Pharming: Wie du dich vor dieser Online-Betrugsmasche schützen kannst

Pharming ist eine besonders ausgeklügelte Form von Online-Kriminalität. Wir erklären dir hier, wie die Masche funktioniert und wie du dich am besten davor schützen kannst.

Pharming ist eine raffinierte Form des Online-Betrugs. Weil diese Masche schwer durchschaubar ist, stellt sie selbst für die wachsamsten Nutzer eine Bedrohung dar. Hier erklären wir dir genau, wie Pharming funktioniert und worauf du achten kannst.

Was ist Pharming?

Pharming setzt sich aus den englischen Begriffen "farming" und "phishing" zusammen. Das Prinzip ist im Kern dasselbe wie beim Phishing: Kriminelle locken Opfer in eine Falle und bringen sie dazu, persönliche Informationen preiszugeben. Was ist der Unterschied zwischen Phishing und Pharming? Während das Opfer beim Phishing bewusst auf einen Link klicken muss, um eine betrügerische Webseite zu besuchen, erfolgt beim Pharming die automatische Weiterleitung an eine solche Webseite – selbst dann, wenn der Nutzer die korrekte Webadresse eingibt.

Wie ist das möglich? Pharming ist deshalb so raffiniert, weil es sich die grundlegende Funktionsweise des Internets zunutze macht. Das wird jetzt ein kleines bisschen technisch, aber keine Sorge: Um auf der sicheren Seite zu sein, musst du nur ein paar einfache Dinge verstehen.

So kannst du dich vor Pharming schützen

Sich gegen Pharming-Angriffe zu verteidigen mag dir als eine große Herausforderung erscheinen. Die gute Nachricht ist, dass du deine Sicherheit mit einigen Vorkehrungen deutlich erhöhen kannst. Als erstes schauen wir uns deinen Computer an: Vergewissere dich, dass du mit einem Antivirenprogramm und Anti-Spyware geschützt bist und deine Firewall eingeschaltet ist.

Weitere Maßnahmen:

  • Achte immer auf sichere Webverbindungen (HTTPS). Auf Chrome werden sie mit einem kleinen Vorhängeschloss neben der Web-Adresse angezeigt. Letztlich ist aber ein SSL-Zertifikat der einzige vertrauenswürdige Indikator. Aber die Betrüger schlafen nicht: E inem Bericht der Anti-Phishing Working Group (APWG) zufolge nutzten Ende 2019 74 % der Phishing-Webseiten die SSL-Verschlüsselung.

  • Ziehe die Verwendung eines VPN (Virtual Private Network) mit einem seriösen DNS in Betracht. Mehr dazu weiter unten.

  • Ändere das voreingestellte Passwort auf deinem Router.

Sei vorsichtig, wenn dir bei einer Webseite irgendetwas merkwürdig vorkommt. Sieh dir die Sache genauer an, bevor du irgendwelche persönlichen Daten eingibst. Achte dabei auf Details wie Rechtschreib- und Grammatikfehler, seltsame Formatierungen, unterschiedliche Schriftgrößen, unpassendes Bildmaterial usw.

Wir bei N26 haben eine Reihe präventiver Sicherheitsvorkehrungen für unsere Bankkunden getroffen: Verknüpfung mit deinem Smartphone, sichere Anmeldung, die Option, die Sicherheitseinstellungen direkt in der N26 App anzupassen und vieles mehr. Auch dazu erfährst du mehr weiter unten.

Was sind Domain Name Systems (DNS)?

Bevor wir uns in eine Erklärung der beiden Arten von Pharming-Angriffen stürzen, müssen wir uns kurz ansehen, wie das Surfen im Internet eigentlich funktioniert. Wenn wir im Internet surfen, geben wir Domain-Namen wie N26.com oder Facebook.com ein, um eine Webseite zu besuchen. Der tatsächliche Standort einer Webseite wird jedoch durch ihre Internet-Protokoll-Adresse (IP-Adresse) definiert. Stell dir das als die Sprache des Computers vor.

Internetbrowser lokalisieren Websites anhand deren IP-Adressen, nicht eines Domain-Namens. Stell dir vor, du versuchst einen Ort zu finden, an dem du noch nie zuvor warst. Als Anhaltspunkt kannst du einen Städtenamen, einen Bezirk, eine Straßenadresse oder eine Postleitzahl nutzen – das wären Domains. Eine IP-Adresse hingegen ist das Äquivalent der genauen Koordinaten eines Ortes.

Um eine riesige Zahl von Domänen in IP-Adressen zu übersetzen, braucht das Internet ein eigenes Verzeichnis. Hier kommen nun die DNS-Server ins Spiel. Ein DNS-Server übersetzt Domain-Namen in IP-Adressen.

Die Rolle des DNS-Cache

Wenn eine Domain in eine IP-Adresse übersetzt wird, findet sie den richtigen Ort, indem sie online einen DNS-Server kontaktiert. Um den Prozess zu beschleunigen, werden die Daten vorübergehend gespeichert, damit dein Computer schnellen Zugriff auf den Standort einer Webseite hat. Anstatt einen externen DNS-Server zu kontaktieren, werden die Informationen auf deinem Computer abgelegt.

Der Speichervorgang wird als DNS-Cache bezeichnet – dein persönliches, direkt auf deinem Gerät abgelegtes Verzeichnis. Die meisten modernen Internetbrowser speichern die Informationen automatisch in einem DNS-Cache – so kannst du schneller surfen. Leider haben gerissene Online-Betrüger einen Weg gefunden, dieses System auszunutzen.

Welche verschiedenen Arten von Pharming-Angriffen gibt es?

Es gibt zwei Arten von Pharming-Angriffen: Malware-basierte und DNS-Server-basierte Angriffe. Die erste Methode nimmt sich ohne Umschweife den Computer vor, indem sie den DNS-Cache ausnutzt und dessen Einstellungen ändert. Die zweite Methode ist raffinierter: Die Betrüger greifen dabei den DNS-Server selbst an, ohne auf einzelne Computer zuzugreifen.

Was ist Malware-basiertes Pharming?

Malware steht für schädliche Programme, die auf einem Computer installiert werden – entweder durch eine betrügerische E-Mail oder einen dubiosen Download. Beim Malware-basierten Pharming wird ein solches Programm eingesetzt, um den Browser des Opfers auf eine gefälschte, von Betrügern betriebene Webseite umzuleiten. Diese Masche ist besonders problematisch, weil der Benutzer eine korrekte URL eingibt (oder sogar einem Lesezeichen folgt), bevor er umgeleitet wird.

Die Umleitung erfolgt dann gut getarnt hinter den Kulissen: Die installierte Malware ändert die lokalen Host-Dateien und den DNS-Cache des Computers. Wie wir bereits wissen, enthalten diese Dateien das Verzeichnis, das zur Übersetzung von Domain-Namen in IP-Adressen verwendet wird. Durch die Änderung dieser Informationen wird eine seriöse Domäne in eine IP-Adresse übersetzt, die mit einer betrügerischen Webseite in Verbindung steht.

Schlimmer noch: Die Gestaltung dieser Webseite ahmt die echte Webseite nach. Du gibst also nicht nur die korrekte URL ein, du landest auch auf einer Seite, die so aussieht wie das Original. Alle auf dieser Website eingegebenen Informationen werden dann direkt an Hacker gesendet und können für Betrug oder Identitätsdiebstahl verwendet werden.

Was ist eine DNS-Server-Vergiftung?

