Was ist ein Pharming-Angriff?
Der Begriff „Pharming“ setzt sich aus zwei Begriffen zusammen: Phishing und Farming. Es handelt sich um eine Art Social-Engineering-Cyberangriff, bei dem der Datenverkehr einer Website manipuliert wird, um die privaten Informationen eines Benutzers in Besitz zu nehmen oder Malware auf seinen Computern zu installieren. Zu diesem Zweck erstellen Pharmer eine gefälschte Website, die eine Nachbildung der Zielwebsite ist, und verwenden mehrere Methoden, um Benutzer auf die gefälschte Website umzuleiten.
Cyberkriminelle erstellen in der Regel gefälschte Repliken von Banken und E-Commerce-Websites, um Benutzernamen, Passwörter, Sozialversicherungsnummern und Kredit-/Debitkartendetails zu sammeln.
Wie wird Pharming gemacht?
Pharming nutzt die Grundlage des Surfens im Internet – insbesondere die Buchstabenfolge, aus denen eine Internetadresse besteht (xyz.beispiel.com), muss von einem DNS-Server (Domain Name System) in eine IP-Adresse umgewandelt werden, damit die Verbindung weitergeführt werden kann.
Pharming wird durchgeführt, indem die Hosteinstellungen auf dem System des Opfers geändert oder ein DNS-Server manipuliert wird. Dies wird auf zwei Arten erreicht:
Verursachen von Änderungen an der lokalen Hosts-Datei
Die Datei local hosts bezieht sich auf ein Verzeichnis mit IP-Adressen und Domänennamen, das auf dem lokalen Computer eines Benutzers gespeichert wird. Auf macOS- und Linux-Systemen befindet sich diese Datei beispielsweise unter /etc/hosts. Pharming tritt auf, wenn Cyberkriminelle in das System des Opfers eindringen und die Hosts-Datei ändern, um Einzelpersonen jedes Mal auf die gefälschte Website umzuleiten, wenn sie versuchen, auf die legitime Website zuzugreifen. Cyberkriminelle können sehr geschickt darin sein, die gefälschte Website der echten Website sehr ähnlich zu machen. Opfer werden daher ahnungslos ertappt und geben ihre Zugangsdaten oder Finanzinformationen an die Betrüger weiter.
Cyber-Angreifer verwenden normalerweise Phishing-Techniken, um Malware an den Computer des Opfers zu senden, wodurch Änderungen an der Host-Datei verursacht werden. Der Pharmer kann eine E-Mail mit schädlichem Code bereitstellen, und wenn das Opfer darauf klickt, wird Malware heruntergeladen und auf seinem Computer installiert.
Domain Name System (DNS)-Spoofing
Die andere wichtige Methode, die Pharmer verwenden, um den Datenverkehr umzuleiten, besteht darin, die Schwächen eines DNS-Servers auszunutzen und seine Antworten auf DNS-Anfragen zu fälschen. Der Effekt ist, dass das Opfer auf eine gefälschte Website umgeleitet wird, die vom Pharmer kontrolliert wird, selbst wenn die richtige Adresse in der Adressleiste des Browsers sichtbar ist. Die gefälschten Websites werden dann verwendet, um finanzielle Details und vertrauliche Informationen des Opfers zu sammeln, und können auch Viren auf dem System des Opfers installieren.
Was DNS-Spoofing bedrohlicher macht als Host-Dateiänderungen, ist, dass es nicht von den Aktionen des Opfers abhängen muss und möglicherweise schlimmere Folgen hat, da DNS-Server auf die Anfragen vieler Benutzer reagieren und andere DNS-Server mit den Änderungen des Pharmers „vergiften“ können zu einem DNS-Eintrag. Außerdem hat das Opfer beim DNS-Spoofing möglicherweise einen Computer, der frei von Viren ist, aber dennoch von Pharmern angegriffen werden könnte. Auch wenn Hosts Vorkehrungen treffen, wie die manuelle Eingabe der Website-Adresse oder die regelmäßige Verwendung vertrauenswürdiger Lesezeichen, reichen diese immer noch nicht aus, um DNS-Spoofing zu bekämpfen, da die böswillige Weiterleitung erfolgt, nachdem die Verbindungsanfrage vom Computer gesendet wurde.
Wenn Pharmer die finanziellen und persönlichen Daten ihrer Opfer stehlen, können sie diese dann für Betrug verwenden oder im Dark Web verkaufen.
Wie unterscheidet sich Pharming von Phishing?
Obwohl Pharming und Phishing ähnliche gewünschte Ergebnisse erzielen, unterscheiden sich die verwendeten Methoden. Pharming ist mehr darauf ausgerichtet, das DNS-System anzugreifen, während Phishing mehr auf die Manipulation von Benutzern ausgerichtet ist. Wie bereits erwähnt, kann Phishing jedoch eine wichtige Funktion bei der Ausführung von Pharming übernehmen.
Phishing
So wie wir erwähnt vor, Phishing ist eine Art von Cyberbetrug, bei der Angreifer E-Mails verwenden, die vorgeben, von vertrauenswürdigen Organisationen wie Banken und Kreditkartenunternehmen zu stammen. Die E-Mails enthalten bösartige Links, die das Opfer beim Anklicken auf eine gefälschte Website führen. Da die gefälschte Website der legitimen Website täuschend ähnlich sieht, werden die Opfer dazu verleitet, ihre Zugangsdaten, Kartendaten und andere sensible Informationen einzugeben.
Pharming
Pharming kann als eine Art Phishing ohne den Verführungsfaktor angesehen werden. Das bedeutet, dass das Opfer nicht auf einen schädlichen Link klicken muss, um auf eine gefälschte Website zu gelangen. Stattdessen wird das Opfer sofort von einem gefälschten DNS-Eintrag oder einem Host-Dateieintrag dorthin geschickt. Pharming kann daher als „Phishing ohne Köder“ bezeichnet werden.
Historische Fälle von Pharming
Pharming wurde weltweit vielfach eingesetzt, um einzelne Opfer und Organisationen anzugreifen:
In 2007, mindestens 50 Finanzorganisationen in den Vereinigten Staaten, Europa und im asiatisch-pazifischen Raum wurden von Pharmern angegriffen. Ihre Strategie bestand darin, für jedes Ziel eine gefälschte Website zu erstellen und dann bösartigen Code auf jedem von ihnen zu platzieren. Die gefälschten Websites zwangen die Computer der Opfer, Trojaner-Malware herunterzuladen, die anschließend fünf weitere Dateien von einem russischen Server herunterlud. Jedes Mal, wenn Benutzer, deren Computer von der Malware angegriffen wurden, versuchten, auf eines der Finanzunternehmen zuzugreifen, wurden sie auf die gefälschte Website umgeleitet, die ihre Benutzernamen und Passwörter erbeutete.
2015 in Brasilien Pharmer setzten Phishing-E-Mails ein an Benutzer von UTStarcom- und TR-Link-Heimroutern, die vorgeben, Brasiliens größtes Telekommunikationsunternehmen zu repräsentieren. Die E-Mails enthielten bösartige Links, die das Opfer beim Anklicken an einen Server schickten, der seinen Router angegriffen hatte.
Die Pharmer nutzten daraufhin die standortübergreifende Anforderungsfälschung (CSRF) Schwachstellen in den Heimroutern der Opfer, um auf die Administratorkonsolen der Router zuzugreifen.
Sobald die Pharmer das Admin-Kontrollfeld des Routers der Opfer infiltriert hatten, gaben sie den Standardbenutzernamen und das Standardkennwort ein. Wenn dies funktionierte, änderten sie die Einstellungen des Routers auf ihren eigenen DNS-Server.
