Fachleute bezeichnen dieses Vorgehen mit Drive-by Pharming. Mit Drive-by Pharming werden Angriffe bezeichnet, mit denen ein Angreifer einen Anwender von einer legitimen Webseite auf eine Hacker-Seite umleitet. Der Begriff bezieht sich darauf, dass die Pharming-Betrüger - im Gegensatz zum Phishing - Server-Farmen mit gefälschten Webseiten bereithalten.
Sicherheitsfachleute, z.B. Zulfikar Ramzan von Symantec, haben schon vor geraumer Zeit auf die Gefahr durch manipulative Angriffe auf DSL-Router, über die viele Haushalte oder auch kleine Unternehmen ihre PCs oder LAN mit dem Internet verbinden, gewarnt; inzwischen ist dies Realität geworden. Die ersten Fälle werden aus Mexiko gemeldet, es kann jedoch überall geschehen.
Nach Angaben von Zulfikar Ramzan sind etwa 50 Prozent der Privatanwender gefährdet. Hacker könnten mit dieser Methode Nutzer attackieren, die die Default-Einstellungen ihrer Router nicht geändert haben.
Die meisten Router, die einen oder mehrere Rechner mit dem Internet verbinden, erlauben auch in der Werkseinstellung keine Zugriffe und damit Manipulationen von außen. Viele Router sind jedoch nicht nur mit einer Web-basierten Bedienoberfläche versehen, sondern können auch mittels Universal Plug and Play (UPnP) konfiguriert werden.
Die Methode sei vom Betriebssystem unabhängig. Ein Anwender müsse nichts herunterladen oder ausführen, um zum Opfer zu werden. Ein Hacker könne damit die Kontrolle über den Router übernehmen.
Drive-by Pharming funktioniert, indem ein Angeifer eine Webseite online stellt, die einen JavaScript Code enthält. Wenn ein Anwender, der gleichzeitig die Funktion "Automatische Ausführung von JavaScript" im seinem Browser aktiviert hat, diese Seite besucht, versucht der Schadcode, die DNS-Einstellungen (Domain Name System) des Anwender-Routers zu ändern. Anfragen aus dem LAN werden so an einen vom Angreifer kontrollierten DNS-Server weitergeleitet, anstatt an den des Internet-Providers.
Nun sind die ersten Fälle dieser Art in Mexiko beobachtet worden. Diese Methode ist vor allem für Phishing-Angriffe interessant. Der Benutzer glaubt die Website seiner Bank aufzurufen; in seinem Browser steht auch die richtige Webadresse (URL). Der manipulierte Router ermittelt jedoch über die umgeleitete DNS-Anfrage eine falsche IP-, die zu einer Phishing-Website, deren Erscheinungsbild dem der echten Banken-Website sehr ähnlich ist, gehört. Eingegebene Anmelde- und Transaktionsdaten werden somit an die Angreifer übermittelt, die damit auf der echten Website der Bank Überweisungen zu ihren (Un-)Gunsten ausführen können.
Voraussetzung, um die Einstellungen des Routers manipulieren zu können, ist, der Angreifer muss das Passwort des Routers herausbekommen. Viele Benutzer ändern jedoch das vom Hersteller voreingestellte Passwort nicht oder vergeben gar kein Passwort. So haben Angreifer leichtes Spiel. Zu einfache Passwörter können mit Wörterbuch-Attacken ermittelt werden, indem ein Script viele Wörter, Namen und beliebte Passwörter ausprobiert.
Was können Sie tun, um sich zu schützen?
1. Sie sollten die Konfiguration Ihres DSL-Routers (unabhängig davon, ob Sie WLAN nutzen oder nicht) überprüfen und mit einem nicht zu primitiven Passwort schützen. Entprechende Passwort-Generatoren finden Sie im Freeware-Bereich; einfach mal googeln.
2. Deaktivieren Sie die UPnP-Schnittstelle des Routers, wenn Sie sie nicht benötigen. Zum Beispiel können Sie bei den in Deutschland recht verbreiteten Fritzbox-Routern von AVM das Übertragen von Statusinformationen über UPnP und Änderungen der Sicherheitseinstellungen über UPnP separat einstellen (Einstellungen > System > Netzwerkeinstellungen). Zumindest Letzteres sollten Sie abschalten.
|
