Pharming

Pharming

20. Februar 2018

Was bedeutet Pharming?

Weniger bekannt als das sog. Phishing ist das sog. „Pharming”. Der Begriff des Pharming kommt daher, dass die Pharming-Angreifer eine große Menge von Servern unterhalten („Farm“). Wie auch teilweise beim Phishing wird beim Pharming ein mehr oder minder perfekter Nachbau der Website eines tatsächlich existierenden Anbieters angeboten, auf der die Nutzer dann geheime Informationen für den Onlinebanking-Verkehr preisgeben. Im Gegensatz zum Phishing gelangen die Nutzer jedoch nicht durch das Folgen auf einen Link auf die „falsche“ Webseite, sondern dadurch, dass sie die eigentlich gewünschte (echte) Seite durch Eingabe der korrekten Url ansteuern. Der Nutzer gelangt sodann unbemerkt auf eine manipulierte Webseite. Denkbar ist sowohl, dass der Rechner des Nutzers mit Schadprogrammen durch die Täter infiltriert und so die lokale hosts-Datei manipuliert wird, als auch, dass der DNS (Domain Name System) Server angegriffen wird, sog. DNS-Spoofing. Dem Geschädigten wird die von ihm eingegebene Webadresse angezeigt, obwohl er tatsächlich zu einer anderen Adresse geleitet wurde, wo er tatsächlich die Überweisung vornimmt. Die Folge ist dann die gleiche wie beim Phishing: der Nutzer gibt auf der „falschen“ Seite seine Nutzerkennung und persönliche Daten ein, die dann bei nicht autorisierten Dritten landen, die wiederum mit der Folge der Vermögensschädigung des Nutzers verwendet werden.

Wie funktioniert Pharming?

Pharming basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern. Um das zu verstehen, muss man sich die Funktionsweise des „Navigierens“ im Internet vorstellen. Webseiten sind nur für den Nutzer als alphanumerische Kennung (z. B. www.kuhlen-berlin.de) sichtbar. Die alphanumerische Kennung ist jedoch nur eine Übersetzung der IP-Adresse, die es dem Nutzer erleichtern soll, die Webseite anzusteuern. Denn kein Nutzer möchte sich anstelle von www.google.de die IP-Adresse „172.217.23.227“ merken. Mit der Eingabe der IP-Adresse gelangt man jedoch auch, bzw. auf jeden Fall zu www.google.de. Dafür, dass „das“ Internet erkennt, dass man auf eine bestimmte IP-Adresse ohne Eingabe derselben zugreifen möchte, muss die alphanumerische Kennung in eine IP-Adresse übersetzt werden. Diese Funktion nehmen DNS Server wahr. Diese Server funktionieren wie Telefonbücher des Internets. Der Nutzer „sendet“ die Domain, also die alphanumerische Kennung an den DNS Server, dort wird dann die Domain in die zugehörige IP-Adresse umgewandelt. Pharming-Attacken setzen an den DNS Servern an. Der DNS Server wird korrumpiert, sodass er die Anfrage nicht mehr in die richtige IP-Adresse übersetzt, sondern eine falsche ausgibt, sodass der Nutzer bei der falschen Webseite landet.

Woran erkennt man eine Pharming-Attacke

Das Erkennen einer Pharming-Attacke ist für den einzelnen Nutzer sehr schwer, denn eigentlich macht er alles richtig und hat auch keinen Grund dazu, argwöhnisch zu sein. Werden Einkäufe getätigt oder Bankgeschäfte verrichtet, dann kann der Nutzer die Sicherheit der Seite, bzw. die „Echtheit“ daran erkennen, dass die Seite mit https:// beginnen muss. Werden Daten mittels https übertragen, so muss sich der Server authentifizieren, wobei ein Zertifikat ausgetauscht wird. Die Echtheit des Zertifikats wird in der Regel vom Browser überprüft.

Pharming-Attacken lassen sich dadurch verhindern, dass die Anfrage des Nutzers nicht auf nur einen DNS Server geleitet wird, sondern ein Vergleich zwischen mehreren DNS Servern stattfindet. Stimmen die Ausgabe-Adressen überein, liegt aller Wahrscheinlichkeit nach keine Pharming-Attacke vor.

Was tun, wenn Sie Opfer einer Pharming-Attacke wurden?

Den Geschädigten einer Pharming-Attacke stehen die gleichen Rechte wie bei einer Phishing-Attacke zu. Für Sie hier nachzulesen oder Sie rufen uns an und stellen Ihre Fragen direkt.