DNS-basiertes Pharming ist die zweite Art von Pharming-Angriffen. Anstatt sich auf einzelne Nutzer zu fokussieren und deren Computer mit Malware zu infizieren, zielen die Betrüger direkt auf den Server ab. Ein beschädigter Server leitet Nutzer zu einer gefälschten IP-Adresse um, selbst wenn die Computer der einzelnen Nutzer völlig in Ordnung und nicht infiziert sind. Diese Art von Angriffen ist nicht an einzelne Dateien geknüpft, denn es ist der Server selbst, der "vergiftet" wird und Benutzer auch dann umleitet, wenn sie die richtige URL eingeben.

Aufgrund des Ausmaßes der potenziellen Bedrohung durch DNS-Server-Vergiftung investieren große Unternehmen viel Geld in ausgeklügelte Anti-Pharming-Vorkehrungen.


Sicherheit bei N26

Neben den Sicherheitsmaßnahmen, die du selbst ergreifen kannst, tun auch wir einiges dafür, um dich zu schützen. Als Bank liegt uns deine Sicherheit am Herzen – hier erfährst du mehr über unsere Sicherheitsmaßnahmen:

Ende-zu-Ende-Verschlüsselung (E2EE)

Jedes Mal, wenn unsere Kunden mit unseren Diensten interagieren, werden Datenpakete hin und her gesendet – von einem Endpunkt zum anderen. Damit wir einen sicheren Kommunikationskanal aufrechterhalten und unbefugte Dritte daran hindern können, sensible Informationen abzufangen, verschlüsseln wir diese Datenpakete mit dem TLS-Protokoll (Transport Layer Security).

Zertifikats-Pinning

Wir haben ein vertrauenswürdiges Zertifikat in unsere Web-App integriert, das Verbindungsanfragen validiert. Wenn eine Verbindungsanfrage gestellt wird und der Browser kein entsprechendes Zertifikat erkennt, wird die Verbindungsanfrage abgelehnt – was letztendlich verhindert, dass Kunden potenziell betrügerische Seiten aufrufen.

Lokal ist der Computer damit leider nicht geschützt. Wie oben beschrieben können Angreifer Nutzer (in seltenen Fällen) auch direkt in die Falle locken. Deshalb ist es ratsam, dass du selbst auf deinem Computer nach nicht vertrauenswürdigen Zertifikaten suchst. Wenn du dir nicht sicher bist, wie das geht, suchst du am besten bei jemandem Rat, der über Wissen und Erfahrung in diesem Bereich verfügt.

Zusätzlicher Browser-Schutz

HSTS-Protokoll

HSTS – für HTTP Strict Transport Security – ist die aktuellste Version der SSL-Verschlüsselung (Secure Socket Layer). HSTS ermöglicht vertrauenswürdige Interaktionen zwischen Browsern und Webseiten.

Was macht es sicher?

Das HSTS-Protokoll arbeitet mit mehreren Ebenen der Verschlüsselung, wie z. B. einer hartkodierten Liste von vertrauenswürdigen Webseiten, die im Fachjargon als HSTS-Preload-Liste bezeichnet wird. Bekannte und vertrauenswürdige Browser wie Google Chrome und Firefox haben einen HSTS-Mechanismus integriert, der standardmäßig aktiviert ist. Das bedeutet, dass du nichts weiter tun musst, um von diesem zusätzlichen Schutz zu profitieren.

Wer bestimmt, wer auf die Liste kommt?

Die HSTS-Protokollstandards werden von der Internet Engineering Task Force (IETF) verwaltet – diese Organisation wird ausschließlich von Freiwilligen geführt und ihre Arbeit von Sponsoren auf der ganzen Welt finanziert. Infrage kommende seriöse Unternehmen wie N26 müssen eine Reihe strenger Anforderungen erfüllen, bevor sie auf die Liste kommen. Und auch danach müssen die Mitglieder stets gemäß den IETF-Richtlinien handeln, andernfalls werden sie wieder von der Liste gestrichen. Hier kannst du mehr darüber erfahren.

Von N26

Die mobile Bank

Ähnliche Artikel

Entdecke ähnliche Artikel aus unserem Blog, die dich vielleicht interessieren könnten