Pharming

Pharming

Ähnlich wie beim Phishing geht es auch beim so genannten Pharming darum, ahnungslosen Bankkunden die Zugangsdaten zu deren Konten zu stehlen und so unberechtigter Weise Überweisungen von deren Konten zu tätigen. Allerdings geht diese Methode einen anderen Weg.

Während beim Phishing darauf vertraut wird, dass der Kunde auf einer gefälschten Webseite oder in einer präparierten EMail seine Daten eingibt, ist das Pharming wesentlich effizienter, weil es direkt auf dem Computer des Anwenders geschieht. Es basiert auf der Einrichtung einer Umleitung auf dem Computer, die bewirkt, dass trotz der Eingabe der korrekten Internetadresse eine falsche Webseite aufgerufen wird.
Eine andere Möglichkeit der Umleitung besteht darin, den Anwender zwar die echte Webseite seiner Bank aufrufen zu lassen, nach der Eingabe der Zugangs- bzw. Transaktionsdaten diese jedoch an eine andere Stelle umzuleiten.

Für beide Formen wird im Allgemeinen ein Trojanisches Pferd auf dem Anwendercomputer platziert, welches sehr häufig über eine EMail eintrifft, jedoch auch über eine manipulierte Webseite auf den Anwendercomputer gelangen kann.

Ein anderer Weg ist das Eindringen in einen so genannten DNS-Server. Die Abkürzung "DNS" steht für "Domain Name Service" und bezeichnet eine Technik, mit deren Hilfe die im Browser eingegebenen für Menschen lesbaren Internetadressen in für den Computer verständliche IP-Adressen umgewandelt werden.
In einem Netzwerk, also auch dem Internet, ist jeder Computer nur unter seiner IP-Adresse bekannt. So ist der Computer, der unsere Webseite beherbergt, unter der IP-Adresse 81.169.145.164 bekannt. Trotzdem können Sie unsere Webseite aufrufen, wenn Sie in Ihrem Browser "www.sides.de" eingeben.
Dazu wird - simpel gesagt - Ihre Anfrage "www.sides.de" von einem DNS-Server, der sehr häufig bei Ihrem Internetanbieter betrieben wird, in eine IP-Adresse umgewandelt. Dies geschieht mit einer einfachen Zuordung von IP-Adresse und Internetadresse. Es ist das gleiche Prinzip wie die Zuordnung von Teilnehmer und Telefonnummer in einem Telefonbuch.

Gelingt es nun einem Angreifer Zugang zu einem DNS-Server zu erlangen, kann er unter Umständen diese Zuordnungen manipulieren. Beispielsweise kann er dann alle Anfragen, die an eine bestimmte Bank gehen, auf eine andere Webseite umleiten, welche die Eingaben der ahnungslosen Kunden entgegennimmt.

Doch konzentrieren wir uns auf die häufigere - weil einfachere - Methode, die Installation eines Trojaners auf dem Computer des Anwenders.

Dies eröffnet nun zwei Möglichkeiten:

1. Der Kunde ruft die echte Webseite der Bank auf.

Der Kunde kann nun wie gewohnt die Daten für die Transaktion eingeben. Er befindet sich dann auch wirklich auf der echten Webseite seiner Bank. Wenn er nun allerdings die Daten abschicken will, greift das installierte Schadprogramm ein, unterbricht die Verbindung zum Computer der Bank und leitet stattdessen die ausgehenden Daten auf den Computer des Angreifers um. So erhält dieser authentische Zugangsdaten. Der Kunde sieht meistens nur eine Fehlermeldung im Browser.

Die Verschlüsselung, die normalerweise durch das HTTPS-Protokoll gegeben sein sollte, greift in diesem Falle nicht, da das Schadprogramm bereits vor der Verschlüsselung die eingegebenen Daten abfängt.

2. Der Kunde ruft eine gefälschte Webseite auf.

In diesem Falle werden nicht die eingegebenen Daten des Benutzers umgeleitet, sondern er wird schon beim Aufruf der Internetadresse auf eine gefälschte Webseite umgeleitet. Dazu betreiben die Betrüger eine große Zahl von gefälschten Webseiten, auf welche das installierte Schadprogramm umleitet. Ist der Angriff gut vorbereitet, wird der Anwender den Unterschied kaum bemerken und wie gewohnt seine Daten eingeben.

Ein bekannt gewordener Fall ist der eines Bankkunden aus Wolfsburg. Dieser bemerkte eine Belastung seines Kontos mit 4100 Euro. Ein Betrag, den er niemals angewiesen hat.
Sofort nach dem Entdecken des Fehlbetrages erstattete der geprellte Kunde Anzeige. Phishing war auszuschließen, weil der Betroffene keine entsprechende EMail erhalten hatte.
Es stellte sich schnell heraus, dass sich auf dem PC des Bankkunden ein Trojanisches Pferd eingenistet hatte, welches die eingegebene Internetadresse abfing und daraufhin auf eine gefälschte Webseite umleitete.

Auch in diesem Falle sagt das Kürzel "HTTPS" in der Adresszeile des Browsers nichts über die Art der Verbindung aus, da die Adresse mit Sicherheit manipuliert ist. Ebenso bringt es nichts, die Internetadresse der Bank per Hand einzugeben, da auch in diesem Falle die Umleitung auf die gefälschte Webseite funktioniert.

Es muß betont werden, dass der Kunde im konkreten Fall sogar eine aktuelle Version seiner Antivirensoftware auf dem Computer installiert hatte, die ihn dennoch erst einige Tage später auf den Schädling aufmerksam machte.
Ein aktualisiertes Antivirenprogramm muß also keineswegs einen eingedrungenden Schädling sofort erkennen, da sehr neue Schadprogramme meist ganz einfach noch nicht erkannt werden können. Dies ist erst dann hinreichend zuverlässig möglich, wenn die sogenannte Signaturdatenbank des Antivirenprogramms mit den Merkmalen des neuen Schadprogramms versehen wurde. Die Signaturdatenbank enthält Informationen über den Aufbau von zahllosen Schadprogrammen. Anhand dieser Merkmale untersucht das Antivirenprogramm vorliegende Dateien und versucht anhand der Erkennungsmuster Schädlinge auf dem Computer zu erkennen. Bei einer Übereinstimmung kann es sich um einen Schädling handeln.

Eine weitere Manipulation, die von einigen Trojanern durchgeführt wird, ist das Verändern der HOSTS-Datei auf dem Computer des Anwenders. Diese Datei finden Sie unter

C:\Windows\system32\drivers\etc (Windows XP)
bzw.
c:\Windows\System32\drivers\etc\ (Windows 7)

Die HOSTS-Datei enthält Anweisungen, welcher Computer beim Aufruf einer bestimmten Internetadresse angesprochen werden soll. Dazu beinhaltet diese Datei Zuordnungen von Internetadressen zu IP-Adressen, ähnlich wie dies beim DNS der Fall ist. Wichtig ist, dass eine original HOSTS-Datei unter Windows exakt eine Zuordnung enthält, nämlich "127.0.0.1 localhost".
Wenn es einem Angreifer nun gelingt, diese Datei zu manipulieren, kann er sämtliche Anfragen an eine Online-Banking-Seite umleiten, ohne dass der Anwender dies bemerkt.

Gegenmaßnahmen

Da ein Pharming-Angriff stets die direkte Folge einer Infektion des Computers mit einem Schadprogramm ist, gilt es, die möglichen Einfallstore für solche Schädlinge zu schließen. Dazu zählt vor allem der richtige und umsichtige Umgang mit EMails, da die entsprechenden Schädlinge zu einem Großteil per EMail verbreitet werden.

Ebenfalls sollten Sie darauf achten, verwendete Software aktuell zu halten und verfügbare Sicherheitsaktualisierungen für Software und Betriebssystem zu installieren.