Im Jahr 2016 entdeckte der Website-Sicherheitsdienstleister Sucuri ein Pharming-Fall wo Hacker Opfer über geänderte DNS-Einstellungen auf Websites umleiteten, die FreeDNS von NameCheap verwendeten.
Venezuela benötigte 2019 humanitäre Hilfe. Präsident Juan Guadio fragte Tausende von Freiwilligen ihre persönlichen Daten an eine Website zu übermitteln, damit sie Anweisungen erhalten, wie sie internationalen Organisationen helfen können, Hilfe zu leisten. Die Website verlangte von den Freiwilligen, Informationen wie ihren vollständigen Namen, ihren Personalausweis, ihre Handynummer und ihre Adresse anzugeben.
Fünf Tage nach dem Start dieser Website tauchte eine gefälschte Website mit einer sehr ähnlichen Domain und Struktur auf. Die beiden Domains mit unterschiedlichen Besitzern wurden in Venezuela auf nur eine IP-Adresse registriert, die den Hackern gehörte. Unabhängig davon, ob die Freiwilligen auf den legitimen oder gefälschten Domainnamen zugegriffen haben, wurden ihre persönlichen Daten immer noch auf der gefälschten Website angezeigt.
Woher wissen Sie, ob Sie ein Pharming-Opfer sind?
Jedes der folgenden Probleme kann darauf hinweisen, dass Sie Opfer von Pharming wurden:
- Passwörter zu Ihrem Online-Banking haben sich geändert, ohne dass Sie die Aktion eingeleitet haben.
- Es gibt Nachrichten oder Beiträge auf Ihrem Facebook-Konto, die Sie nicht erstellt haben.
- Unerklärliche Abrechnungen wurden auf Ihrer Kreditkarte vorgenommen.
- Auf Ihrem Computer sind seltsame Anwendungen installiert, die Sie weder heruntergeladen noch installiert haben.
- Ihre Social-Media-Konten haben Freundschaftsanfragen gesendet, die Sie nicht gestellt haben.
Hilfe Schützen Sie sich vor Pharming
Die nachfolgend beschriebenen Strategien gelten als Best Practices zur Verhinderung eines Pharming-Angriffs:
Verwenden Sie einen vertrauenswürdigen DNS-Server
Ziehen Sie in Betracht, zu einem spezialisierten DNS-Dienst zu wechseln, da dieser mehr Schutz vor DNS-Spoofing bieten kann.
Überprüfen Sie die Website-URL auf Tippfehler
Pharmer ändern den Namen der Zielwebsite, indem sie ein oder mehrere Zeichen ändern. So wird beispielsweise aus www.Onebank.example.com www.0nebank.example.com.
Klicken Sie nur auf Links, die ein legitimes SSL-Zertifikat haben
Ein SSL-Zertifikat stellt sicher, dass die von Ihnen besuchte Website sicher ist. Sie erkennen, ob die Website über ein SSL-Zertifikat verfügt, wenn der Link mit HTTPS beginnt. Wenn Sie feststellen, dass die Website nur mit HTTP beginnt, gibt es keine Garantie dafür, dass sie sicher ist, und Sie sollten keine privaten Informationen preisgeben.
Aktivieren Sie die Multi-Faktor-Authentifizierung für Ihre Online-Konten
Die Multi-Faktor-Authentifizierung bietet einen zusätzlichen Schutz für den Fall, dass Ihre Anmeldedaten kompromittiert werden. Beispiele hierfür sind SMS-Sicherheitscodes, Google Authenticator, Spracherkennung und Fingerabdruckerkennung.
E-Mails unterschreiben mit S/MIME Zertifikate
S/MIME (Sichere / Mehrzweck-Internet-Mail-Erweiterung) E-Mails verwenden eine digitale Signatur, die den Empfängern versichert, dass die E-Mail wirklich von Ihnen stammt.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.
