Pharming

Pharming bezeichnet eine Betrugsmethode, bei der DNS-Anfragen von Webbrowsern manipuliert werden, um den Benutzer auf eine gefälschte Webseite umzuleiten. Es ist eine Weiterentwicklung des klassischen Phishings.

Funktionsweise von Pharming-Angriffen

Wenn Sie eine URL in Ihren Webbrowser eintippen, geschieht normalerweise folgendes:

  1. Der PC versucht, den Hostnamen in eine IP aufzulösen
  2. Hierzu wird eine DNS-Anfrage an einen der im System registrierten DNS-Server gesandt
  3. Der DNS-Server liefert die entsprechende IP zurück
  4. Der Computer kontaktiert direkt die IP-Adresse und ruft die gewünschte Seite ab

Hostnamen sind also primär dazu gedacht, es für den Benutzer einfacher zu machen, sich verschiedene Hosts zu merken. In der Tat können sich die meisten Benutzer wohl www.uni-mannheim.de einfacher merken als 134.155.100.13!

Bei vielen Betriebssystemen gibt es allerdings noch eine Art lokales Verzeichnis für DNS-Anfragen; bei Windows ist dies die sog. hosts Datei, die sich unter C:\Windows\system32\drivers\etc\ befindet.

In eben diese Datei kann nun ein bösartiges Programm (Virus/Trojaner/sonstige Malware) gezielt falsche Einträge schreiben, um z.B. eine Anfrage zu www.uni-mannheim.de umzuleiten, so dass dieser Host nicht mehr auf die IP 134.155.100.13, sondern auf eine andere IP und damit gefälschte Seite aufgelöst wird. Typischerweise betrifft dies Seiten, auf denen der Benutzer sensible Informationen wie Online-Banking Kennungen, TANs, Kreditkarteninformationen oder sonstige persönliche Daten eingeben soll!

In der Regel liegt auf den Pharming-Servern eine Kopie der Originalseite, die entsprechend modifiziert wurde und die Eingaben nicht an die Originalseite, sondern auf die gefälschte Seite umleitet. Diese Seite ist optisch meist nicht von der Originalseite zu unterscheiden! Erschwert wird dieser Umstand dadurch, dass sogar in der Adresszeile des Browsers die korrekte URL angezeigt wird – die zugehörige IP-Adresse wurde ja vom System über die hosts Datei aufgelöst.

Gegenmaßnahmen

Sie können die Datei C:\Windows\system32\drivers\etc\hosts mit einem Schreibschutz versehen. Klicken Sie hierzu auf Computer / Laufwerk C: / Windows / system32 / drivers / etc und nun mit der rechten Maustaste auf die Datei hosts. Wählen Sie Eigenschaften aus und setzen Sie bei den Attributen das Häkchen vor Schreibgeschützt:

hosts

Falls ein Virus nicht versucht, den Schreibschutz für diese Datei aufzuheben, kann diese Option die Sicherheit Ihres Systems bereits etwas erhöhen. Sollte der Virus allerdings “intelligent” programmiert sein und den Schreibschutz vor der Manipulation entfernen, hilft eigentlich nur noch, die Datei von Zeit zu Zeit manuell auf verdächtige Einträge zu kontrollieren.

warning Hinweis: Auf Ihrem System sollte in jedem Fall ein aktueller Virenscanner installiert sein – dieser trägt entschieden zur Systemsicherheit bei und verhindert im Idealfall, dass die hosts Datei überhaupt erst manipuliert wird!
DNS-Poisoning

Eine weitere Angriffsmöglichkeit beim Pharming besteht darin, gezielt DNS-Server zu korrumpieren (sog. DNS-Poisoning), so dass diese falsche Einträge zurückliefern. Hierbei ist der Benutzer ansich so gut wie machtlos, da die Manipulation nicht auf seinem System, sondern an entfernter Stelle stattfindet. Einzige Abhilfe bietet hier, vor dem Aufruf einer Webseite zum einen lokal den DNS-Namen aufzulösen (Start / Ausführen / cmd / nslookup <Domainname>) und die zurückgelieferte IP mit der DNS-Abfrage eines anderen DNS-Servers zu vergleichen. In der Praxis wird sich aber kaum ein Benutzer diesen Aufwand machen.