Drive-by-Pharming

Anders als bei den bisher vorgestellten Gefahren steht beim Drive-by-Pharming nicht der PC des Anwenders im Vordergrund, sondern – zunächst – sein Router.

So beschreibt Symantec einen Fall in Mexiko, bei dem die DNS-Einstellungen von Routern manipuliert wurden.

Das DNS-System ist für die Umwandlung von URLs in IP-Adressen zuständig. Jedes Mal, wenn ein Nutzer eine URL in den Browser eintippt, holt sich der Browser die IP-Adresse der Seite vom Router. Anschließend kontaktiert der Browser die ihm genannte IP-Adresse und ruft die dort gespeicherten Daten ab, zum Beispiel die der Online-Bank des Nutzers.

Liefert ein manipulierter Router aber eine falsche IP-Adresse zurück, dann lädt der Browser eine andere Webseite als die gewünschte. Im geschilderten Fall hatten die Angreifer unter der falschen IP-Adresse eine Kopie der Webseite einer großen mexikanischen Bank hinterlegt. Diese Seite klaute dann die Zugangsdaten der Online-Banking-Kunden.

Der Angriff auf die Router erfolgte über massenhaft versandte E-Mails, die ein Skript enthielten. Dieses Skript versuchte mit Hilfe des Standardpassworts des Routers die DNS-Einstellungen zu verändern. Der Angriff war erfolgreich, weil viele Anwender das Passwort ihres Routers nicht geändert hatten.

So schützen Sie sich: Prüfen Sie zunächst, ob die Fernwartung in Ihrem Router aktiviert ist. Falls ja, sollten Sie diese Funktion abschalten, damit niemand aus der Ferne unerlaubt die Einstellungen Ihres Routers ändern kann.

Bei der Fritzbox finden Sie die Option zum Beispiel unter „Erweiterte Einstellungen, Internet, Freigaben, Fernwartung“. Entfernen Sie das Häkchen vor „Fernwartung freigeben“.

Bei aktuellen Routern ist ein Ändern des Admin-Passworts oft nicht mehr nötig, weil die Provider jeden Router mit einem individuellen Passwort ausliefern. Dieses Passwort steht meist auf der Unterseite des Routers und nur wer physischen Zugriff auf den Router hat, kann es ausspionieren. Das Admin-Passwort zu ändern erübrigt sich damit meist.