SECURITY - Vom Phishing zum Pharming

Betrug über das Internet wird immer ausgeklügelter. Um sich dagegen zu wehren, braucht man Hilfe von seinem Provider.
Die meisten Internet-User wissen, dass sie E-Mails mit Titeln wie "Die wichtige Nachricht", die scheinbar von ihrer Bank kommen, besser nicht anklicken. Diese "Phishing"-Mails bringen den Nutzer zu einer Webseite, die nur scheinbar der Bank gehört, und fordern ihn zur Eingabe von Passwörtern und Transaktions-Nummern auf, mit denen anschließend Internet-Betrüger das Konto des Opfers abräumen.
Aber das simple Phishing war gestern - die Methoden der Online-Banditen werden immer ausgeklügelter, berichteten Sicherheitsexperten am Dienstag auf der Jahresversammlung des amerikanischen Wissenschaftlerverbandes ( AAAS ) in San Francisco. Die Verfahren nennen sich "Warkitting" oder "WAP jacking", und ihnen gemein ist, dass sie nicht mehr auf die Dummheit des Nutzers zählen, sondern möglichst unbemerkt seinen Rechner infizieren. Die neueste Methode, erst vor einigen Wochen veröffentlicht, stellten Zulfikar Ramzan von der Sicherheitsfirma Symantec und Markus Jakobsson von der Indiana University vor: Sie hört auf den Namen "Drive-By Pharming" und kapert den Router eines Internet-Nutzers, der zu Hause über eine Breitband-Verbindung im Internet surft.

Die meisten Privatsurfer wissen wahrscheinlich nicht einmal, dass sie einen solchen Router besitzen. Sie bekommen von ihrem Internet-Provider mehrere Kästchen, sind froh, wenn sie diese entsprechend der Anleitung zusammenstöpseln können und dann sogar die Internetverbindung funktioniert. Der Router ist ein Gerät, das den Anschluss mehrerer Rechner ermöglicht und den Zugang zum Netz herstellt.
Meist ist dieser Router schon fertig konfiguriert für den Internetzugang, und so wissen die meisten Benutzer nicht, dass sich diese Einstellungen ändern lassen und dass dazu ein Passwort benötigt wird. Die wenigsten ändern das voreingestellte Standard-Passwort, das oft tatsächlich "password" lautet.
Eine der Einstellungen eines solchen Routers ist die Angabe eines sogenannten DNS-Servers. DNS hat hier nichts mit dem menschlichen Erbgut zu tun, sondern steht für "Domain Name Server" - es ist eine Art Online-Telefonbuch, das eine Adresse der Form "www.zeit.de" in eine aus Ziffern bestehende Adresse auflöst, die kaum ein Nutzer kennt.
Den Sicherheitstüftlern gelang es nun, eine Website zu programmieren, die, sobald der Nutzer sie ansurft, den Router umprogrammiert. Das ist möglich, weil die modernen Web-Browser schon längst nicht mehr nur noch statisch Seiten anzeigen, sondern auch in der Lage sind, Programmcode in der Programmiersprache Javascript auszuführen. Das Programm versucht, mit einem Standardpasswort Zugang zum Router zu bekommen - und sobald das klappt, ändert es den Eintrag für den DNS-Server. Statt des "Telefonbuchs" des Internet-Providers wird dann ein "bösartiger" DNS-Server eingetragen. Diese Aktion nennt man Pharming: Der neue DNS-Server leitet dann zum Beispiel die eingegebene Internet-Adresse "www.meine-bank.de" nicht zur Website der Bank weiter, sondern zu einer täuschend ähnlichen Seite, die dann die vertraulichen Informationen des Nutzers abfängt. Der Unterschied zum Phishing ist, dass der Nutzer die Adresse selbst eingibt und hundertprozentig davon überzeugt ist, mit seiner Bank verbunden zu sein. Den "bösen" Code hat er sich vorher beim Klicken auf ein Werbebanner gefangen, der Zusammenhang mit der Bank-Seite ist nicht erkennbar.

Bei anderen Pharming-Methoden fahren die Übeltäter mit dem Auto durch Wohngebiete und suchen nach offenen Drahtlos-Netzwerken, deren Router sie dann umprogrammieren. Beim Drive-By Pharming muss der Angreifer, anders als es der Name vielleicht suggeriert, nur die bösartige Seite ins Netz stellen und darauf warten, dass der nichtsahnende Nutzer vorbeikommt und sich die Programmbefehle persönlich abholt.
"Von einer solchen Bedrohung könnten 50 Prozent aller Breitband-Internetnutzer betroffen sein", sagt Zulfikar Ramzan. Hat es nicht einen etwas seltsamen Beigeschmack, wenn Sicherheitsexperten mit fast krimineller Energie nach neuen Betrugsmethoden suchen und die dann öffentlich verbreiten? Ramzan ist sich da keiner Schuld bewusst. "Wir würden uns Sorgen machen, wenn es kein einfaches Mittel dagegen gäbe", sagt er. "Aber in diesem Fall muss man nur das voreingestellte Standardpasswort ändern." Weitaus effektiver wäre es wahrscheinlich, wenn die Router nach ihrer Erstinstallation den Nutzer zwingen würden, ein neues Passwort einzugeben. Aber das wäre dann nicht mehr das simple "plug and play", das wir heute von allen technischen Geräten erwarten.