Ein sogenannter Pharming-Angriff ist eine raffinierte Methode, die Nutzer in der Regel täuscht, ohne dass diese einen Fehler begehen müssen. Lassen Sie uns dies genauer betrachten und herausfinden, wie man sich davor schützen kann.
Stellen Sie sich vor, Sie loggen sich mit einer korrekten Webadresse bei Ihrem Online-Banking ein, und kurz darauf ist Ihr Erspartes verschwunden.
So funktionieren Pharming-Angriffe.
Der Begriff „Pharming“ setzt sich aus „Phishing“ und „Farming“ zusammen.
Einfach ausgedrückt: Phishing erfordert, dass Sie auf einen verdächtigen Link klicken (den Fehler), der Schadsoftware herunterlädt, was zu finanziellen Verlusten führt. Es kann sich auch um eine E-Mail von Ihrem vermeintlichen „Chef“ handeln, der eine „dringende“ Banküberweisung an einen „Lieferanten“ verlangt, eine besondere Form des Betrugs, die als Whaling-Phishing bekannt ist.
Kurz gesagt, Phishing setzt Ihre aktive Beteiligung voraus, während Pharming-Angriffe dies (meistens) nicht tun.
Was genau ist ein Pharming-Angriff?
Wir sind an Domainnamen (wie beispiel.de) gewöhnt, während Computer mit IP-Adressen (wie 192.168.1.1) arbeiten.
Wenn wir eine Webadresse (Domainname) eingeben, wird diese Anfrage an die DNS-Server (das Adressbuch des Internets) gesendet, die sie mit der zugehörigen IP-Adresse verknüpfen.
Folglich haben Domainnamen wenig mit den tatsächlichen Webseiten zu tun.
Wenn der DNS-Server einen Domainnamen mit einer gefälschten IP-Adresse verknüpft hat, die eine gefälschte Webseite hostet, sehen Sie nur diese, unabhängig davon, welche korrekte URL Sie eingegeben haben.
Danach übermittelt der Benutzer seine Daten – Kreditkartennummern, Personalausweisnummern, Zugangsdaten usw. – an die Fälschung, da er sie für legitim hält.
Das macht Pharming-Angriffe so gefährlich.
Sie sind sehr ausgeklügelt, arbeiten heimlich, und der Endbenutzer merkt es erst, wenn er von seiner Bank die Nachricht „Betrag abgebucht“ erhält. Oder wenn seine persönlichen Daten im Dark Web verkauft werden.
Lassen Sie uns ihre Vorgehensweise im Detail untersuchen.
Wie funktioniert ein Pharming-Angriff?
Diese Angriffe werden auf zwei Ebenen durchgeführt, entweder auf der Ebene des Nutzers oder auf der Ebene eines gesamten DNS-Servers.
#1. Pharming auf Nutzerebene
Dies ähnelt dem Phishing: Sie klicken auf einen verdächtigen Link, der Schadsoftware herunterlädt. Diese modifiziert die Hosts-Datei (auch bekannt als lokale DNS-Einträge), sodass ein Benutzer eine schädliche Kopie einer Originalwebseite aufruft.
Eine Hosts-Datei ist eine einfache Textdatei, in der lokal verwaltete DNS-Einträge gespeichert werden, was schnellere Verbindungen mit geringerer Latenz ermöglicht.
Webmaster nutzen die Hosts-Datei oft, um Webseiten zu testen, bevor sie die eigentlichen DNS-Einträge beim Domain-Registrar ändern.
Schadsoftware kann jedoch falsche Einträge in die lokale Hosts-Datei Ihres Computers schreiben. Dadurch wird selbst die richtige Webadresse zu einer betrügerischen Webseite.
#2. Pharming auf Serverebene
Was einem einzelnen Nutzer passieren kann, kann auch einem ganzen Server widerfahren.
Dies wird als DNS-Vergiftung, DNS-Spoofing oder DNS-Hijacking bezeichnet. Da dies auf Serverebene geschieht, können Hunderte, Tausende oder noch mehr Menschen betroffen sein.
Die DNS-Zielserver sind im Allgemeinen schwerer zu manipulieren, und es ist ein riskantes Manöver. Wenn es jedoch gelingt, sind die Belohnungen für Cyberkriminelle um ein Vielfaches höher.
