Web

Pharming: Passwort-Klau in großem Stil

15.03.2005

MÜNCHEN (COMPUTERWOCHE) - Viele Nutzer von Online-Banking sahen sich in den letzten Monaten so genannten Phishing-Angriffen ausgesetzt. Dabei versuchen Betrüger, die Kunden von Banken oder Online-Händlern auf täuschend ähnliche Sites zu locken und sie dort zur Eingabe von Passwörtern oder PINs zu bewegen. In der Vergangenheit spielten dabei Spam-Mails eine zentrale Rolle, indem sie etwa Anwender aufforderten, die Website ihres Geldinstituts zu besuchen und dafür einem Hyperlink in der Mail zu folgen.

Der Erfolg solcher Phishing-Attacken hängt davon ab, dass einzelne Benutzer auf den Trick hereinfallen und einen gefälschten Link anklicken. In letzter Zeit versuchten nun Betrüger, ganze Scharen von Anwendern auf Kopien von Bank-Websites umzulenken. Die Rede ist dabei von Pharming, weil gewissermaßen ganze Herden von Benutzern in die falsche Richtung getrieben werden sollen. Die Betroffenen müssen dabei keinen Beitrag durch ungeschicktes Verhalten leisten. Vielmehr versuchen die Angreifer, ihre Opfer durch Manipulationen des Domain Name System (DNS) zu überlisten.

Dazu bedienen sich die Gauner beispielsweise eines Trojaners, der die hosts-Datei mit einem falschen Eintrag versieht. Bei der Übersetzung von Domänen in IP-Adressen genießt diese normalerweise eine höhere Priorität als der DNS-Server. Daher wird etwa bei der Eingabe der URL "http://meinebank.de" der Benutzer auf eine IP-Adresse verwiesen, die dem Server des Angreifers gehört.

Experten sind sich derzeit uneins darüber, ob es möglich sei, einen wichtigen DNS-Server zu hacken und dabei die Einträge für große E-Commerce-Sites zu verändern. In diesem Fall könnten in kurzer Zeit tausende Benutzer zu Opfern von Pharming werden. Einen gewissen Schutz bieten derzeit Browser-Erweiterungen wie die Toolbar von Netcraft, indem sie den Standort des jeweils besuchten Servers anzeigen. Befindet sich jener eines deutschen Geldinstituts beispielsweise in Russland, dann scheint Vorsicht geboten. (ws)