Vorsicht Umleitung!

Eine Schad-Software, die DNS-Adressen manipuliert, kann man sich schnell einfangen: Dazu reicht das Öffnen einer Internet-Seite oder einer Mail, die ein entsprechendes Java-Script enthält.

Auch wer zu Hause einen gut abgesicherten Router hat, kann Opfer von Drive by Pharming werden, wenn er sich in ein fremdes WLAN einloggt, zum Beispiel am Flughafen oder im Hotel. Dort gibt es für den Benutzer keinerlei Möglichkeiten, die DNS-Einstellungen des Routers zu kontrollieren.

Sind die DNS-Settings einmal auf einen manipulierten Sever gerichtet, wird man auf eine gefälschte Seite umgeleitet, obwohl man den Domain-Namen richtig eingegeben oder ein gespeichertes Lesezeichen aufgerufen hat. Auch bekannte und sicher geglaubte URLs führen dann direkt auf Hacker-Seiten. Dies zu erkennen, ist für normale User ausgesprochen schwierig.

Drive by Pharming: Durch eine Manipulation der DNS-Einstellungen auf Marias Router kann Hacker Mallory erreichen, dass die DNS-Auflösung auf seinem manipulierten Server stattfindet. Mallory weist bestimmten Domains eine neue IP-Adresse zu und kann Maria auf seine Phising-Seite umleiten, auch wenn sie die URL korrekt eingibt oder ein Lesezeichen aufruft. Wer bei Maria zu Besuch ist und sich in ihr WLAN einloggt, landet ebenfalls bei Mallory. Sind allerdings Einmal-Passwörter im Einsatz, bleiben die ausspionierten Daten für Mallory nutzlos.

Der schlimmste bisher bekannte Angriff mit Drive by Pharming fand Anfang des Jahres statt. Hackern war es gelungen, in Router eines bestimmten Typs einzubrechen, der von einem großen lateinamerikanischen Provider ausgegeben worden war. Die Opfer erhielten eine Mail, in der sie aufgefordert wurden, eine Grußkarte abzuholen. Diese Mail enthielt aber einen Code, der die DNS-Einstellungen des Routers manipulierte. Wer auf einem der Rechner, die am befallenen Router angeschlossen waren, die URL einer der größten mexikanischen Banken eingab, landete auf einer Phishing-Seite. Und wer dort wie gewohnt seine Bankgeschäfte erledigte, gab alle seine Zugangscodes direkt an Ganoven weiter.

Man in the Middle

Noch bedrohlicher, wenn auch zurzeit noch nicht verbreitet, ist der Man-in-the-Middle-Angriff. Hat ein Hacker erst einmal einen PC oder einen Router manipuliert, kann er sich auch in die Kommunikation mit der Bank einklinken. Alle Authentisierungsdaten gibt er einfach weiter, die Transaktion selbst verfälscht er aber. Aus einer Spende von 20 Euro an Unicef wird dann eine Überweisung von 99999 Euro an das Konto eines Betrügers.

Sicheres Banking

Gerade im Internet-Banking ist ein authentischer Kommunikationskanal zwischen dem End-User und dem Server von entscheidender Bedeutung. Theoretisch ganz einfach: Eine Verschlüsselung mit SSL/TLS soll vor Hackern schützen. Die eben geschilderten Beispiele zeigen aber, wie schnell man auf eine betrügerische Seite umgeleitet wird, ohne es zu merken. Und wer prüft schon jedes Mal ein Zertifikat, wenn er Homebanking betreibt.

Ein zuverlässiger Schutz vor Phishing und Pharming sollte auch im Interesse der Banken liegen. Denn nach einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) haften die Banken unter Umständen für Schäden, die durch das unerlaubte Abfangen vertraulicher Daten entstehen.