Pharming auf Serverebene erfolgt durch physisches Hijacking von DNS-Servern oder Man-in-the-Middle (MITM)-Angriffe.
Letzteres ist eine Manipulation der Kommunikation zwischen einem Nutzer und dem DNS-Server oder zwischen DNS-Servern und autoritativen DNS-Nameservern.
Zusätzlich könnte ein Hacker die DNS-Einstellungen Ihres WLAN-Routers verändern, was als lokale DNS-Positionierung bezeichnet wird.
Bekannte Pharming-Angriffe
Ein Pharming-Angriff auf Nutzerebene bleibt oft verborgen und wird selten gemeldet. Selbst wenn er entdeckt wird, schafft er es kaum in die Nachrichten.
Die Raffinesse von Angriffen auf Serverebene macht es zudem schwer, sie zu bemerken, es sei denn, die Cyberkriminellen erbeuten erhebliche Geldsummen, die viele Menschen betreffen.
Schauen wir uns einige Beispiele an, um zu sehen, wie das in der Praxis aussah.
#1. Curve Finance
Curve Finance, eine Plattform für den Handel mit Kryptowährungen, wurde am 9. August 2022 Opfer eines DNS-Vergiftungsangriffs.
Wir haben einen kurzen Bericht von @iwantmyname darüber, was passiert ist. Kurz gesagt: DNS-Cache-Poisoning, keine Nameserver-Kompromittierung. https://t.co/PI1zR96M1Z
Niemand im Web ist 100 % sicher vor solchen Angriffen. Was passiert ist, deutet STARK darauf hin, auf ENS anstelle von DNS umzusteigen.
– Curve Finance (@CurveFinance) 10. August 2022
Tatsächlich war es iwantmyname, der DNS-Anbieter von Curve, der kompromittiert wurde, seine Benutzer zu einer Fälschung umleitete und so Verluste von über 550.000 US-Dollar verursachte.
#2. MyEtherWallet
Der 24. April 2018 war ein schwarzer Tag für einige Nutzer von MyEtherWallet. Dies ist eine kostenlose und Open-Source-Wallet für Ethereum (eine Kryptowährung) mit robusten Sicherheitsvorkehrungen.
Trotz aller guten Absichten hinterließ die Erfahrung einen bitteren Beigeschmack bei den Nutzern, mit einem Nettoverlust von 17 Millionen Dollar.
Technisch gesehen wurde BGP Hijacking auf dem Amazon Route 53 DNS-Dienst angewendet – der von MyEtherWallet genutzt wird – der einige seiner Nutzer auf eine Phishing-Kopie umleitete. Diese gaben ihre Zugangsdaten ein, was den Kriminellen Zugriff auf ihre Krypto-Wallets verschaffte und zu einem plötzlichen finanziellen Verlust führte.
Ein eklatanter Fehler des Benutzers war jedoch das Ignorieren der SSL-Warnung des Browsers.
Offizielle Erklärung von MyEtherWallet zum Betrug.
#3. Große Banken
Im Jahr 2007 wurden Nutzer von fast 50 Banken Ziel von Pharming-Angriffen, die zu Verlusten in unbekannter Höhe führten.
Diese klassische DNS-Manipulation leitete Nutzer auf schädliche Webseiten um, selbst wenn sie die offiziellen URLs eingaben.
Alles begann jedoch damit, dass die Opfer eine schädliche Webseite besuchten, die aufgrund einer Windows-Sicherheitslücke (die mittlerweile behoben wurde) einen Trojaner herunterlud.
Der Virus forderte die Nutzer dann auf, Antivirenprogramme, Firewalls usw. zu deaktivieren.
Anschließend wurden die Nutzer auf gefälschte Webseiten führender Finanzinstitute in den USA, Europa und im asiatisch-pazifischen Raum umgeleitet. Es gibt noch weitere solcher Vorfälle, aber sie funktionieren nach einem ähnlichen Muster.
Anzeichen für Pharming
Pharming gibt dem Angreifer im Wesentlichen die volle Kontrolle über Ihre kompromittierten Online-Konten. Dies kann Ihr Facebook-Profil, Ihr Online-Banking-Konto usw. sein.
Wenn Sie ein Opfer sind, werden Sie unübliche Aktivitäten sehen. Das kann ein Beitrag, eine Transaktion oder auch nur eine merkwürdige Änderung Ihres Profilbilds sein.
