Was Sie über Fake-Webseiten wissen müssen

Mit der Umleitung von Traffic auf Fake-Webseiten versuchen Cyberkriminelle Ihre Daten zu stehlen und Malware zu verbreiten. Das müssen Sie über Pharming wissen. [...]

Raffinierte Pharming-Attacken sind im Regelfall nur schwer zu erkennen. Wir sagen Ihnen, was Sie zum Thema wissen müssen (c) pixabay.com

Cyberkriminelle werden nicht müde, das weltweite Netz für etwaige Betrugsmethoden zu nutzen. Social Engineering und Ransomware sind dabei nur die Spitze des Eisbergs – gerade auch in der aktuellen Coronavirus-Krise aber beliebte Methoden, um sich auf Kosten von Unternehmen und Privatpersonen zu bereichern. Auch gefälschte Webseiten gehören schon länger zum Standard-Portfolio krimineller Hacker.

Pharming – Definition

Die Umleitung von Netz-Traffic auf gefälschte Webseiten wird als Pharming bezeichnet und stellt eine Weiterentwicklung klassischer Phishing-Methoden dar. Das Ziel des Angreifers besteht für gewöhnlich darin, sensible persönliche zu stehlen oder Malware auf dem Rechner der Nutzer zu installieren. Dazu bilden kriminelle Hacker täuschend echte Webseiten von populären Online-Banking- oder Shopping-Portalen nach.

Bei Pharming-Angriffen werden entweder gezielt Rechner oder DNS-Server manipuliert, um den Traffic auf die Fake-Webseiten umzuleiten. Letztere Vorgehensweise ist dabei für betroffene Nutzer deutlich schwerer zu erkennen.

Wie funktionieren Pharming-Angriffe?

Auch wenn die Zielsetzung eine ähnliche ist: Pharming unterscheidet sich wesentlich von Phishing, wie David Emm, Principal Security Researcher bei Kaspersky, erklärt: „Pharming-Angriffe fokussieren auf die Manipulation von Systemen, statt Nutzer mit Tricks dazu zu bringen, eine maliziöse Webseite aufzurufen. Das Ergebnis von Phishing- und Pharming-Attacken gleicht sich zwar insofern, dass die Angreifer die Nutzer auf schadhafte Seiten locken – die Mechanismen, die dabei greifen, sind aber unterschiedliche.“

Pharming-Attacken leiten Nutzeranfragen durch die Manipulation des Domain-Name-Service- (DNS) Protokolls von der eigentlich angesteuerten auf eine IP-Adresse um, die unter der Kontrolle des Angreifers steht. Das funktioniert auf zwei unterschiedliche Weisen:

  1. Angreifer kompromittieren den Rechner des Opfers und verändern das lokale Verzeichnis der IP-Adressen (‚local host file‘). Das leitet den User dann beim nächsten Versuch, eine bestimmte Seite aufzurufen, um – in der Regel auf täuschend echt nachgebildete Fake-Webseiten. Bei dieser Methode findet im Vorfeld in der Regel ein Phishing-Angriff statt oder das ‚local host file‘ wird per Malware manipuliert. Neben Rechnern sind auch Router ein gängiges Ziel von Pharming-Angriffen – das wird auch als Drive-by Pharming bezeichnet.
  2. Angreifer leiten Traffic um, indem sie Schwachstellen von DNS-Servern ausnutzen. Das hat zur Folge, dass die Opfer auf eine IP-Adresse umgeleitet werden, die unter Kontrolle der Angreifer steht. Diese Methode ist besonders raffiniert, da der Nutzer hierbei keinen Fehler begehen muss, um auf der Fake-Webseite zu landen.

DNS-Server sind im Regelfall deutlich schwieriger zu kompromittieren, weil sie Teil eines Unternehmensnetzwerks und damit entsprechend geschützt sind. Allerdings ist die Methode auch deutlich einträglicher für Cyberkriminelle, weil es potenziell mehr Opfer und damit Beute gibt, aber auch, weil die Möglichkeit besteht, die Kompromittierung auf weitere DNS-Server auszuweiten. Gelangen DNS-Informationen eines so kompromittierten Servers in den Cache eines Internet Service Providers, besteht die Möglichkeit, dass diese sich auf weitere Router und Rechner ausbreiten. Genau das spielte sich im Jahr 2010 bereits ab: Damals stand der betroffene in China, was dazu führte, dass die im Reich der Mitte etablierten Zensur-Maßnahmen sich auf andere Länder ausweiteten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

„Einen DNS-Server erfolgreich zu hacken ist sehr schwierig zu bewerkstelligen, weswegen solche Angriffe nicht oft vorkommen“, weiß der Kaspersky-Experte und fügt hinzu: „Bei der Verbreitung von Malware auf einem bestimmten Device beschränkt sich der Schaden auf den Betroffenen, wohingegen eine Infektion von DNS-Servern potenziell alle Geräte betreffen kann, die auf diese zugreifen. Das kann folglich beträchtliche Schäden nach sich ziehen.“

Wie gängig sind Pharming-Attacken?

