Pharming - der neueste Trick der Phisher
Artikel erschienen in Swiss IT Magazine 2005/13
Phishing-Angriffe wie unlängst gegen die Kunden der Schweizerischen Postfinance sind unter Hackern nach wie vor beliebt – und erfolgreich, wie ebendiese Attacke zeigt, bei der mindestens zwölf besonders unbedarfte und leichtgläubige Postfinance-Nutzer geschädigt wurden. «Immer häufiger», erklärt Thomas Meier, CEO des Schweizer Security-Spezialisten InfoGuard, «geht es Hackern darum, mit ihrer Tätigkeit Geld zu verdienen. Und dafür haben sie zahlreiche ausgeklügelte Angriffsmethoden entwickelt.» Einige der Methoden, die von Phishern verwendet werden, haben wir in InfoWeek 22/2004 bereits vorgestellt. Mit der gebührenden Vorsicht und einigem gesunden Menschenverstand lässt sich dabei verhindern, dass man den Phishern an die Angel geht.
Anders sieht es beim neusten Trick der Phisher aus: Hier wird nicht mehr wie beim Phishing ein Opfer nach dem anderen geangelt, sondern gleichsam mit dem Schleppnetz gefischt – und das auf eine Weise, dass selbst der vorsichtige Anwender zunächst nichts vom Betrug bemerkt.
Grundsätzlich wird Pharming mit zwei verschiedenen, einander aber recht ähnlichen Methoden durchgeführt. Bei der ersten Variante nutzen die Angreifer die Windows-interne Hosts-Datei, in der häufig aufgerufene Webadressen gespeichert sind. In Tabellenform sind darin bestimmte URLs (z.B. www.google.ch) mit den zugehörigen IP-Adressen (z.B. 64.233.161.104) verknüpft, die wiederum nötig sind, damit ein Webbrowser, der mit der URL eigentlich nichts anfangen kann, den korrekten Webserver findet – die Datei dient schlicht der Übersetzung zwischen den beiden Adresstypen.
Die Angreifer verbreiten nun einen Virus, der – einmal auf dem Opfersystem angelangt – die Hosts-Datei überschreibt und so die (korrekten) URLs mit anderen IP-Adressen verknüpft. Hinter diesen falschen IP-Adressen verbergen sich präparierte Server, die dem User eine täuschend echte, aber gefälschte Website des eigentlichen Adressaten zeigt. Auch in der URL-Zeile des Browsers wird die vom User eingegebene Adresse präsentiert. Alles stimmt also, selbst der aufmerksamste Benutzer merkt von dem Schwindel nichts – ausser, dass er nach der Eingabe der geheimen User-Daten nicht in die gewohnte Internet-Banking-Umgebung kommt. Aber dann ist es bereits zu spät, die Daten sind in falsche Hände gelangt, die sie sogleich für ihre unlauteren Zwecke nutzen.
Die zweite Variante funktioniert ähnlich, es wird dazu lediglich eine andere Methode zur Änderung der Verknüpfungen von URL und IP-Adresse genutzt. Es handelt sich dabei um eine recht alte und hinlänglich bekannte Angriffsmethode: das DNS-Cache-Poisoning. Das DNS-System (Domain Name System) bildet eine der wichtigsten Grundlagen des Internet, indem es weltweit die entsprechenden Übersetzungstabellen zur Verfügung stellt. Mit DNS-Cache-Poisoning lassen sich die DNS-Server so manipulieren, dass sie ebenfalls falsch übersetzen und den User auf gefälschte Seiten schicken, auch wenn er die richtige URL eingetippt hat.
Eine dritte Möglichkeit ergibt sich bei Proxyservern, die manche User verwenden, um ihre eigene IP-Adresse zu verschleiern. Wenn es Hackern gelingt, das DNS-System dieser Proxies zu manipulieren, könnten Anwender auch dann auf gefälschte Seiten umgeleitet werden, wenn deren lokale Domainnamens-Auflösung einwandfrei funktioniert.
Im Gegensatz zu Phishing, dessen Erfolg auf Techniken des Social Engineering beruhte, in seinen Möglichkeiten aber doch eher beschränkt war, eröffnet Pharming den Hackern ein grosses Gewinnpotential. Beim Phishing haben längst nicht alle Phishing-Mail-Empfänger den Köder angenommen, und jede Attacke war zwangsläufig auf eine einzige Bank oder einen einzigen Onlinehändler spezialisiert. Mit Pharming können dagegen auf einen Streich zahlreiche Bank-DNS-Einträge geändert werden, was die Chancen, die ersehnten Daten zu erhalten, erheblich steigert und wesentlich breiter streut. Kommt dazu, dass Pharming keine Einmal-Attacke wie Phishing ist: im Gegenteil, solange die Einträge im DNS-System oder in der Hosts-Datei nicht verändert werden, gelangt der Anwender immer wieder auf die gefälschte Site.
