Neues Angriffsprinzip

Symantec beobachtet erste Fälle von "Drive-by Pharming"

Sicherheitsforscher von Symantec haben erste "Drive-by- Pharming"-Aktivitäten in freier Wildbahn identifiziert. Bei dieser Methode werden die DNS-Einstellungen von Heim-Routern vom Angreifer manipuliert, um so seine Opfer auf gefälschte Web-Seiten zu lotsen.

Beim Drive-by Pharming reicht es bereits, wenn das Opfer den bösartigen HTML- oder Javascript-Code des Angreifers, der sich auf einer Website befinden oder in eine E-Mail eingebettet sein kann, nur sichtet. Durch den Schadcode werden die DNS-Einstellungen (Domain Name System) im heimischen Breitband-Router dann so verändert, dass danach sämtliche DNS-Anfragen vom DNS-Server des Angreifers gehandhabt werden. Eine optimale Möglichkeit für den Hacker die Internet-Verbindungen seines Opfers zu kontrollieren.

Nach Beobachtungen von Symantec wird das bislang eher als theoretische Bedrohung eingestufte Angriffsprinzip nun tatsächlich angewendet. Zielscheibe der ersten realen Drive-by-Pharming-Attacke soll demnach eine mexikanische Bank sein. Konkret geht es dabei um eine vorgeblich von dem spanischsprachigen Grußkartenversender Gusanito.com stammende E-Mail, die laut Symantec-Forscher Zulfikar Ramzan einen HTML-IMG-Tag enthält. Dieser löste eine Anfrage an den Router aus, um dessen DNS-Einstellungen zu manipulieren, berichtet Ramzan in einem Posting im Symantec Security Response Weblog.

Demnach versucht der in der inspizierten E-Mail befindliche Code, Heim-Router so zu modifizieren, dass der Browser des Opfers auf eine betrügerische Site zeigt, die sich als eine der größten Banken Mexikos tarnt. Jeder Versuch, die Site dieses Finanzinstituts zu besuchen, führe demnach auf die gefälschte Seite des Angreifers.

Der Begriff "Drive-by Pharming" wurde von Symantec und der Indiana University School of Informatics geprägt, die die Javascript-basierende Sicherheitsbedrohung vor einem Jahr in einem Whitepaper beschrieben und gewarnt hatten, eine solche Attacke könnte bis zu 50 Prozent der pirvaten Breitbandnutzer treffen.

Möglich ist Drive-by Pharming, weil Anwender in ihrem Router-Equipment die Default-Einstellungen der Anbieter meist nie veränderten. "Angreifer kennen die Standardeinstellungen", warnt Ramzan. Die einfachste Schutzmaßnahme sei demnach, Default-Passwörter in jedem Fall zu ändern. Firmen-Router seien aufgrund ihres meist besseren Managements weniger anfällig für diese Angriffsweise. (Computerwoche/mzu)