"Pharming" hilft beim Phishing
Es sind keine irreführenden Links mehr notwendig, um auf gefälschte Seiten umzuleiten.
- Florian Rötzer
Nachbauten der Seiten von Auktionshäusern oder Bankinstituten auf anderen URLs, die per Spam-E-Mail ("Wichtiges Sicherheitsupdate der XXX-Bank") mit darin enthaltenen, getarnt in die Irre führenden Links "beworben" werden, waren bis Anfang 2006 die gängigste Methode, leichtgläubige Internetnutzer in die "Phishing-Falle" zu locken und ihnen auf den gefälschten Seiten dann Passwörter, PIN und TANs zu entlocken.
Diese Seiten werden dabei dynamisch den echten Bankseiten nachgebaut, was inzwischen vom Internet Explorer 7 automatisch entdeckt werden soll, wenn mittlerweile allerdings altbekannte Tricks wie Cross-Site-Scripting eingesetzt werden. Die entsprechenden Webadressen werden oft mit @ in der URL oder extra langen URLs so getarnt, dass nur bei sehr genauem Hingucken zu erkennen ist, dass die Adresse der echten Bankadresse nur ähnlich sieht, aber ganz woanders hinführt.
Doch diese Technik ist inzwischen bereits veraltet, wie das Bundeskriminalamt berichtet. Die klassischen Spam-E-Mails mit Link gibt es zwar noch, doch die größeren Phishzüge laufen seit Mitte 2006 anders: Es werden immer öfter unbemerkt Trojaner auf die Rechner der Opfer geladen, was auch in mehreren einzelnen, unverdächtigen Teilen über kompromittierte Websites geschehen kann, die kein Virenscanner erkennt – das Anklicken eines verseuchten E-Mail-Anhangs ist auch hier bereits "Technik von gestern". Da die Trojaner inzwischen meist individuell neu erstellt werden, dauert es so stets einige Stunden bis zu drei oder fünf Tagen, bis die Hersteller der Virenscanner die entsprechend ergänzten Signaturen versenden können. Bis dahin hat der Trojaner längst seinen Dienst getan oder zumindest das Virenscan-Programm abgeklemmt.
Hierzu überschreibt er entweder die "Host"-Datei des Betriebssystems mit eigenen Einträgen, sodass ein Zugriff auch auf vom Benutzer manuell eingetippte, bekannte Adressen seiner Bank oder seines Auktionshauses ganz woanders landen, ohne dass dies für den Benutzer sichtbar wird. Mitunter werden auch externe DNS-Server auf die Phishing-Seiten umprogrammiert, was man dann Pharming nennt – ein Trojaner auf dem Rechner des Anwenders ist hierzu dann nicht erforderlich.
All diesen Fällen ist gemeinsam, dass die gefälschten Seiten unter der URL des Originals im Browser erscheinen und das Problem weder durch die Verwendung von Bookmarks noch durch das händische Eintippen der URL umgangen werden kann. (wro)
Mehr dazu in Telepolis: Von Phishern und Jägern. (fr)
