Die Angriffsmethode Pharming is bei Hackern sehr beliebt, um an sensible Informationen zu gelangen und diese im Anschluss auch gegen Sie zu verwenden.
Pharming kann sich als eine Art Weiterentwicklung von dem Angriffsszenario “Phishing” ableiten lassen. Angreifer nutzen hier verschiedenste Social-Engineering Methoden, beispielsweise Phishing E-Mails, um ihre Opfer in die Falle zu locken, den Nutzer zu fahrlässigem Verhalten zu veranlassen.
Beim Pharming hingegen geschieht alles direkt in Verbindung mit dem Webbrowser. Webseiten, die ein Enduser aufrufen möchte, leiten diesen auf betrügerische Webseiten weiter.
Angreifer betreiben dabei teilweise riesige Server-Farmen, auf deren diese betrügerischen Webseiten gehostet werden. Daher leitet sich der Begriff des Pharmings ab.
Die Weiterleitung zu dem vom Angreifer gehosteten betrügerischen Abbild der Webseite, die der User eigentlich besuchen möchte, geschieht über eine Manipulation des DNS-Protokolls und seiner Mechanismen. Das DNS-Protokoll ist dafür verantwortlich, eine URL-Adresse (z.B. prosec-networks.com) in ihre korrespondierende IP-Adresse umzuwandeln. DNS ist in diesem Sinne das Telefonbuch des Internets, in dem Namen mit ihrer dazugehörigen Telefonnummer aufgeführt sind.
Dieser Vorgang der Umwandlung zwischen URL und der dazugehörigen IP-Adresse bietet dem Angreifer verschiedene Angriffspunkte, um diese Zuordnung zu manipulieren.
Im Folgenden werden die zwei bekanntesten Angriffswege des Pharmings erklärt:
Bevor ein Client einen DNS-Server für die Auflösung einer Webadresse in eine IP-Adresse anfragt, schaut er in seine lokale „hosts“-Datei. Hierbei handelt es sich um ein Vorgängerverfahren des Domain Name Systems, das statische Verknüpfungen von Hostnamen zu IP-Adressen aufführt. Sie informiert einen darüber, ob die angefragte Adresse bereits aufgelistet ist.
Ist dies der Fall, so muss der Client keine Anfrage an den DNS-Server stellen, sondern folgt dem korrespondierenden Eintrag. Eine Möglichkeit beim Pharming besteht darin, die Hostdatei lokal zu modifizieren.
Dies geschieht beispielsweise mithilfe eines Trojaners, welcher über eine Phishing-E-Mail oder einen Drive-by-Download ins System eingeschleust wurde, oder auch durch physischen Zugang zu Endgeräten. Mithilfe des Trojaners können im Zuge des Pharmings im Anschluss Verknüpfungen von Hostnamen wie „google.de“, „facebook.com“ oder „paypal.com“ zu vom Angreifer kontrollierten IP-Adressen eingetragen werden.
Beim korrekten Webseitenaufruf wird der Endnutzer so auf die vom Angreifer präparierten betrügerischen Abbilder dieser Webseiten umgeleitet. So erregt es beim Endnutzer im Normalfall keinen Verdacht. Diese Angriffsmöglichkeit eignet sich sehr gut bei gezielten Angriffen von einzelnen Personen oder direktem Zugriff zu Clients.
Eine weitere, aber aufwendigere Möglichkeit beim Pharming besteht darin, einen DNS-Server zu beeinflussen und so die Auflösung einer IP-Adresse für einen User zu fälschen. Dies gelingt über sogenanntes DNS-Cache-Poisoning. Hierbei werden einem DNS-Server für Adressen außerhalb seiner zuständigen Domäne (z. B. prosec-networks.com) vom Angreifer manipulierte Adressen durch gefälschte DNS-Antworten zugespielt, die der betroffene DNS-Server nun seinerseits in seinem Cache ablegt. So wird eine Adressauflösung suggeriert, noch bevor der DNS-Server eine korrekte Zuordnung über andere DNS-Server vornehmen kann.
Hierfür muss das Endgerät vom User nicht mit Schadsoftware / Malware infiziert sein. Das gefährliche an diesem Verfahren ist, dass nicht nur eine Person gezielt angegriffen wird, sondern alle Endnutzer, die eine Anfrage an den beeinflussten DNS-Server stellen.
Auch wenn E-Mails für viele zum Alltag gehören, wie Sauerstoff in den Lungen, sollten Sie bei Aufforderungen, Links zu folgen oder etwas herunterzuladen bzw. zu installieren, immer Vorsicht walten lassen und im Zweifel ihren Administrator oder ihren Gegenüber noch einmal kontaktieren
Mittlerweile benutzt der überwiegende Anteil aller Phishing-Webseiten HTTPS und gültige Zertifikate. Um sich hier als Endnutzer wirklich gegen Pharming und andere Arten digitaler Angriffe schützen zu können, hilft nur eine gesunde Portion Misstrauen und das Prinzip „Double Tape“. Bevor Sie irgendeine Eingabe von sensitiven Informationen tätigen, kontrollieren Sie das digitale Zertifikat der Verbindung und prüfen Sie mittels einem Zweit-Gerät (z.B. ihrem Smartphone), das sich nicht im selben Netz (z.B. 3G/4G, anstatt dem WLAN) befindet, ob dasselbe Zertifikat angezeigt wird.
Sie sollten ihren Router stets auf dem aktuellen Stand halten und dafür sorgen, dass der Login nur aus dem internen Netzwerk erreichbar und durch ein komplexes Passwort abgesichert ist.
Auch wenn es kein Allheilmittel ist, schadet es nicht, eine aktuelle Antivirensoftware auf dem Rechner zu haben. So kann man zumindest allzu offensichtliche Malware unterbinden und sich vor Pharming und anderen Bedrohungen ein wenig schützen.
Um die Manipulation der „hosts“-Datei zu erschweren, sollten Accounts mit so wenig Rechten wie möglich ausgestattet sein, da administrative Berechtigungen von Nöten sind, um diese Datei zu bearbeiten. Hierdurch läuft man weniger Gefahr, durch kurze Abwesenheit am nicht gesperrten Rechner Opfer von Pharming zu werden.
