Drive by Pharming: Der Feind im eigenen Router

• Home
• Magazin
• Know How
• Compliance & Governance

Drahtlose Mini-Netzwerke gibt es heute schon in vielen Haushalten. Was jedoch kaum jemand weiß: Die dafür eingesetzten Breitband-Router können schnell zum Einfallstor für Hacker werden. Daher ist in WLANs besondere Vorsicht geboten. Wirkliche Sicherheit schaffen allerdings nur moderne Authentisierungsverfahren.

Dass Hacker immer wieder versuchen, ahnungslose Internet-Nutzer auf gefälschte Sites umzuleiten, ist bekannt. Vorsichtige Zeitgenossen rufen daher ihren Homebanking-Account stets von einem gespeicherten Bookmark auf. Denn die URL www.stadtsparkasse.de ist doch untrennbar mit der Bank verbunden, daran kann ein Hacker doch nichts ändern, oder?

Leider kann er es doch! Und der Angriffspunkt ist nicht einmal der Computer selbst, sondern ein Router. In vielen Haushalten ermöglicht so ein Gerät den drahtlosen Zugang zum Internet oder verbindet mehrere Rechner per Kabel untereinander und mit dem Web.

Die praktischen Breitband-Router werden in der Regel von Internet-Provider zur Verfügung gestellt und können einfach vom Browser aus konfiguriert werden. Aber gerade diese Möglichkeit nutzen Ganoven, um Router-Einstellungen so zu manipulieren, dass der Nutzer auf betrügerische Seiten umgeleitet wird.

DNS-Server: aus einer URL wird eine IP-Adresse

Will man im Internet eine URL wie zum Beispiel www.vasco.com aufrufen, muss dieser Domain-Name einer physikalischen Adresse, also einer IP-Adresse, zugeordnet werden. Denn erst mit dieser Zahlenkombination findet der Browser die richtige Seite. Die „Internet-Auskunft“ übernimmt ein so genannter DNS-Server (DNS: Domain Name System). Von diesen DNS-Servern gibt es im Internet eine ganze Menge. Welchen davon der Router für die Namensauflösung (also den Transfer URL – IP-Adresse) verwenden soll, ist im Gerät gespeichert. Die DNS-Adresse wird in der Regel automatisch vom Provider bezogen, es kann aber auch eine bestimmte Adresse eingestellt werden.

Und genau hier setzt der Hacker an. Gelingt es ihm nämlich, die DNS-Einstellung zu ändern, kann er den Anwender auf seinen manipulierten DNS-Server umleiten. Dazu muss der Betrüger natürlich Zugang zum Router haben – aber das ist einfacher als man glaubt. Geradezu eine Einladung zum Drive by Pharming liefert, wer sein WLAN nicht verschlüsselt. Dann bedarf es keinerlei technischer Fähigkeiten, um die erste Hürde zu nehmen. Jeder, dessen Rechner in Funkreichweite ist, kann sich einloggen. Ist der Hacker erst einmal im WLAN, kann er sich in Ruhe daran machen, das Router-Passwort zu knacken. Denn viele Anwender machen sich nicht einmal die Mühe, es zu ändern. In vielen Fällen besteht das Passwort nur aus wenigen Zeichen, und der Router akzeptiert nach einer Fehleingabe sofort einen neuen Versuch. Dann kann ein Spionageprogramm einfach alle Möglichkeiten durchprobieren und ist nach wenigen Minuten oder Sekunden am Ziel. Aber auch längere Passwörter lassen sich leicht erraten, wenn sie als Wort oder Kombination einen Sinn ergeben. Die Malware nimmt dann einfach ein Wörterbuch zu Hilfe.

Eine Schad-Software, die DNS-Adressen manipuliert, kann man sich schnell einfangen, auch wenn das WLAN verschlüsselt ist: Dazu reicht das Öffnen einer Internet-Seite oder einer Mail, die ein entsprechendes Java-Script enthält.

Aber auch wenn der eigene Router noch nicht befallen ist, kann man ehe man sich’s versieht Opfer von Drive by Pharming werden. Loggt man sich mit seinem Notebook in ein fremdes WLAN ein, zum Beispiel in der Kneipe, am Flughafen oder im Hotel, hat man keine Möglichkeit, die DNS-Einstellungen des Routers zu kontrollieren.

Umleitung auf die Phishing-Seite

Sind die DNS-Settings einmal auf einen manipulierten Sever gerichtet, nimmt das Verhängnis seinen Lauf. Der DNS-Server des Hackers ändert einfach die Adress-Zuordnung einiger Sites. Die Folge: Auch bekannte und sicher geglaubte URLs führen direkt auf Phishing-Seiten! Dies zu erkennen, ist für normale User ausgesprochen schwierig. Abbildung 1 zeigt einen typischen Angriff mit Drive by Pharming.

(Abbildung 1 Ein Beispiel für Drive by Pharming: Durch eine Manipulation der DNS-Einstellungen auf Marias Router kann Hacker Mallory erreichen, dass die DNS-Auflösung auf seinem manipulierten Server stattfindet. Mallory weist dann einfach bestimmten Domains eine neue IP-Adresse zu und kann Maria auf seine Phising-Seite umleiten, auch wenn sie die URL korrekt eingibt oder ein Lesezeichen aufruft. Besonders tückisch: Auch wer bei Maria zu Besuch ist, und sich in ihr WLAN einloggt, landet bei Mallory. Sind allerdings Einmal-Passwörter im Einsatz, sind Mallorys Anstrengungen vergebens, denn die ausspionierten Daten bleiben für ihn nutzlos.)