Im Grunde sollten Sie stutzig werden, wenn Sie sich nicht erinnern können, etwas getan zu haben.
Schutz vor Pharming
Je nach Art des Angriffs (Nutzer- oder Serverebene), dem Sie ausgesetzt sind, gibt es verschiedene Möglichkeiten, sich zu schützen.
Da die Umsetzung auf Serverebene nicht Gegenstand dieses Artikels ist, konzentrieren wir uns darauf, was Sie als Endbenutzer tun können.
#1. Verwenden Sie ein hochwertiges Antivirenprogramm
Ein guter Virenschutz ist die halbe Miete. Er schützt Sie vor den meisten betrügerischen Links, schädlichen Downloads und gefälschten Webseiten. Es gibt zwar kostenlose Antivirenprogramme für Ihren PC, aber die kostenpflichtigen sind in der Regel besser.
#2. Legen Sie ein sicheres Router-Passwort fest
WLAN-Router können auch als Mini-DNS-Server fungieren. Daher ist ihre Sicherheit von entscheidender Bedeutung, beginnend mit der Beseitigung der vom Hersteller bereitgestellten Standardpasswörter.
#3. Wählen Sie einen seriösen Internetanbieter (ISP)
Für die meisten von uns fungieren Internetdienstanbieter auch als DNS-Server. Meiner Erfahrung nach bietet das DNS des ISP im Vergleich zu kostenlosen öffentlichen DNS-Diensten wie Google Public DNS einen geringfügigen Geschwindigkeitsvorteil. Es ist jedoch wichtig, den besten verfügbaren ISP nicht nur wegen der Geschwindigkeit, sondern auch wegen der allgemeinen Sicherheit auszuwählen.
#4. Verwenden Sie einen benutzerdefinierten DNS-Server
Es ist nicht schwierig oder ungewöhnlich, zu einem anderen DNS-Server zu wechseln. Sie können kostenloses öffentliches DNS von OpenDNS, Cloudflare, Google usw. verwenden. Wichtig ist jedoch, dass der DNS-Anbieter Ihre Webaktivitäten sehen kann. Seien Sie also wachsam, wem Sie Zugriff auf Ihre Webaktivitäten gewähren.
#5. Verwenden Sie ein VPN mit privatem DNS
Die Verwendung von VPN fügt viele Sicherheitsebenen hinzu, einschließlich eines eigenen DNS. Dies schützt Sie nicht nur vor Cyberkriminellen, sondern auch vor der Überwachung durch Internetanbieter oder Regierungen. Trotzdem sollten Sie sicherstellen, dass das VPN für einen bestmöglichen Schutz verschlüsselte DNS-Server verwendet.
#6. Achten Sie auf eine gute Cyberhygiene
Das Klicken auf betrügerische Links oder Werbung, die zu schön ist, um wahr zu sein, ist eine der Hauptursachen für Betrug. Zwar erfüllt ein guter Virenschutz seine Aufgabe, Sie zu warnen, aber kein Cybersicherheitstool garantiert eine 100-prozentige Erfolgsquote. Letztendlich liegt es an Ihnen, sich selbst zu schützen.
Zum Beispiel sollten Sie jeden verdächtigen Link in Suchmaschinen überprüfen, um die Quelle zu ermitteln. Außerdem sollten Sie sicherstellen, dass HTTPS (dargestellt durch ein Vorhängeschloss in der URL-Leiste) vorhanden ist, bevor Sie einer Webseite vertrauen.
Darüber hinaus hilft es, Ihren DNS regelmäßig zu leeren.
Seien Sie vorsichtig!
Pharming-Angriffe sind nicht neu, aber die Art und Weise, wie sie funktionieren, ist schwer zu erkennen. Die Hauptursache solcher Angriffe sind die nativen DNS-Sicherheitslücken, die nicht vollständig behoben sind.
Daher liegt es nicht immer an Ihnen. Dennoch helfen die genannten Schutzmaßnahmen, insbesondere die Verwendung eines VPN mit verschlüsseltem DNS wie ProtonVPN.
Obwohl Pharming DNS-basiert ist, wussten Sie, dass Betrug auch auf Bluetooth basieren kann? Lesen Sie diesen Artikel über Bluesnarfing, um zu erfahren, wie es funktioniert und wie Sie sich schützen können.