Pharming: So schützen Sie sich vor dem Internetbetrug

Stellen Sie sich vor: Sie geben die Adresse Ihrer Bank in den Browser ein und nutzen die Website wie gewohnt. Doch Sie haben etwas Entscheidendes nicht bemerkt. Denn statt auf der echten Webseite sind Sie auf einer täuschend echten Fälschung gelandet. Genau das passiert bei einem Pharming-Angriff: Cyberkriminelle manipulieren unbemerkt die Mechanismen des Internets, um Nutzer auf schädliche Seiten umzuleiten.

Das Gefährlichste dabei? Pharming erfolgt unbemerkt – Sie bemerken nichts, bis es zu spät ist. Doch mit dem richtigen Wissen und den passenden Sicherheitsmaßnahmen können Sie sich effektiv vor dieser Bedrohung schützen. Ein zuverlässiges Sicherheits-Tool wie Avira Free Security bietet nicht nur Echtzeitschutz vor Viren und Malware, sondern auch einen integrierten Phishing-Schutz für Ihren Browser. Dies trägt zu Ihrer Online-Sicherheit bei und ermöglicht Ihnen, sich sorgenfreier im Internet zu bewegen.

Was ist Pharming?

Pharming gehört zu den hinterlistigsten Methoden des Internetbetrugs. Nutzer werden dabei ohne ihr Wissen auf gefälschte Webseiten geleitet. Cyberkriminelle manipulieren dazu entweder die DNS-Einträge (Domain Name System) oder die lokalen Host-Dateien eines Geräts, um den Datenverkehr umzuleiten.

Der Begriff Pharming setzt sich aus den englischen Wörtern „Phishing“ (angelehnt an Fischen, Angeln) und „farming“ (Ackerbau) zusammen. Mit dieser zusammengesetzten Methode wollen Hacker also eine möglichst große Angriffsfläche abdecken.

Was macht Pharming so gefährlich?

Im Gegensatz zu bekannteren Angriffsmethoden wie Phishing, die aktive Täuschung erfordern, erfolgt Pharming im Hintergrund durch die Manipulation technischer Systeme – Nutzer merken häufig nichts davon.

Dabei werden sie auf gefälschte Webseiten umgeleitet, die täuschend echt wirken und geben dort Passwörter, Bankdaten oder andere persönliche Informationen ein.

Selbst wenn Sie die richtige URL in Ihren Browser eingeben, bietet dies keinen Schutz: Nicht die echte Webseite wurde gehackt, sondern die zugrunde liegende Infrastruktur, die Ihren Browser mit der Webseite verbindet, wurde manipuliert.

• Unauffällig: Pharming-Angriffe erfolgen im Hintergrund, ohne dass Nutzer es bemerken.
• Effektiv: Selbst technisch versierte Nutzer können Opfer werden, da die gefälschten Webseiten oft täuschend echt aussehen.
• Systematisch: Ein manipuliertes DNS-System, das für die Übersetzung von Webadressen zuständig ist, kann viele Nutzer gleichzeitig auf falsche Webseiten umleiten.

Pharming vs. Phishing: Was ist der Unterschied?

Phishing und Pharming verfolgen ähnliche Ziele, aber ihre Methoden unterscheiden sich grundlegend:

Phishing erfordert eine aktive Interaktion des Nutzers, während Pharming im Hintergrund funktioniert und schwer zu erkennen ist.

Wie funktioniert Pharming?

Pharming-Angriffe basieren auf der Manipulation des Domain Name Systems (DNS) oder der Host-Dateien eines Geräts. Das DNS ist dafür verantwortlich, Domainnamen wie „www.avira.com“ in die entsprechenden IP-Adressen zu übersetzen, die Computer verstehen. Die Host-Datei funktioniert ähnlich wie das DNS, ist aber lokal auf Ihrem Computer gespeichert.

Wenn Sie eine Webseiten-Adresse in Ihrem Browser eingeben, erfolgt die Umwandlung automatisch durch den DNS-Server.Und genau hier setzen Cyberkriminelle mit Pharming-Angriffen an: Sie verändern die Übersetzung zu Ihren Gunsten, wie ein korruptes Stille-Post-Spiel.

Durch den betrügerischen Eingriff landen Sie auf einer gefälschten Website, die darauf ausgelegt ist, Ihre persönlichen Daten wie Kontodetails oder Passwörter zu stehlen.

Was sind die verschiedenen Arten von Pharming?

Pharming gibt es in vielerlei Ausprägungen. Die Angriffe lassen sich in zwei Hauptkategorien unterteilen: DNS-basiertes Pharming und hostbasiertes Pharming.

Üblicherweise wenden die Angreifenden eine der folgenden Methoden an, um ihre Ziele zu erreichen:

DNS-basiertes Pharming: DNS-Cache-Poisoning

Beim DNS-Cache-Poisoning manipulieren Angreifer den DNS-Cache eines Servers oder Routers, um Sie auf eine gefälschte Webseite umzuleiten. DNS-Poisoning ist auch als DNS-Spoofing bekannt (nicht zu verwechseln mit IP-Spoofing).

Konkret funktioniert das so: Der betroffene DNS-Server speichert manipulierte Einträge im Cache, sodass legitime Anfragen zu betrügerischen IP-Adressen führen. Das bedeutet, Ihre Daten sind in Gefahr – selbst wenn Sie Ihr Gerät gut warten und es nicht mit Malware infiziert ist.

Das Heimtückische an dieser Methode ist, dass der Angriff auf den DNS-Resolver abzielt.

Der DNS-Resolver ist der Vermittler zwischen Ihrem Gerät und dem DNS-System. Wenn Sie eine Webadresse in den Browser eingeben, läuft die Anfrage über den Resolver, der die IP-Adresse für diese Domain findet. Der Prozess sieht so aus:

1. Anfrage senden: Sie geben eine URL ein, und Ihr Gerät sendet eine Anfrage an den DNS-Resolver, um die zugehörige IP-Adresse zu erhalten.
2. Cache-Abfrage: Der Resolver prüft zunächst, ob die IP-Adresse bereits im Cache gespeichert ist (durch vorherige Anfragen).
3. Externe Abfrage: Falls die Adresse nicht im Cache vorhanden ist, leitet der Resolver die Anfrage an andere DNS-Server weiter, bis die IP-Adresse gefunden wird.
4. Antwort liefern: Der Resolver sendet die IP-Adresse an Ihr Gerät zurück, damit die Webseite geladen werden kann.

Das heißt: Selbst wenn Sie die richtige URL eingeben, liefert der Server eine manipulierte IP-Adresse aus dem Cache. So werden Sie unbemerkt auf eine gefälschte Webseite weitergeleitet.

Weitere Beispiele für DNS-basierte Angriffe sind:

• DNS-Server-Kompromittierung: Cyberkriminelle beschaffen sich unbefugten Zugriff auf DNS-Server und erhalten die vollständige Kontrolle darüber. Dann ändern die Betrüger die DNS-Einstellungen, sodass die von ihnen gewählten Domains zu falschen IP-Adressen führen.
• DNS-Hijacking: Hierbei manipulieren Angreifer die DNS-Einstellungen auf Ihrem Router oder auf Endgeräten wie Computern, Smartphones oder Tablets, um deren Anfragen zu betrügerischen DNS-Servern umzuleiten. Diese Server liefern gefälschte IP-Adressen und leiten Nutzer zu bösartigen Seiten.

Malware-basiertes Pharming: Host-Datei-Manipulation

Bei der Host-Datei-Manipulation nutzen Angreifer eine Schwachstelle in der lokalen Host-Datei Ihres Computers, die Domainnamen direkt in IP-Adressen übersetzt. Hacker ändern diese Datei, um legitime Webseiten auf betrügerische IP-Adressen umzuleiten.

Was ist die Host-Datei?

Die Host-Datei ist eine lokale Datei auf Ihrem Computer, die Domainnamen direkt in IP-Adressen übersetzt. Sie funktioniert ähnlich wie ein DNS-System und wird von Ihrem Gerät genutzt, um Webseiten zu finden.

Wie funktioniert die Host-Datei-Manipulation?

Hacker ändern die Host-Datei, um legitime Webseiten auf betrügerische IP-Adressen umzuleiten. Im Gegensatz zum DNS-Spoofing zielt diese Methode direkt auf Ihr Gerät. Häufig setzen die Angreifer dafür Malware ein.

Wie verbreiten Angreifer die Malware?

Die Manipulation erfolgt oft durch Malware wie Computerviren, Trojaner oder Keylogger. Diese Schadsoftware gelangt häufig über infizierte E-Mails oder Downloads auf das Gerät und nimmt unbemerkt Änderungen an der Host-Datei vor.

Warum ist diese Methode so gefährlich?

Einmal manipuliert, bleibt die Änderung aktiv, selbst wenn Sie das Netzwerk wechseln. Da die Angriffe lokal auf Ihrem Gerät erfolgen, sind sie unabhängig von externen Servern und besonders schwer zu erkennen.

Wie kann man sich schützen?

Regelmäßige Sicherheitsüberprüfungen und die Nutzung von Antiviren-Software wie Avira Free Security helfen, solche Manipulationen zu erkennen und zu verhindern.

Beispiele für Pharming-Angriffe

Pharming ist kein theoretisches Risiko, sondern wurde in der Vergangenheit in mehreren großangelegten Angriffen eingesetzt.