In Lateinamerika schlugen Hacker Anfang des Jahres bereits in großem Stil mit Drive by Pharming zu. Ihnen war es gelungen, in Router eines bestimmten Typs einzubrechen, der von einem großen lateinamerikanischen Provider ausgegeben worden war. Die Opfer erhielten eine Mail, in der sie aufgefordert wurden, eine Grußkarte abzuholen. Diese Mail enthielt aber einen Code, der die DNS-Einstellungen des Routers manipulierte. Wer auf einem der Rechner, die am befallenen Router angeschlossen waren, die URL einer der größten mexikanischen Banken eingab, landete auf einer Phishing-Seite. Und wer dort seine Bankgeschäfte erledigte, gab seine ganz persönlichen Passwörter direkt an Ganoven weiter.

Wer sich vor Drive by Pharming schützen will, der sollte Folgendes beachten:

WLAN verschlüsseln: Dies sollte eigentlich selbstverständlich sein, ist es aber in der Praxis nicht. Jedes WLAN sollte nach dem WPA-Verfahren verschlüsselt sein. Damit wird ein Login durch Unbefugte ausgeschlossen.

Router-Zugang verschlüsseln: Schon bei der ersten Inbetriebnahme des Routers sollte man das Passwort ändern – und zwar bevor man die erste Verbindung mit dem Internet herstellt. Wichtig: für das Passwort möglichst eine Kombination aus Buchstaben, Zahlen und Sonderzeichen verwenden. Die Absicherung des Router-Zugangs ist in öffentlich zugänglichen WLANs natürlich besonders wichtig.

Virenscanner installieren: Einfallstor für die Router-Manipulation ist immer ein angeschlossener PC oder Notebook. Ob die Verbindung zum Router drahtlos oder per Netzwerkkabel erfolgt, ist dabei ohne Belang. Deshalb sollte jeder Rechner mit einem aktuellen Virenscanner ausgerüstet sein.

Vorsicht bei fremden WLANs: Wer sich in ein fremdes Netz einloggt, hat keine Möglichkeit, die dort bestehende DNS-Zuordnung zu kontrollieren, auch sicher gelglaubte URLs können umgeleitet werden. Deshalb ist hier ganz besondere Vorsicht geboten.

Nur vertrauenswürdige Mails öffnen: E-Mails sind ein beliebtes Mittel, um Schadsoftware in einen Rechner einzuschleusen. Nachrichten aus dubioser Quelle sollten daher ungeöffnet in den Papierkorb wandern.

Nur geprüfte Software installieren: Nicht alle im Internet angebotenen Freeware-Tools machen nur das, was der Anbieter verspricht. Etliche fungieren auch als Trojanische Pferde für Hacker-Attacken. Installieren sollte man also nur geprüfte und empfohlene Software, zum Beispiel von den Download-Seiten bekannter PC-Magazine.

Nur Strong Authentication schafft echte Sicherheit

Wer die Sicherheitsratschläge beherzigt, ist zwar weitgehend gegen Drive by Pharming geschützt – aber eben nur weitgehend. Die Praxis zeigt leider immer wieder, dass PCs trotz korrekt installiertem Virenscanner mit digitalen Schädlingen infiziert werden. Und: Wer kann schon immer beurteilen, ob eine Mail sicher ist oder nicht? Wer will schon ständig aus Sicherheitsgründen auf Information und Komfort verzichten? Für prinzipielle Sicherheitslücken darf man nicht den Anwender verantwortlich machen. Das sehen deutsche Gerichte genau so: Nach einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) haften Banken unter Umständen für Schäden, die durch das Abfangen vertraulicher Daten entstehen.

Das eigentliche Problem ist die Authentisierung. Sie geschieht heute in dem meisten Fällen immer noch über ein statisches Passwort. Das eben geschilderte Beispiel zeigt aber, wie schnell ein solches Passwort in die falschen Hände geraten kann. Angesichts steigender Bedrohungen ist das etablierte Verfahren einfach nicht mehr zeitgemäß.

Vor Schäden durch Account-Diebstahl schützt nur Strong Authentication zuverlässig. Unter diesem Fachbegriff werden Zugangssysteme zusammengefasst, die zur Identitätsprüfung mehrere Schritte verwenden. Am gängigsten sind dabei Zwei-Faktor-Authentisierungen. Wer sich einloggen will, muss etwas besitzen, zum Beispiel eine spezielle Hardware oder ein Software Token, und etwas wissen, also eine PIN.

Kombinierte Sicherheit: keine Chance für Hacker

Zwei-Faktor-Authentisierung und Einmal-Passwort basieren grundsätzlich auf einer Berechnung aus drei Faktoren:

• ein voreingestellter und geheim gehaltener Wert (Seed Value)
• ein Zeitsignal und/oder ein anderer Event
• ein öffentlicher Algorithmus.

Am sichersten wird die Zwei-Wege-Authentisierung, wenn man die Berechnung des Passworts einem externen Gerät überlässt. Bei den zeitgemäßen Systemen, zum Beispiel Vasco Digipass, ist das im einfachsten Fall ein kaum daumengroßes, zehn Gramm leichtes Kästchen. Auf Knopfdruck zeigt es ein Einmal-Passwort auf einem LCD an. Es ändert sich alle 36 Sekunden. Natürlich ist diese Methode kein Schutz gegen Router-Manipulationen. Aber ausspionierte Passwörter werden für Verbrecher nutzlos, denn bei jedem Login ist ja ein neues im Einsatz.

Viele Banken und Unternehmen haben die Bedeutung von Strong Authentication längst erkannt und sichern Firmenzugänge und Transaktionen mit modernen dynamisch generierten Passwörtern ab – dann haben Drive by Pharmer keine Chance.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema