Was ist Pharming?

Pharming ist eine Bedrohung, die Nutzer durch Täuschung dazu verleitet, private Informationen preiszugeben. Darin ähnelt sie Phishing, aber statt E-Mail als Angriffsvektor nutzt Pharming schädlichen Code, der auf dem Gerät des Opfers, einem DNS-Server oder einem Netzwerk ausgeführt wird und den Nutzer auf eine vom Angreifer kontrollierte Website umleitet.

Da Pharming über eingeschleusten Schadcode funktioniert, muss sich der Angreifer nicht darauf verlassen, dass die Zielperson auf einen Link klickt oder auf eine E-Mail antwortet. Stattdessen lenkt der Code die Zielperson direkt auf die Website des Angreifers, wodurch das Klicken auf einen Link durch den Nutzer als zusätzlichen Schritt entfällt.

Pharming ist eine raffinierte Art von Betrug, bei der Internetnutzer auf falsche Websites umgeleitet werden, um dort persönliche Informationen wie z.B. Zugangsdaten, Kreditkartennummern oder Sozialversicherungsnummern zu stehlen. Obwohl Pharming viele Formen annehmen kann, sind folgende Techniken am weitesten verbreitet:

• Malware-Infektion: Es gibt Malware wie Computerviren, Trojaner oder Keylogger, die zur Durchführung von Pharming-Angriffen geeignet sind. Diese Schadprogramme können den Computer oder das Netzwerk eines Nutzers infizieren, DNS-Einstellungen ändern oder die Hostdatei manipulieren. Wenn Nutzer dann versuchen, auf eine legitime Website zuzugreifen, werden sie unwissentlich auf eine schädliche Website weitergeleitet.
• DNS-Cache-Poisoning: Die Ausnutzung von Schwachstellen im Domain Name System (DNS) ist eine weitere Möglichkeit, wie Cyberangreifer Pharming-Kampagnen durchzuführen. DNS übersetzt menschenlesbare Domain-Namen in IP-Adressen, die Computer verstehen können. Indem sie den DNS-Cache manipulieren, können Angreifer die Zuordnung zwischen Domainnamen und IP-Adressen ändern, sodass Nutzer auf eine andere Website weitergeleitet werden, wenn sie den Domain-Namen einer legitimen Website aufrufen wollen.
• Änderung der Hostdatei: Eine andere Technik besteht darin, die Hostdatei auf dem Computer eines Nutzers oder auch die DNS-Konfiguration in einem lokalen Netzwerk zu ändern. Die Hostdatei ist eine lokale Datei auf einem Computer, die Domainnamen bestimmten IP-Adressen zuordnet. Angreifer können diese Datei ändern, um Nutzer auf bösartige, statt auf legitime Websites umzuleiten.
• Rogue-DNS-Server: Angreifer können einen sogenannten Rogue-DNS-Server einrichten oder bestehende DNS-Server angreifen. Jedes Mal, wenn Nutzer auf eine Website zugreifen wollen, wird eine Anfrage an den zuständigen DNS-Server gestellt. Bei einem Rogue-DNS-Server beantwortet der Server diese Anfrage, indem er eine falsche IP-Adresse zurücksendet, die Nutzer auf eine betrügerische Website umleitet, die der echten Website täuschend ähnlichsieht.

Auf der betrügerischen Website werden Nutzer häufig aufgefordert, vertrauliche Informationen anzugeben, die die Angreifer dann speichern und für verschiedene Zwecke missbrauchen, beispielsweise für Identitätsdiebstahl, Finanzbetrug oder unbefugten Zugriff auf Konten.

Es gibt zwei Haupttypen von Pharming-Angriffen: DNS-basiertes Pharming und hostbasiertes Pharming. Innerhalb jedes Typs gibt es wiederum verschiedene spezifische Methoden, die Angreifer anwenden.

Schauen wir uns die einzelnen Elemente genauer an:

• DNS-Cache-Poisoning: Hier manipulieren Angreifer den DNS-Cache von DNS-Servern oder Routern, um die Zuordnung von Domainnamen zu IP-Adressen zu verändern. Indem sie falsche DNS-Einträge in den Cache einfügen, können sie Nutzer auf betrügerische Websites umleiten.
• DNS-Server-Kompromittierung: Durch unbefugtem Zugriff auf DNS-Server ändern Angreifer die DNS-Einstellungen, um die mit einem Domainnamen verknüpfte IP-Adresse zu ändern und Nutzer so auf eine bösartige Website umzuleiten.

• DNS-Hijacking: Angreifer manipulieren bei dieser Methode die DNS-Einstellungen auf dem Computer oder Router eines Nutzers, um deren DNS-Anfragen an bösartige DNS-Server umzuleiten. Diese Server stellen dann falsche IP-Adressen bereit und führen Nutzer so auf betrügerische Websites.
• Credential Pharming: Diese Art von Pharming-Angriff, auch Credential Harvesting oder Login-Credential-Diebstahl genannt, stiehlt die Login-Daten von Nutzern durch Manipulation der DNS-Einstellungen und Hostdateien oder durch den Einsatz anderer Techniken, um Nutzer auf gefälschte Websites umzuleiten, die legitime Websites imitieren.

Verschiedene Arten von Pharming-Angriffen werden mit anderen Social-Engineering-Techniken wie Phishing-E-Mails oder irreführenden Website-Designs kombiniert, um ihre Wirksamkeit zu erhöhen. Sobald Angreifer es geschafft haben, unwissende Nutzer auf eine betrügerische Website zu lotsen, haben sie eine gute Chance, auch wirklich Informationen zu stehlen.

Pharming ist eine Cyberbedrohung, die schon seit mehreren Jahrzehnten weit verbreitet ist. Hier sind einige der bemerkenswertesten Beispiele für Pharming aus der Geschichte:

• Die DNSChanger-Malware: Dieser Pharming-Angriff infizierte Millionen von Computern weltweit und leitete den Webverkehr der betroffenen Nutzer auf betrügerische Websites um. Die Malware änderte die DNS-Einstellungen auf infizierten Computern und leitete Nutzer auf Server um, die von den Angreifern kontrolliert wurden. Dies ermöglichte es ihnen, sensible Informationen abzufangen und verschiedene betrügerische Aktivitäten durchzuführen.
• Der Angriff auf eine Freiwilligenorganisation in Venezuela: Im Jahr 2014 startete eine Gruppe von Hackern einen Pharming-Angriff gegen eine venezolanische Freiwilligenorganisation. Die Angreifer leiteten die Freiwilligen auf eine gefälschte Website weiter, die wie die legitime Website der Organisation aussah, und stahlen ihre persönlichen Daten.
• Ein Angriff auf 50 Banken gleichzeitig: Im Jahr 2007 zielte ein raffinierter Pharming-Angriff auf mehr als 50 Finanzinstitute. Die Angreifer nutzten eine Kombination aus Malware und DNS-Server-Poisoning, um Nutzer auf gefälschte Websites umzuleiten und ihre Anmeldedaten zu stehlen.
• Operation Ghost Click: Im Jahr 2011 deckte das FBI die Operation Ghost Click auf. Dabei handelte es sich um einen groß angelegten Angriff auf Basis von DNSChanger, der über vier Millionen Computer weltweit infizierte und Nutzer auf gefälschte Websites oder Werbung umleitete. Die Angreifer kassierten die dadurch generierten Werbeeinnahmen.
• Der erste Drive-by-Pharming-Angriff: Im Jahr 2008 meldete Symantec den ersten Fall eines „Drive-by“-Pharming-Angriffs auf eine mexikanische Bank. Die Angreifer nutzten eine Schwachstelle im Router der Bank, um Nutzer auf eine gefälschte Website umzuleiten und ihre persönlichen Daten zu stehlen.

Die sich ständig weiterentwickelnde Natur von Cyberbedrohungen bedeutet, dass wahrscheinlich immer neue Variationen und Weiterentwicklungen von Pharming-Angriffen entstehen werden. Diese Unvermeidlichkeit unterstreicht, wie wichtig es ist, wachsam zu bleiben und Best Practices der Cybersicherheit anzuwenden, um sich vor solchen Angriffen zu schützen.

Da Pharming-Angriffe nicht auf E-Mails angewiesen sind, kommt Malware zum Einsatz, um Nutzer umzuleiten und Daten zu stehlen. Als Erstes muss dazu die Malware-Installationsdatei ausgeführt werden, woraufhin sich die Malware dann dauerhaft im System befindet und nach jedem Neustart ausgeführt wird.

Die Malware soll zwar still im Hintergrund laufen, aber Malware-Entwickler testen ihre Software nur selten, weshalb sich häufig Fehler einschleichen. Fehler können unbeabsichtigte Abstürze, Neustarts, Blue Screens of Death und andere Computerprobleme verursachen. Alle Fehler, die die Hauptfunktionalität der Malware beeinträchtigen, könnten dazu führen, dass sie nicht mehr effektiv Daten stehlen kann. Sie können jedoch auch den Betrieb Ihres Computers beeinträchtigen, sodass Sie ihn nicht mehr verwenden können.

Eine weitere Pharming-Methode ist das DNS-Poisoning. Dabei ändert Malware die DNS-Einstellungen auf dem lokalen Computer und leitet Nutzer auf eine bösartige Website um, wenn sie eine Domain in den Browser eingeben. Ein DNS-Server speichert die IP-Adresse für jede Domain im Internet, und jeder Computer, der sich mit dem Internet verbindet, verwendet dazu eine konfigurierte DNS-Einstellung. Wenn Browser beim DNS-Server eine Domain nachschlagen, leiten sie Nutzer an die IP-Adresse weiter, die dort für diese Domain hinterlegt ist. Beim DNS-Poisoning wird die IP-Adresse jedoch mit einer Domain verbunden, die sich auf dem Server des Angreifers befindet.

Es wird immer schwieriger, Pharming-Angriffe zu erkennen, da deren Täuschungsmethoden immer ausgefeilter werden. Mehrere Anzeichen können jedoch auf einen möglichen Pharming-Angriff hinweisen:

• Ungewöhnliches Verhalten oder unerwartete Änderungen beim Besuch einer vertrauten Website, wie z. B. andere Layouts, fehlende oder veränderte Logos oder verdächtige Aufforderungen zur Eingabe persönlicher Informationen.
• Empfangen unerwünschter E-Mails oder Textnachrichten, die einen Link zu einer Website enthalten.
• Pop-ups oder Warnungen, die Sie zur Eingabe Ihrer persönlichen Daten auffordern.
• Falsche Webadressen oder URLs in der Browserleiste, die anders aussehen als erwartet oder ungewöhnliche Zeichen, zusätzliche Subdomains oder Rechtschreibfehler enthalten.
• Ihr Webbrowser leitet Sie zu einer anderen Website oder URL weiter als der, die Sie besuchen wollten.
• SSL-Zertifikatsfehler oder Warnungen, die beim Besuch einer Website angezeigt werden, die zuvor ein gültiges SSL-Zertifikat ohne solche Fehler oder Warnungen besaß.
• Plötzliche Probleme mit der Netzwerk- oder Internetverbindung können auf kompromittierte DNS-Einstellungen hinweisen.
• Ungewöhnliche Kontoaktivitäten, wie z. B. Finanztransaktionen, die Sie nicht initiiert haben.

Achten Sie jedoch nicht nur auf diese Warnzeichen, sondern vermeiden Sie auch das Klicken auf Links in unerwünschten E-Mails oder Textnachrichten und seien Sie vorsichtig bei der Online-Eingabe persönlicher Daten.

Phishing und Pharming sind sich insofern ähnlich, als dass beide das Ziel verfolgen, Nutzer so zu täuschen, dass sie private Informationen preisgeben. Der Modus, nach dem die Opfer ausgetrickst werden, ist jedoch jeweils unterschiedlich. Bei einem Phishing-Angriff schreibt ein Bedrohungsakteur eine E-Mail, die aussieht, als stamme sie von einem offiziellen Unternehmen. Dadurch werden Nutzer in die Irre geführt. Der Erfolg dieser Phishing-E-Mails hängt normalerweise davon ab, dass Nutzer einen Link in der E-Mail anklicken. Phishing kann auch Social Engineering beinhalten, um den Angriff zu verstärken und die Chance zu erhöhen, der Zielperson erfolgreich Geld oder Daten stehlen zu können.

Bei einem Pharming-Angriff braucht es keine E-Mail-Nachricht, da hier Malware zum Einsatz kommt. Die Malware wird als Hintergrundprozess auf dem Computer ausgeführt und fängt Webanfragen ab, um Nutzer auf bösartige Websites umzuleiten. Abgesehen von der initialen Ausführung der Malware ist keine Nutzerinteraktion notwendig. Sobald die Malware ausgeführt wird, bleibt sie auch nach einem Neustart auf dem Computer bestehen. Nur Tools zum Entfernen von Malware können jene schädlichen Dateien löschen, die zum Überwachen von Nutzeraktivitäten, zum Anzeigen von Popups oder zum Modifizieren von Browsereinstellungen dienen.

Um nicht das nächste Pharming-Opfer zu werden, sollten Sie die gleichen Maßnahmen ergreifen und Best Practices befolgen, die generell für den Schutz vor Viren und anderer Malware auf lokalen Computern gelten. Seien Sie bei E-Mails mit Anhängen immer misstrauisch, insbesondere, wenn es sich bei den Anhängen um ausführbare Dateien handelt. Auch Dateien, die Makros für Microsoft Word oder Excel enthalten, könnten bösartigen Code ausführen. Makros sollten immer blockiert werden; es sei denn, Sie sind sich sicher, dass die Dateien aus einer vertrauenswürdigen Quelle stammen.

Ein paar andere Best Practices, die Sie davor bewahren, Opfer zu werden, sind:

• Verwenden Sie einen sicheren DNS-Dienst, um sich vor DNS-Server-Poisoning zu schützen, einer häufigen Methode bei Pharming-Angriffen.
• Halten Sie Ihre Systeme auf dem neuesten Stand, indem Sie die neuesten Sicherheitspatches einspielen. Pharming-Angriffe basieren auf bekannten Schwachstellen in der Software. Indem Sie also Ihre Software auf dem neuesten Stand halten, können Sie diese Angriffe verhindern.
• Seien Sie vorsichtig, wenn Sie persönliche Daten online eingeben. Stellen Sie sicher, dass Sie sich auf einer legitimen, sicheren Website befinden, bevor Sie vertrauliche Informationen wie Anmeldeinformationen oder Finanzdaten übermitteln.
• Überprüfen Sie die Website-URLs noch einmal, bevor Sie auf Links klicken oder Ihre Informationen eingeben. Suchen Sie in der URL nach HTTPS und stellen Sie sicher, dass die Website-Adresse mit der legitimen Website übereinstimmt.
• Verwenden Sie, wann immer möglich, Zwei-Faktor- oder Multi-Faktor-Authentifizierung, um Ihren Konten eine zusätzliche Sicherheitsebene hinzuzufügen.
• Sichern Sie Ihre WLAN-Netzwerke zu Hause oder im Büro, indem Sie die Standard-Administratorkennwörter auf Ihren Routern ändern, Verschlüsselung (z. B. WPA2) für WLAN-Netzwerke aktivieren und regelmäßig nach Firmware-Updates suchen.
• Vermeiden Sie willkürliche öffentliche WLAN-Netzwerke oder unbekannte Hotspots, selbst wenn Sie nur zum Spaß im Internet surfen.
• Nutzen Sie vertrauenswürdige Antivirensoftware und einen VPN-Dienst (oder eine VPN-Alternative), um sich vor Malware zu schützen und Ihre Privatsphäre online zu schützen.

Das Stehlen von Daten ist das grundlegende Ziel eines jeden Angreifers, aber wenn ein Dritter Ihre Anmeldedaten stiehlt, gibt ihm das vollständige Kontrolle über Ihr Konto. Dies ist weitaus wertvoller als nur der Diebstahl vertrauenswürdiger Informationen, weil der Zugang zu beispielsweise einem E-Mail-Konto einem Angreifer mehr Informationen verschafft.

Bei einem Phishing-Angriff werden Nutzer per E-Mail dazu gebracht, ihre Zugangsdaten an einen Angreifer zu senden. Bei einem Pharming-Angriff werden Nutzer nicht dazu verleitet, selbst zu einer schädlichen Website zu navigieren. Stattdessen stiehlt der Angreifer Daten mithilfe von Malware-Hintergrundprozessen oder leitet einen Nutzer automatisch auf eine Phishing-Website um.

Pharming ist viel effektiver als Phishing, da der Nutzer nicht auf einen Link klicken muss. Dennoch ist Phishing nach wie vor ein beliebter Angriffsvektor für Bedrohungsakteure. Pharming bietet jedoch Vorteile für Angreifer mit Programmierkenntnissen. Malware-Entwickler müssen ihre bösartigen Programme immer noch verbreiten, daher kommen nach wie vor E-Mail-Nachrichten zum Einsatz, um Malware an die beabsichtigten Empfänger auszuliefern. Nachdem die Malware auf den Computern der Zielnutzer ausgeführt wurde, kann ein Angreifer Geld oder vertrauliche Informationen mithilfe von Anzeigen und bösartigen Websites sammeln.

Egal ob E-Mail oder Pharming, Nutzer sollten immer vermeiden, an E-Mails angehängte ausführbare Dateien auszuführen. Das Gleiche gilt für Dateien von inoffiziellen Softwareseiten. Pharming und Phishing zielen darauf ab, Zugangsdaten oder Bankinformationen zu stehlen. Vermeiden Sie also Anhänge und bösartige Software auf verdächtigen Websites.

Obwohl es wichtig ist, technische Maßnahmen und Sicherheitspraktiken zum Verhindern von Pharming umzusetzen, ist die Schulung von Nutzern immer noch eine der besten Abwehrmaßnahmen gegen Cyberbedrohungen wie Pharming. Denn Abwehrmaßnahmen wie das Erkennen verdächtiger Warnzeichen und Social-Media-Taktiken und die Prüfung der Authentizität von Websites sind auf Menschen angewiesen.

Pharming ist viel effektiver als Phishing, da der Nutzer hier nicht auf einen Link klicken muss. Dennoch ist Phishing immer noch ein beliebter Angriffsvektor. Pharming hat jedoch Vorteile für Bedrohungsakteure mit Programmierkenntnissen. Malware-Entwickler müssen immer noch dafür sorgen, dass ihre Schadprogramme an gezielte Nutzer verbreitet werden; dafür nutzen sie E-Mail-Nachrichten. Nachdem die Malware auf den Zielcomputern der Nutzer ausgeführt wurde, kann ein Angreifer Geld oder vertrauliche Informationen über Anzeigen und bösartige Websites sammeln.

Ob per E-Mail oder Pharming, Nutzer sollten es immer vermeiden, ausführbare Dateien auszuführen, die an E-Mails angehängt sind oder von inoffiziellen Softwareseiten stammen. Pharming und Phishing zielen darauf ab, Zugangsdaten oder Bankdaten zu stehlen. Vermeiden Sie deshalb Anhänge und Schadsoftware auf verdächtigen Websites.