Phishing mit Pharming [Update]

Phishing ist hinreichend bekannt. Ein Phishing-Angriff mit Hilfe von Domain-Spoofing-Techniken wird neuerdings Pharming genannt.

In Pocket speichern vorlesen Druckansicht 156 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Eric Kuch

Phishing, als Möglichkeit an Passwörter und PINs von unbedachten Usern zu gelangen ist hinreichend bekannt. Nun kristallisiert sich ein neuer Trend beim Abgreifen dieser Daten heraus: Pharming. Pharming ist einfach ein neuer Name für einen relativ alten Angriff: Domain-Spoofing.

Anders als beim Phishing landet bei einem erfolgreichen Pharming-Angriff selbst ein User, der vorausschauend keinem Link in einer Phishing-Mail folgt und stattdessen die URL von beispielsweise signin.ebay.de per Hand im Browser eingibt, oder die Seite über einen Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie von eBay aus und taucht auch als signin.ebay.de in der URL-Leiste auf, residiert aber eigentlich auf dem Server eines Angreifers.

Pharming nutzt die Auflösung von Namen zu IP-Adressen im Internet aus. Wenn ein User eine Adresse (wie beispielsweise www.heisec.de) eingibt, muss diese URL-Adresse in eine numerische Adresse wie 193.99.144.80 konvertiert werden. Diese sogenannte Name-Resolution führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten.

Bereits im November 2004 berichtete heise Security , wie sich eine manipulierte hosts-Datei zum Pharming -- damals noch Phishing genannt -- ausnutzen lässt. Dazu muss allerdings erst ein Schadprogramm auf den Rechner des Users gelangen, um die Änderungen vorzunehmen. Das Computer Crime Research Center schlägt deshalb auch vor, dass Anti-Virus-Software oder ein hostbasiertes Intrusion Detection System aktiv die hosts-Datei überwacht, um einen solchen Angriff zu verhindern.

Seit dem Wochenende häufen sich Meldungen beim Internet Storm Center (ISC), dass Pharming nun auch mittels DNS-Cache-Poisoning geschieht. Beim DNS-Cache-Poisoning wird der DNS-Cache durch bestimmte Methoden mit präparierten Einträgen "vergiftet", indem man ihm schon vor einer Anfrage eine gefälschte Antwort schickt. Diese gefälschte Antwort wird im Cache des DNS gespeichert und bei Anfragen von Clients zurückgeliefert. Somit erreicht den User die falsche IP-Adresse für eine Domain, die in Wirklichkeit auf den Server des Angreifers verweist.

Da Cache-Poisoning-Angriffe seit langem bekannt sind, gibt es auch Methoden zur Abwehr. Kaum ein System lässt sich damit noch austricksen. Allerdings machen Fehlkonfigurationen und Schwachstellen auch heute noch Server und Caching-Proxies verwundbar. Welche DNS-Server-Versionen momentan mittels DNS-Cache-Poisoning angegriffen werden können, hält das ISC noch geheim. Nach ersten Erkenntnissen scheinen Symantec-Firewalls betroffen zu sein. Ein Fehler im DNS-Cache der Firewalls ist seit Mitte vergangenen Jahres bekannt; ein Patch steht seitdem auch zur Verfügung. Allerdings berichten nach Angaben des ISC einige Anwender, dass sie den Patch installiert hätten, aber trotzdem weiter verwundbar seien.

Update
Symantec hat einen Hotfix für seine Security Appliances und Enterprise Firewalls herausgegeben, der das Problem beheben soll.

Siehe dazu auch: (eck)