• DNSChanger-Malware (2007–2011): Diese Kampagne nutzte manipulierte DNS-Einstellungen, um Millionen Nutzer auf gefälschte Webseiten umzuleiten. Dort angekommen, wurden die Nutzer mit unzähligen Werbebotschaften überhäuft. Ziel war es, Werbeeinnahmen zu generieren und Daten zu stehlen. Die Täter könnten erst nach Jahren gefasst werden und erbeuteten 14 Millionen US-Dollar. Durch die erhebliche Tragweite konnten die bösartigen Server nicht einfach abgeschaltet werden – sie mussten aufwändig mit FBI-Servern ersetzt werden, damit weiterhin infizierte Nutzer nicht vom Internet abgeschnitten wurden.
• Brasilien-Angriff (2017): Bei diesem Pharming-Angriff kompromittierten Hacker die DNS-Server einer großen brasilianischen Bank und leiteten Kunden auf täuschend echte, gefälschte Webseiten um. Die Angreifer erlangten Zugriff auf sensible Kundendaten, was zu finanziellen Verlusten in Millionenhöhe führte. Der Angriff betraf alle 36 Domains der Bank und zeigte die massive Gefahr, die von manipulierten DNS-Infrastrukturen ausgeht.
• Pharming-Angriff in Venezuela (2019): Hier wurde eine gefälschte Website erstellt, die der offiziellen Seite der Bewegung „Voluntarios por Venezuela“ ähnelte. Dies führte zu einem massiven Diebstahl persönlicher Informationen.

Anzeichen für einen Pharming-Angriff erkennen

Pharming-Angriffe sind schwer zu erkennen, da sie im Hintergrund ablaufen. Doch es gibt einige typische Warnsignale, auf die Sie achten sollten:

1. Verdächtige URLs: Achten Sie auf Rechtschreibfehler, unerwartete Subdomains oder Sonderzeichen in der Adresszeile.
2. Ungewöhnliche Inhalte auf einer bekannten Website: Layoutänderungen, fehlende Logos oder verdächtige Aufforderungen zur Eingabe persönlicher Daten können Hinweise sein.
3. Unaufgeforderte E-Mails oder SMS: Links in solchen Nachrichten könnten Sie auf manipulierte Webseiten führen.
4. SSL-Zertifikatsfehler: Wenn auf einer vertrauten Website plötzlich Warnungen zu ungültigen Zertifikaten erscheinen, kann dies ein Anzeichen für Pharming sein.
5. Unerwartete Weiterleitungen: Werden Sie auf eine andere Seite als die erwartete umgeleitet, könnte dies auf DNS-Manipulation hinweisen.
6. Netzwerkprobleme: Betrügerische Webseiten laden oft langsamer als die echten. Plötzliche Internetprobleme oder langsame Verbindungen könnten auf manipulierte DNS-Einstellungen hinweisen.
7. Verdächtige Kontobewegungen: Unerklärliche Transaktionen oder andere Aktivitäten können ein Hinweis darauf sein, dass Ihre Zugangsdaten abgegriffen wurden.

Wenn Sie solche Anzeichen bemerken, sollten Sie sofort Ihre Internetverbindung trennen und Ihre DNS-Einstellungen überprüfen.

Gehen Sie dazu in die Netzwerkeinstellungen Ihres Computers oder Smartphones und prüfen Sie, ob bei den DNS-Servern ungewöhnliche Einträge vorhanden sind.

Falls Sie sich unsicher sind, ob diese Adressen korrekt sind, können Sie die DNS-Einstellungen auf ‚Automatisch beziehen‘ zurücksetzen oder sichere DNS-Server wie Google DNS (8.8.8.8) oder Cloudflare DNS (1.1.1.1) eintragen.

Wie kann man sich vor Pharming schützen?

Um sich vor Pharming zu schützen, sind gezielte Maßnahmen erforderlich. Es reicht nicht aus, nur vorsichtig zu sein – auch technische Vorkehrungen spielen eine entscheidende Rolle. Im Folgenden erfahren Sie, welche Schritte Sie unternehmen können, um Ihre Geräte abzusichern und Ihr Online-Verhalten anzupassen. So reduzieren Sie effektiv das Risiko, Opfer eines Pharming-Angriffs zu werden.

Technische Schutzmaßnahmen

• Ändern Sie die Standardpasswörter Ihres Routers und aktualisieren Sie die Firmware regelmäßig.
• Aktivieren Sie die Firewall auf Ihren Geräten.

Praktische Tipps

• Geben Sie keine sensiblen Daten ein, wenn die Website verdächtig wirkt.
• Prüfen Sie die Website-Sicherheit, indem Sie z.B. auf das HTTPS-Symbol in der Adresszeile achten.
• Vermeiden Sie öffentliche WLAN-Netzwerke für Banking oder Online-Shopping.
• Überprüfen Sie regelmäßig die Sicherheitseinstellungen Ihrer Geräte.

Fazit: Wachsam bleiben und sicher surfen

Pharming ist eine stille, aber ernstzunehmende Bedrohung für Ihre Online-Sicherheit. Mit dem richtigen Wissen und geeigneten Maßnahmen können Sie sich und Ihre Daten effektiv schützen. Mit Tools wie Avira Free Security können Sie Malware blockieren und verdächtige Aktivitäten erkennen.