+43 699 / 18199463
office@itexperst.at

Pharming-Angriff auf Nutzer von Home-Routern in Brasilien

Die Angreifer zielten auf Internetnutzer in Brasilien und spionierten den Web-Datenverkehr aus. Sie nutzten dabei die Schwachstellen von Routern im Privatumfeld und verschafften sich Zugang zur Administratoren-Konsole. Dort können die DNS-Einstellungen des Routers verändert werden (= Pharming). Dadurch kann man Nutzer dazu bringen, bestimmte Webseiten zu besuchen, um an diesem Datenverkehr Man-in-the-Middle-Angriffe durchzuführen. Die Folge ist ein Auslesen von sensiblen Daten bei verschlüsselten Verbindungen, wie z.B. Online-Bankverbindungen.

Im vorliegenden Fall schickten die Hacker ihren Zielen einen manipulierten Link per E-Mail zu. Wenn man diesen anklickt, wird der Nutzer zu einem Server weitergeleitet, der die Angriffe startet.

Pharming ist knifflig in der Ausführung. Man braucht Zugang zu ISPs oder dem DNS-Server eines Unternehmens, welches Domain-Namen in IP-Adressen von Webseiten übersetzt. Diese DNS-Systeme sind normalerweise sehr gut geschützt, aber bei Home-Routern ist dies oft nicht der Fall.

Die Sicherheitsfirma Proofpoint teilte in einer E-Mail mit, dass es ungewöhnlich ist, dass der Angriff über eine E-Mail ausgelöst wurde. Pharming wird normalerweise direkt über einen Netzwerkangriff ausgeführt.

Ein erfolgreicher Pharming-Angriff bedeutet für den Nutzer, dass er zu der falschen Webseite geleitet wird, selbst wenn er den richtigen Domain-Namen (URL) eingegeben hat. Damit können E-Mails abgefangen, Logins und Passwörter für Webseiten ausspioniert und Bankdaten erschlichen werden. Proofpoint sagt, dass zumeist diejenigen Brasilianer Phishing-E-Mails erhielten, die entweder UTStarcom- oder TR-Link-Home-Router nutzten. Die E-Mails kamen von Brasiliens größtem Telekommunikationsunternehmen.

Durch Anklicken der Links in der E-Mail wird das Opfer auf einen Server weitergeleitet, der wiederum den eigenen Router angreift. Der Server ist so konfiguriert, dass er die Schwachstellen der Router in der Website über Cross-Site-Request-Forgery (CSRF) ausnutzt. Wenn der Angriff erfolgreich verlief, erhielten die Hacker Zugriff auf den Administratorzugang des Routers. Sie gaben dann die Standard-Login-Zugangsdaten ein – in der Hoffnung, dass der Nutzer diese nicht geändert hatte. Daraufhin können sie die Einstellungen zu ihrem eigenen DNS-Server verändern.

Schützen kann man sich vor solchen Angriffen über ein individuelles gutes Passwort für den Router. Weiter ist zu überlegen, ob der Administratorzugang überhaupt per Internet möglich sein soll.

Siehe auch: Wie wähle ich sichere Passwörter?

Artikel von computerworld.com, 26.02.2015: Hackers exploit router flaws in unusual pharming attack

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen