Drive-By Pharming

In einer wissenschaftlichen Arbeit der Universität Indiana wurde bereits Ende letzten Jahres vor der theoretischen Gefahr des Drive-By Pharming gewarnt. Nun hat Sicherheitsspezialist Symantec dieses Thema in einem Blog-Eintrag nochmals aufgegriffen.

Um was geht es?

Beschrieben werden Angriffe auf Heim-Router, die in Zeiten von Breitbandverbindungen viele Surfer nutzen. Durch eine geschickte Kombination von Javascript und Java-Applets soll es möglich sein Zugriff auf die Webinterfaces der einzelnen Router zu bekommen, mit denen unter anderem die Änderung des DNS-Servers möglich ist. Wie bereits in einem früherem Artikel beschrieben, sind DNS-Server die ‚Adressbücher‘ des Internets.  Nutzt man diese in betrügerischer Absicht, schaffen Betrüger es sie zu einer völlig anderen Seite, als der eingetippten zu leiten. Das Ansurfen einer betrügerischen Webseite reicht aus, um den Angriff starten zu lassen.

Das Drive-By Pharming funktioniert nur, wenn der Benutzer die Standardpasswörter seines Routers nicht verändert hat. Das machen Studien zufolge anscheinend aber nur ca. 50 Prozent aller Anwender. Die Betrüger hätten also gute Chancen auf nicht abgesicherte Heim-Router zu treffen. Ist der DNS-Server Eintrag im Router ersteinmal geändert, merkt der Anwender solange nichts von der Änderung, bis er mal wieder im Webinterface des Routers Veränderungen vornimmt. Und mal ehrlich, wann haben Sie das letzte Mal das Konfigurationsmenü Ihres Routers aufgerufen.

Vielleicht kommt Ihnen die Internetseite Ihrer Bank plötzlich ein wenig anders vor. Aber würden Sie dabei sofort an einen Angriff auf Ihren Router denken?

Wichtigste Schutzmaßnahme:
Benutzen Sie auf keinen Fall die Default-Passwörter Ihres Routers. Ändern Sie diese und benutzen Sie sichere Passwörter !
Als weiteren Schutz schlagen die Wissenschaftler vor, keine  unsignierten Java-Applet mehr ausführen zu lassen. Diesee Einstellungen können Sie in Ihrem Browser tätigen.
Ein weitere Schutz könnte von den Internetprovidern (Zugangsanbieter wie T-Online, 1&1, Freenet,…) kommen: Sie könnten veranlassen, das nur DNS-Server des jeweiligen Providers angesprochen werden dürfen. Damit wäre der oben beschriebene Angriff nutzlos, da auf keinen fremden DNS-Server mehr zugegriffen werden dürfte.

Die Zeiten des klassischen Email-Phishings sind mit Sicherheit noch nicht vorbei, aber neue technisch wesentlich ausgefeiltere Methoden klopfen da schon an unsere Ports…

 

 

Sascha

Hauptberuflich "Technologietreiber für Onlinezeugs" in einem Großkonzern. Interessiert an Technik im Allgemeinen, je abgedrehter, umso besser. Neben Familie, Hund und Beruf hat er trotzdem noch Spaß daran Sachen aufzuschreiben, die einem tagsüber so begegnen (manchmal auch nachts ;)).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert