-Gerät (z.B. ihrem Smartphone), das sich nicht im selben Netz (z.B. 3G/4G, anstatt dem WLAN) befindet, ob dasselbe Zertifikat angezeigt wird.

Icon Threat Modeling Infrastruktur

Schützen Sie ihren Router

Sie sollten ihren Router stets auf dem aktuellen Stand halten und dafür sorgen, dass der Login nur aus dem internen Netzwerk erreichbar und durch ein komplexes Passwort abgesichert ist.

Icon_3-300x300

Anti-Viren Programme

Auch wenn es kein Allheilmittel ist, schadet es nicht, eine aktuelle Antivirensoftware auf dem Rechner zu haben. So kann man zumindest allzu offensichtliche Malware unterbinden und sich vor Pharming und anderen Bedrohungen ein wenig schützen.

Icon_4-300x300

Administrator-Rechte

Um die Manipulation der „hosts“-Datei zu erschweren, sollten Accounts mit so wenig Rechten wie möglich ausgestattet sein, da administrative Berechtigungen von Nöten sind, um diese Datei zu bearbeiten. Hierdurch läuft man weniger Gefahr, durch kurze Abwesenheit am nicht gesperrten Rechner Opfer von Pharming zu werden.

Du suchst nach einem professionellen Partner für die IT-Sicherheit Deines Unternehmens?
Nimm jetzt Kontakt mit uns auf!
Jetzt Kontaktieren
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.