Gegen einen solchen Angriff nützen denn auch die hierzulande beliebten Einmal-Passwörter und Streichlisten nur noch wenig. Der Anwender gibt ja im guten Glauben, auf der richtigen Site zu sein, seine Daten preis, ohne dass er zuvor dazu aufgefordert wurde. Wenn die gewohnte Banking-Umgebung nicht erscheint oder gar nichts mehr funktioniert, probiert man es halt gleich anschliessend oder einen Tag später nochmals. Und schon ist der Pharmer im Besitz von Username, Passwort und der nächsten drei (nach wie vor gültigen) Streichlistennummern.
Vor diesem Hintergrund ist es verständlich, dass Sicherheitsexperten wie Thomas Meier von InfoGuard damit rechnen, dass mit Pharming wesentlich höhere Schäden entstehen werden als beim vergleichsweise umständlichen Phishing. Die Marktforscher von Gartner gehen davon aus, dass 2003 allein in den USA durch Phishing ein Schaden von rund 1,2 Milliarden Dollar entstanden ist. Dieser Wert dürfte schon in Kürze um ein Vielfaches übertroffen werden, umso mehr, als Pharming auch für die Hacker wesentlich lukrativer erscheint.
Allerdings gibt es auch Experten, die in Pharming und DNS-Poisoning die nächste grosse Security-Luftblase sehen, die derzeit deutlich überbewertet werde. So verkündete etwa Mikko H. Hypponen, Chef-Wissenschaftler bei F-Secure, in den Wired-News, dass DNS-Poisoning durchaus ein Thema sei. Eine grössere Gefahr würde er darin aber nicht sehen, sagt Hypponen, und zwar, weil viele Hacker gar nicht über die Fähigkeiten verfügten, um DNS-Server zu knacken.
Dem mag so sein: Die überwiegende Mehrzahl der Sicherheitsspezialisten schlägt jedenfalls Alarm und geht davon aus, dass Pharming eine der derzeit grössten Bedrohungen darstellt.
Dabei gibt es durchaus Massnahmen, um Pharming-Angriffe abzuwenden. Eine der einfachsten ist die Installation von Browserzusätzen wie etwa der Anti-Phishing Toolbar von Netcraft (http://toolbar.net craft.com), die einen Server authentifizieren und seinen wahren
Standort anzeigen. Wenn also der Postfinance-Server plötzlich in Russland stationiert ist, sollte
man als Anwender zumindest misstrauisch werden.
Eine Schutzmassnahme, die einen etwas grösseren Aufwand erfordert, ist die Überprüfung des Serverzertifikats bei geschützten Internetverbindungen (z.B. https://www.postfinance.ch). Dieses lässt sich anzeigen, indem man auf das kleine Vorhängeschloss am unteren Rand des Browserfensters klickt. Kann ein Zertifikat nicht angezeigt werden oder ist es abgelaufen, ist Vorsicht geboten.
Gegen DNS-Cache-Poisoning kann man als Endanwender nichts unternehmen. Allerdings sind solche Angriffe auch nicht sehr häufig, weil die Angriffsmethode altbekannt ist und kaum noch ein DNS-System kompromittiert werden kann. Konfigurationsfehler und neuentdeckte Schwachstellen öffnen aber doch immer wieder Hintertore.
Besser sieht es beim Schutz der Hosts-Datei aus. Deren Veränderung durch einen Virus lässt sich mit einer aktuellen Antiviren-Software, insbesondere einer proaktiven, wirkungsvoll verhindern. Weiteren Schutz versprechen Firewalls und Intrusion-Detection-Systeme, die die Hosts-Datei aktiv überwachen und Veränderungen verhindern.
Ethisch guten Hackern sind die Phisher, die ihren Ruf mit illegalen Aktionen schädigen, ein Dorn im Auge. Einer dieser Idealisten, die sich der althergebrachten Hacker-Ethik verpflichtet fühlen, hat sich den sprechenden Namen «Sickophish» gegeben und den Kampf gegen Phisher und Pharmer aufgenommen. Zusammen mit einigen Gleichgesinnten spürt er die Server der Phisher auf, bricht in sie ein und löscht die gefälschten Bankseiten. Statt dessen erscheint dort nach dem Angriff eine Botschaft, die sich an fehlgeleitete Kunden ebenso wie an den Phisher richtet: «Diese Seite war eine Fälschung. Sie wurde von Sickophish zerstört.»