Ausspähen von Daten durch Pharming

Immer häufiger versuchen Betrüger, über das Internet Passwörter, PINs, TANs und ähnlich sensible Daten auszuspionieren. Dabei werden in der Regel Schadensprogramme wie Phishing eingesetzt. Es mehren sich aber auch immer mehr so genannte Pharming-Attacken.

So wird immer wieder darüber berichtet, dass Online-Kunden von Banken einen größeren Geldschaden erlitten habe, nachdem Unbekannte durch Pharming-Angriffe an ihre Kontodaten gelangt waren.

Pharming als großer Bruder des Phising

Pharming (häufig auch als DNS-Spoofing bezeichnet) stellt sich als eine Wei-terentwicklung des Phishing dar.

Ziel beider Angriffsarten ist es, die Anfragen der Nutzer auf fremde Webserver umzuleiten, die sich in der Gewalt der Angreifer befinden. Während beim Phishing Betrüger versuchen, die Gutgläubigkeit von Internet-Nutzern auszunutzen, indem diese mittels Mail aufgefordert werden, eine bestimmte Internet-Seite aufzusuchen (bzw. mittels angebotenen Link darauf zu verzweigen) und dort sensible Informationen einzugeben, manipuliert beim Pharming ein Betrüger eine IP-Adresse, mit deren Hilfe eine dazugehörige Internetadresse (Domain Name) aufgerufen wird.

Begriff Pharming

Der Begriff Pharming rührt von dem Umstand her, dass die Täter große Server-Farmen unterhalten, auf denen gefälschte Kopien bestehender Web-Seiten abgelegt sind.

Technischer Hintergrund

Jeder Rechner im Internet erhält eine eindeutige nummerische Adresse, die so genannte IP-Adresse (z. B. 123.123.123.123). Damit ein Anwender sich nicht diese Zahlenfolge zum Aufruf einer Web-Seite des betreffenden Rechners merken muss, kann er stattdessen auch den dazugehörigen Namen dieser Adresse in seinem Browser eingeben (z.B. >> www.fokus-datenschutz.de).

Um diesen eingegebenen Namen wiederum in die entsprechende IP-Adresse umzuwandeln, kann der Rechner eines Nutzers automatisch so genannte DNS-Server (Domain Name System) aufsuchen. Außerdem besitzt jeder Rechner auch eine eigene Datei namens „hosts“, in der tabellenartig die am häufigsten genutzten IP-Adressen aufgeführt sind. Diese Datei wird bei einem Seitenaufruf zunächst dahingehend durchsucht, ob in ihr der Name und die zugehörige Internetadresse schon aufgeführt sind. Falls ja, erübrigt sich die Kontaktierung eines DNS-Servers.

Vorgehensweise

Beim Pharming werden originale Internetadressen gefälscht. Der Internetbetrüger ändert dazu auf einem DNS-Server oder in der lokalen Datei host eine vorhandene IP-Adresse, die einem realen Namen (Domäne) zugeordnet ist,. Die neue IP-Adresse ist dann diejenige einer gefälschten Seite, während der Name dieser Adresse unverändert bleibt.

Tippt nun das Opfer in seinem Browser den (richtigen) Namen der gefälschten Adresse ein, wird die Anfrage statt auf den Original-Server auf einen vom Betrüger betriebenen Rechner umgeleitet, ohne dass dies der Nutzer bemerkt.

Vorsicht bei der Eingabe von PIN, TAN und anderen sensiblen Daten

Gibt der Benutzer auf dieser falschen Seite nun beispielsweise Kreditkartennummern oder Kontodaten ein, um etwa einen fiktiven Kauf abzuschließen oder Online-Banking zu betreiben, so fallen diese sensiblen Daten in die Hände des Betrügers und der kann sie für seine Zwecke benutzen.

Möglichkeiten, Pharming zu entdecken und zu verhindern

Auch wenn Pharming-Angriffe nur schwer erkennbar sind, können doch eine Reihe von Vorsichtsmaßnahmen zur Verhinderung eines derartigen Angriffes ergriffen werden. So kann mittels Einsatzes einer Firewall das Eindringen eines Täters und damit eine Änderung der IP-Adressen zumindest erschwert werden.

Gegen entsprechende Manipulationsversuche eines Trojanischen Pferdes hilft ein Antivirenprogramm, welches regelmäßig aktualisiert wird.

Werden über das Web Einkäufe getätigt oder Bankgeschäfte verrichtet, dann sollte dies über eine sichere (SSL-)Verbindung erfolgen. Ob dies der Fall ist, kann beispielsweise daran erkannt werden, dass die Adresse des Ziel-Servers mit dem Präfix https:// beginnt. Sollen Daten mittels https übertragen werden, muss sich dazu der aufgerufene Server mittels eines Zertifikats authentifizieren. Wer das Zertifikat herausgegeben hat, bzw. ob der Herausgeber vertrauenswürdig ist, lässt sich bei einer Überprüfung des Zertifikates feststellen.

Diese Überprüfung kann mittels Mausklick auf das im Rahmen einer sicheren Verbindung am unteren Rand eines Browserfensters erkennbare Symbol eines Vorhängeschlosses erfolgen. Häufig werden aber die vom eigenen Browser ausgegebenen Warnungen bezüglich eines (unbekannten oder abgelaufenen) Zertifikats vom Nutzer ignoriert.