Symantec identifiziert ersten Fall von "Drive-by Pharming"

23.01.2008
Sicherheitsforscher von Symantec haben erste "Drive-by- Pharming"-Aktivitäten in freier Wildbahn beobachtet. Dabei manipuliert der Angreifer die DNS-Einstellungen von Heim-Routern, um seine Opfer auf gefälschte Web-Seiten zu lotsen.

Beim Drive-by Pharming genügt es bereits, wenn das Opfer den bösartigen HTML- oder Javascript-Code des Angreifers, der sich auf einer Website befinden oder in eine E-Mail eingebettet sein kann, nur sichtet. Der Schadcode kann die DNS-Einstellungen (Domain Name System) im heimischen Breitband-Router dann so verändern, dass künftig sämtliche DNS-Anfragen vom DNS-Server des Angreifers gehandhabt werden. Auf diese Weise kann der Hacker die Internet-Verbindungen seines Opfers kontrollieren.

Nach Beobachtungen von Symantec wird das bislang eher als theoretische Bedrohung eingestufte Angriffsprinzip nun tatsächlich angewendet. Zielscheibe der ersten realen Drive-by-Pharming-Attacke soll demnach eine mexikanische Bank sein. Konkret geht es dabei um eine vorgeblich von dem spanischsprachigen Grußkartenversender Gusanito.com stammende E-Mail, die laut Symantec-Forscher Zulfikar Ramzan einen HTML-IMG-Tag enthält. Dieser löste eine Anfrage an den Router aus, um dessen DNS-Einstellungen zu manipulieren, berichtet Ramzan in einem Posting im Symantec Security Response Weblog.

Demnach versucht der in der inspizierten E-Mail befindliche Code, Heim-Router so zu modifizieren, dass der Browser des Opfers auf eine betrügerische Site zeigt, die sich als eine der größten Banken Mexikos tarnt. Jeder Versuch, die Site dieses Finanzinstituts zu besuchen, führe demnach auf die gefälschte Seite des Angreifers.

Der Begriff "Drive-by Pharming" wurde von Symantec und der Indiana University School of Informatics geprägt, die die Javascript-basierende Sicherheitsbedrohung vor einem Jahr in einem Whitepaper beschrieben und gewarnt hatten, eine solche Attacke könnte bis zu 50 Prozent der pirvaten Breitbandnutzer treffen.

Möglich ist Drive-by Pharming, weil Anwender in ihrem Router-Equipment die Default-Einstellungen der Anbieter meist nie veränderten. "Angreifer kennen die Standardeinstellungen", warnt Ramzan. Die einfachste Schutzmaßnahme sei demnach, Default-Passwörter in jedem Fall zu ändern. Firmen-Router seien aufgrund ihres meist besseren Managements weniger anfällig für diese Angriffsweise. (kf)