Der potenzielle Schaden eines Pharming-Angriffs hängt von der Zielsetzung des Angreifers ab. Die könnte beispielsweise darin bestehen, Kreditkarteninformationen oder Login-Daten zu stehlen und diese anschließend zum Verkauf anzubieten. Insbesondere der Diebstahl von Login-Informationen eignet sich auch als Einstiegspunkt für weiterführende Angriffe auf Unternehmen und Organisationen.

Die Aussichten auf geringere Beute bei Angriffen auf Einzelpersonen und die vergleichsweise diffizilen Abläufe führen dazu, dass Pharming – etwa im Vergleich zu Phishing-Attacken – deutlich weniger häufig von Cyberkriminellen genutzt wird.

Kaspersky konnte im Jahr 2019 einen Pharming-Angriff in Venezuela aufdecken, wie David Emm preisgibt: „Einen Tag nachdem Juan Guadio die Menschen dazu angehalten hatte, ihre persönlichen Informationen auf einer Webseite zu wohltätigen Zwecken einzugeben, tauchte plötzlich eine nahezu identische Seite auf. Beide Domains wiesen unterschiedliche Besitzer auf, waren aber in Venezuela unter derselben IP-Adresse registriert – diese wiederum befand sich im Besitz von kriminellen Hackern. Es spielte also keine Rolle, ob die Nutzer ihre auf der echten oder der gefälschten Webseite eingaben – die Informationen wurden in beiden Fällen abgegriffen.“

Ein weiterer erwähnenswerter Pharming-Angriff fand im Jahr 2015 in Brasilien statt und wurde vom IT-Sicherheitsanbieter Proofpoint entdeckt. Dabei versendeten die Angreifer Phishing-E-Mails an Nutzer von bestimmten Heimnetzwerk-Routern und gaben sich dabei als Mitarbeiter des größten TK-Anbieters in Brasilien aus. Die in den E-Mails integrierten Links führten zum Download von Malware, die Schwachstellen in den Routern ausnutzte und den Angreifern ermöglichte, die DNS-Einstellungen zu manipulieren.

Eine besonders groß angelegte Pharming-Kampagne spielte sich bereits im Jahr 2007 ab, von der mindestens 50 Finanzinstitutionen betroffen waren. Für jede dieser Organisationen war im Vorfeld eine entsprechende Fake-Webseite erstellt worden, um Login-Daten abzugreifen.

Wie lässt sich Pharming verhindern?

Die folgenden Best Practices reduzieren die Erfolgschancen von Pharming-Angriffen:

  • Schulen Sie die Nutzer in Sachen Cyberhygiene – etwa, wenn es darum geht, verdächtige Links zu erkennen, die zu Fake-Webseiten führen.
  • Versorgen Sie Endgeräte mit Updates und Patches und führen Sie kontinuierliche Virenscans durch. Darüber hinaus empfiehlt es sich auch, regelmäßig Caches und Browser Cookies zu löschen.
  • Patchen, auditieren und überwachen Sie DNS-Server, um das einer Kompromittierung zu reduzieren.
  • Rollen Sie TLS-Zertifikate auf Unternehmenswebseiten aus, um das von Spoofing zu reduzieren.
  • Rechner von Mitarbeitern müssen gepatcht, überwacht und mit entsprechenden Security-Lösungen ausgestattet werden.
  • Sorgen Sie für starke Passwörter auf Routern, um das von Drive-by-Angriffen zu reduzieren.
  • Threat-Intelligence-Lösungen können verhindern, dass Fake Domains registriert werden, die Ihren eigenen ähneln.
  • Die Einbindung von Zwei- beziehungsweise Multi-Faktor-Authentifizierung bei der Nutzung von Services kann die Folgen des Diebstahls von Login-Informationen abmildern.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Dan Swinhoe schreibt für die US-Schwesterpublikation CSO Online.

**Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*