Gefahren abwehren, die von neuesten Methoden zum Ausspähen von Benutzerdaten ausgehen

Pharming ist eine aufwändige und raffinierte Erweiterung des "Phishing"

(22.06.05) - Fortinet weist auf die Gefahren hin, die von "Pharming" ausgehen. Beim Pharming werden Kunden auf gefälschte Web-Seiten umgeleitet, um so an vertrauliche Kundeninformationen heranzukommen. So können zum Beispiel Passwörter und PINs für das Online-Banking in falsche Hände geraten.

Pharming ist eine aufwändige und raffinierte Erweiterung des "Phishing". Bei Letzterem wird das Opfer durch eine vermeintlich vertrauenswürdige E-Mail dazu aufgefordert, Passwortinformationen preiszugeben. Im Gegensatz dazu findet Pharming unbemerkt statt. Anwender, die gutgläubig eine ihnen vertraute Website aufrufen, werden unbemerkt auf eine gefälschte, oft perfekt nachgebaute Website geleitet. Über diese Seite sammeln die Urheber dann persönliche Details aus den Web-Surfing-Aktivitäten des Benutzers. Ist das Pharming-Schema im Gange, können die bösartigen Aktivitäten bei weiteren Websites, die der Benutzer regelmäßig besucht, angewandt werden. Solche Angriffe erfolgen mit Hilfe von ausgeklügelten Maßnahmen gegen DNS-Server, typischer-weise durch DNS Cache Poisoning.

Im Mai 2004 berichtete Gartner, dass Phishing und ähnliche kriminelle Machenschaften in den vergangenen zwölf Monaten einen Gesamtschaden in Höhe von 2,4 Milliarden Dollar verursacht haben, was einem Pro-Kopf-Schaden von 1.200 Dollar entspricht.

Gegen das Pharming hilft eine "Blended Network Security Response", die kombinierte Bedrohungen wie DNS Cache Poisoning, Trojaner-Programme und Key-Logging Spyware abwehrt. Bei manchen Pharming-Angriffen werden die am End-Host installierten Spyware- oder Trojaner-Applikationen für das sogenannte Keystroke Logging und für die Website-Umleitung benutzt, ohne dass der Benutzer davon etwas mitbekommt.

In einem Ratgeber hat Fortinet fünf Symptome zusammengestellt, die auf Pharming hindeuten und bei deren Beachtung durch ein vorsichtiges Verhalten der Schaden minimiert werden kann und solche Angriffe unterbunden werden können.

1. Irgendetwas scheint nicht zu stimmen: Der Login-Prozess, die Verifizierung oder die angezeigten Informationen sehen nicht exakt so aus wie auf der echten Website.

2. Es wird mehr abgefragt, als eigentlich nötig ist: Pharming-Web-Seiten verlangen meist eine zusätzliche Verifizierung oder persönliche Informationen, die für gewöhnlich nicht erforderlich sind.

3. Es liegt kein SSL Padlock auf dem Browser vor: Legitime Websites, die vertrauliche Informationen abfragen, verschlüsseln die Session immer mit Secure Sockets Layer (SSL). Das SSL-Zertifikat lässt sich durch Doppelklick auf den "Padlock" Icon im Browser überprüfen.

4. Es steht kein "HTTPS" für "secure" in der URL-Adressleiste: Auf einer sicheren Website sollte die Browser-URL das Präfix https:// in der Adressleiste enthalten. Pharming Sites haben für gewöhnlich keine SSL-Zertifikate. Stattdessen erscheint dort http://, auch wenn vertrauliche Daten abgefragt werden.

5. Der Browser warnt vor einem SSL-Zertifizierungsproblem: Bei "gespooften" SSL-Zertifikaten sollte der Browser eine Sicherheitswarnung schicken. Diese sollte nicht ignoriert werden. Die Benutzer sollten stattdessen die Möglichkeit nutzen, das Zertifikat zu überprüfen und diese Meldung als Hinweis auf eine betrügerische Website ernst nehmen.

"Die Kombination aus falsch verwendetem menschlichem Einfallsreichtum, fortschrittlichem Viruscode und immer raffinierter werdenden Techniken der E-Kriminalität übersteigt die Möglichkeiten der meisten herkömmlichen Internet-Security-Lösungen", erklärte Adam Stein, Vice President of Marketing bei Fortinet. "Private Anwender sollten sich vor Pharming in Acht nehmen. Unternehmen und Service Provider müssen verstärkt Anstrengungen unternehmen, um solche kombinierte Angriffe durch Antivirus- und Intrusion Prevention- (IPS-)Lösungen sowie durch Firewall und andere Sicherheitsmaßnahmen abzuwehren. Nur so kann ein umfassender Content- und Netzwerk-Traffic-Schutz erzielt werden." (Fortinet: ra)