Was ist Pharming?

Pharming ist eine Bedrohung, die Nutzer durch Täuschung dazu verleitet, private Informationen preiszugeben. Darin ähnelt sie Phishing, aber statt E-Mail als Angriffsvektor nutzt Pharming schädlichen Code, der auf dem Gerät des Opfers ausgeführt wird und den Nutzer auf eine vom Angreifer kontrollierte Website umleitet.

Da Pharming über Code auf dem Computer des Opfers funktioniert, muss sich der Angreifer nicht darauf verlassen, dass die Zielperson auf einen Link klickt oder auf eine E-Mail antwortet. Stattdessen lenkt der schädliche Code die Zielperson direkt auf die Website des Angreifers, wodurch das Klicken auf einen Link durch den Nutzer als zusätzlichen Schritt entfällt.

Bei Pharming werden die Browser-Einstellungen des Nutzers gekapert oder es läuft ein Hintergrundprozess, der Nutzer automatisch auf eine schädliche Website weiterleitet.

Der Angreifer verwendet dabei Weiterleitungen oder Popups auf dem Desktop des Nutzers. In solchen Popups versteckt sich die Phishing-Website in Form eines maskierten Links. In vielen Fällen besteht das Ziel des Angreifers darin, an Finanzdaten oder Zugangsdaten des Nutzers zu gelangen, weshalb die Umleitung oft dann ausgelöst wird, wenn der Benutzer eine Banking-Website aufruft.

So kann ein Angreifer beispielsweise die Webaktivitäten von Nutzern mithilfe von bösartigem Code überwachen und zum richtigen Zeitpunkt eine Weiterleitung zu einer gefälschten Banking-Website auslösen. Wenn ein Nutzer die Domain seiner Bank in die Adressleiste des Browsers eingibt, kapert der Pharming-Code die Aktivität des Nutzers und leitet den Browser auf eine vom Angreifer kontrollierte Website um, die genauso aussieht wie sein offizielles Online-Banking. Nutzer prüfen selten, welche Domain in der Adressleiste des Browsers steht, daher ist diese Art von Angriff sehr effektiv zum Stehlen von Finanzdaten und Anmeldeinformationen.

Ein weiteres Beispiel, das häufig vorkommt, ist die Umleitung von Nutzern auf eine andere Website, wenn eine Suchmaschine in den Browser eingegeben wird. Der Angreifer setzt dann eine bösartige Suchmaschine ein, um Nutzer auf Anzeigenseiten oder eine bestimmte Phishing-Website umzuleiten. Dies kann durch Hijacking von Browser-Ressourcen erfolgen oder indem überwacht wird, wann Nutzer zu einer bestimmten Finanzseite navigieren.

Da Pharming-Angriffe nicht auf E-Mails angewiesen sind, kommt Malware zum Einsatz, um Benutzer umzuleiten und Daten zu stehlen. Als Erstes muss dazu die Malware-Installationsdatei ausgeführt werden, woraufhin sich die Malware dann dauerhaft im System befindet und nach jedem Neustart ausgeführt wird. Die Malware soll still im Hintergrund laufen, aber Malware-Entwickler testen ihre Software selten, weshalb sich häufig Fehler einschleichen. Fehler können unbeabsichtigte Abstürze, Neustarts, Blue Screens of Death und andere Computerprobleme verursachen. Alle Fehler, die die Hauptfunktionalität der Malware beeinträchtigen, könnten dazu führen, dass sie nicht mehr effektiv Daten stehlen kann. Sie können jedoch auch den Betrieb Ihres Computers beeinträchtigen, sodass Sie ihn nicht mehr verwenden können.

Eine weitere Pharming-Methode ist das DNS-Poisoning. Dabei ändert Malware die DNS-Einstellungen auf dem lokalen Computer und leitet Nutzer auf eine bösartige Website um, wenn sie eine Domain in den Browser eingeben. Ein DNS-Server speichert die IP-Adresse für jede Domain im Internet, und jeder Computer, der sich mit dem Internet verbindet, verwendet dazu eine konfigurierte DNS-Einstellung. Wenn Browser beim DNS-Server eine Domain nachschlagen, leiten sie Nutzer an die IP-Adresse weiter, die dort für diese Domain hinterlegt ist. Beim DNS-Poisoning wird die IP-Adresse jedoch mit einer Domain verbunden, die sich auf dem Server des Angreifers befindet.

Phishing und Pharming sind sich insofern ähnlich, als dass beide das Ziel verfolgen, Nutzer so zu täuschen, dass sie private Informationen preisgeben. Der Modus, nach dem die Opfer ausgetrickst werden, ist jedoch jeweils unterschiedlich. Bei einem Phishing-Angriff schreibt ein Bedrohungsakteur eine E-Mail, die aussieht, als stamme sie von einem offiziellen Unternehmen. Dadurch werden Nutzer in die Irre geführt. Der Erfolg dieser Phishing-E-Mails hängt normalerweise davon ab, dass Nutzer einen Link in der E-Mail anklicken. Phishing kann auch Social Engineering beinhalten, um den Angriff zu verstärken und die Chance zu erhöhen, der Zielperson erfolgreich Geld oder Daten stehlen zu können.

Bei einem Pharming-Angriff braucht es keine E-Mail-Nachricht, da hier Malware zum Einsatz kommt. Die Malware wird als Hintergrundprozess auf dem Computer ausgeführt und fängt Webanfragen ab, um Nutzer auf bösartige Websites umzuleiten. Abgesehen von der initialen Ausführung der Malware ist keine Nutzerinteraktion notwendig. Sobald die Malware ausgeführt wird, bleibt sie auch nach einem Neustart auf dem Computer bestehen. Nur Tools zum Entfernen von Malware können jene schädlichen Dateien löschen, die zum Überwachen von Benutzeraktivitäten, zum Anzeigen von Popups oder zum Modifizieren von Browsereinstellungen dienen.

Das Stehlen von Daten ist das grundlegende Ziel eines jeden Angreifers, aber wenn ein Dritter Ihre Anmeldedaten stiehlt, gibt ihm das vollständige Kontrolle über Ihr Konto. Dies ist weitaus wertvoller als nur der Diebstahl vertrauenswürdiger Informationen, weil der Zugang zu beispielsweise einem E-Mail-Konto einem Angreifer mehr Informationen verschafft.

Bei einem Phishing-Angriff werden Nutzer per E-Mail dazu gebracht, ihre Zugangsdaten an einen Angreifer zu senden. Bei einem Pharming-Angriff werden Nutzer nicht dazu verleitet, selbst zu einer schädlichen Website zu navigieren. Stattdessen stiehlt der Angreifer Daten mithilfe von Malware-Hintergrundprozessen oder leitet einen Nutzer automatisch auf eine Phishing-Website um.

Pharming ist viel effektiver als Phishing, da der Nutzer nicht auf einen Link klicken muss. Dennoch ist Phishing nach wie vor ein beliebter Angriffsvektor für Bedrohungsakteure. Pharming bietet jedoch Vorteile für Angreifer mit Programmierkenntnissen. Malware-Entwickler müssen ihre bösartigen Programme immer noch verbreiten, daher kommen nach wie vor E-Mail-Nachrichten zum Einsatz, um Malware an die beabsichtigten Empfänger auszuliefern. Nachdem die Malware auf den Computern der Zielbenutzer ausgeführt wurde, kann ein Angreifer Geld oder vertrauliche Informationen mithilfe von Anzeigen und bösartigen Websites sammeln.

Egal ob E-Mail oder Pharming, Nutzer sollten immer vermeiden, an E-Mails angehängte ausführbare Dateien auszuführen. Das Gleiche gilt für Dateien von inoffiziellen Softwareseiten. Pharming und Phishing zielen darauf ab, Zugangsdaten oder Bankinformationen zu stehlen. Vermeiden Sie also Anhänge und bösartige Software auf verdächtigen Websites.