Pharming (Internet)

Pharming ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (beispielsweise durch DNS-Spoofing), um den Benutzer auf gefälschte Websites umzuleiten. Es ist eine Weiterentwicklung des klassischen Phishings.

Verfahren

Pharming hat sich als Oberbegriff für verschiedene Arten von DNS-Angriffen etabliert. Eine Methode dabei ist die lokale Manipulation der Hosts-Datei. Dabei wird unter Zuhilfenahme eines Trojanischen Pferdes oder eines Virus eine gezielte Manipulation des Systems vorgenommen mit der Konsequenz, dass von diesem System gezielt gefälschte Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde. Benutzer können so beispielsweise auf täuschend echt nachgebildete Seiten einer Bank geleitet werden.

Technischer Hintergrund

Um eine alphanumerische URL (Internetadresse) in eine IP-Adresse aufzulösen, kontaktiert das Betriebssystem normalerweise einen DNS-Server. Allerdings besitzt jedes Betriebssystem hierfür auch eine interne Liste, z. B. die Datei „hosts“. Bevor ein DNS-Server kontaktiert wird, schaut das Betriebssystem zuerst in die hosts-Datei, ob hier der Name (bzw. die Internetadresse) schon aufgeführt ist. Falls ja, erübrigt sich die Kontaktierung des DNS-Servers.

Beim Pharming wird durch korrumpierte DNS-Server, durch DNS-Flooding (einem Rechner wird „auf Verdacht“ eine Adressauflösung suggeriert, noch bevor er diese beim echten DNS-Server abgefragt hat) oder am einfachsten durch Malware manipulierte Adressen in der lokalen hosts-Datei des Betriebssystems der Aufruf einer Webseite von Banken u. ä. auf einen anderen Server umgeleitet.

Somit gelangt der Benutzer trotz korrekter URL auf die falsche Seite, ohne es zu merken.

Diese Methode erreicht ebenso wie das Phishing trotz der üblichen Versendung des Trojaners mit Massenmails nur eine begrenzte Anzahl von Empfängern.

Ziel dieser Aktionen ist in der Regel, Kreditkartendaten oder ähnliche sicherheitsrelevante oder vertrauliche Informationen (z. B. von Onlineberatungen) zu stehlen.

Gerade bei gezielten Angriffen auf einzelne Personen wird diese Form auch von illegal arbeitenden Auskunfteien eingesetzt. Diese erstellen komplexe Profile über die jeweilige Zielperson. Auftraggeber nutzen die gewonnenen Informationen bei Risikoabschätzungen für Versicherungen, Stellenbesetzungen, Kreditvergaben u. a.

Möglichkeiten, Pharming zu entdecken

Da Pharming-Angriffe meist auf nahe am Client liegende DNS-Caches bzw. einzelne Hosts erfolgen, hilft es, DNS-Server aus unterschiedlichen Netzen zu befragen. Wenn die Antwort übereinstimmt, ist es sehr wahrscheinlich, dass kein Pharming-Angriff vorliegt.

Weiter können durch eine Abfrage der IP-Adresse in einer Whois-Datenbank sowohl der Standort als auch eine Beschreibung des Anbieters und der Blacklisting-Status bestimmt werden.

Werden über das Web Einkäufe (sogenanntes Online Shopping) getätigt oder Bankgeschäfte verrichtet, dann muss die Seite „sicher“ sein, die Adresse muss also mit https:// beginnen. Werden Daten mittels https übertragen, so muss sich der Server authentifizieren, wobei ein Zertifikat ausgetauscht wird. Das Zertifikat darf nicht vom Server selbst signiert sein (erkennbar an Browserwarnung). Von einer vertrauenswürdigen dritten Partei (Certification Authority) signierte Zertifikate werden meist vom Browser automatisch akzeptiert. Viele Nutzer sind genau hier anfällig, weil sie entsprechende Warnmeldungen ignorieren oder nicht ernst nehmen.

Ein https:// am Anfang der URL garantiert erst dann eine sichere Verbindung, wenn das Zertifikat echt ist.

Die Verwendung spezieller Software zum Electronic Banking (z. B. ProfiCash, VR-NetWorld-Software, Moneyplex, WISO, StarMoney, Hibiscus uvm.) kann vor Pharming sowie Phishing schützen.

Siehe auch

• Drive-by-Pharming

Weblinks

• A-I3 Arbeitsgruppe Identitätsschutz im Internet
• <templatestyles src="Webarchiv/styles.css" />{{#if:20070813183249

      | {{#ifeq: 20070813183249 | *
    | Vorlage:Webarchiv/Wartung/Stern{{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }} (Archivversionen)
    | {{#iferror: {{#time: j. F Y|20070813183249}}
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/DatumDer Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
         | {{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y|20070813183249}} im Internet Archive{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
      }}
  }}
      | {{#if:
          | {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
    | {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
       | 16= {{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | 9 = {{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!Vorlage:Webarchiv/Wartung/webcitation{{#if:  || }}
      }}
    | c|{{{webciteID}}}}} {{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }} (Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
  }}
          | {{#if: 
              | Vorlage:Webarchiv/Today
              | {{#if:
                      | Vorlage:Webarchiv/Generisch
                      | {{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007 | {{#invoke:WLink|getEscapedTitle|Ausführliche Erklärung in der Sicherheitsoffensive 2007}} | {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}} }}  
                 }}}}}}}}{{#if:
    | Vorlage:Webarchiv/archiv-bot
  }}{{#invoke:TemplatePar|check
     |all      = url=
     |opt      = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
     |cat      = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
     |errNS    = 0
     |template = Vorlage:Webarchiv
     |format   = *
     |preview  = 1
  }}{{#ifexpr: {{#if:20070813183249|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
  }}{{#if: 
    | {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
        | web.archive.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}} 
        | webcitation.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}} 
        | archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
      }}{{#if: 
         | {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}
             | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
          |  }} 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
      }}
    | {{#if: 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
      }}
  }}{{#if:{{#invoke:URLutil|isHostPathResource|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html}}
    || {{#if:  || }} URL/Pfad ungültig.
  }}{{#if: Ausführliche Erklärung in der Sicherheitsoffensive 2007
    | {{#if: {{#invoke:WLink|isBracketedLink|Ausführliche Erklärung in der Sicherheitsoffensive 2007}}
        | {{#if:  || }} Linktext ungültig.
      }}
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Linktext_fehlt Linktext fehlt.
  }}{{#switch: 
    |addlarchives|addlpages= {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/Parameter}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
  }}{{#ifeq: {{#invoke:Str|find|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html%7Carchiv}} |-1
    || {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html%7C4}}%7Chttp}} |-1
         || {{#switch: {{#invoke:Webarchiv|getdomain|http://www.sicherheitsoffensive2007.de/gefahren/gefahren/pharming.html }}
              | abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org = 
              | #default = {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/URL}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
            }} 
       }}
  }}

• Gut verständliche Beschreibung, wie Pharming funktioniert und was man dagegen tun kann (englisch)