30.01.2008, 08:57 Uhr
«Drive-by-Pharming» ist Realität
Security-Spezialistin Symantec meldet, sie habe den ersten konkreten Fall der neuen Angriffs-methode «Drive-by-Pharming» beobachtet.
Beim Drive-by-Pharming schickt der Angreifer dem Surfer eine präparierte HTML-Seite, die den DNS-Eintrag im Breitbandrouter ändert, sodass dieser auf eine gefälschte Webseite weist.
Bislang war es reine Theorie, jetzt ist es bitterer Ernst: Die Angriffstechnik «Drive-by-Pharming» ist zum ersten Mal von Hackern benutzt worden. Dies berichtet Zulfikar Ramzan, Virenjäger von Symantec.
Beim Drive-by-Pharming werden eine Webseite oder eine E-Mail-Nachricht so präpariert, dass sie die DNS-Einstellungen des Breitbandrouters ändert, mit dem der Anwender mit dem Internet verbunden ist. Konkret wird die Routingtabelle so manipuliert, dass der Surfer nicht auf der gewünschten Seite, sondern auf einer vom Hacker eingerichteten Page landet, welche die Originalseite imitiert. «Pharming» heisst die Methode, weil für den Angriff eine ganze Server-Farm verwendet wird.
Im dem von Symantec beobachteten Fall erhielten User HTML-Mails von Gusanito.com, einem in Mexico bekannten Dienst für elektronische Grusskarten. Darin versteckt war ein HTML-Bild-Tag. Statt aber ein Bild zu laden, wurde hinter der Auszeichnung ein Befehl versteckt, der am DSL-Router der Firma 2Wire die DNS-Angaben (Domain Name Service) einer mexikanischen Bank veränderte. Wollte der Surfer danach die Homepage dieses Geldinstituts anwählen, wurde er auf die präparierte Page des Angreifers «umgeleitet». Um welche Bank es sich handelt, sagt Symantec nicht.
Die Attacke sei absehbar gewesen, schreibt Security-Spezia-list Ramzan im Blog. Denn die meisten Anwender würden die Fabrikeinstellungen für Log-in-Information und Passwort ihrer Breitband-Router nach der Inbetriebnahme nicht ändern. Die Angreifer kennen aber die Grundeinstellungen. Laut Ramzan laufen daher vor allem Heim-anwender Gefahr, Opfer von Drive-by-Pharming-Angriffen zu werden. Die meisten von ihnen wissen gar nicht, dass ihr Breitbandmodem ein Passwort besitzt. Doch gerade die Änderung des Passwortes ist die einfachste Art, um sich vor Drive-by-Pharming zu schützen.
Das Konzept des Drive-by-Pharming hatte Symantec zusammen mit dem Informatikinstitut der Indiana-Universität vor einem Jahr veröffentlicht. In der Folge haben Router-Hersteller wie Cisco Listen anfälliger Geräte sowie Schutzmassnahmen publiziert.