Blog

Was ist Pharming? Definition, Beispiele und Prävention

Entprellung
Artikel
21 min gelesen
Themen

Teile diesen Artikel

URL kopieren

Key Take Away

  • Im Gegensatz zum Phishing funktioniert Pharming durch die Manipulation von DNS-Systemen oder Host-Dateien von Geräten, sodass die Eingabe einer korrekten Adresse die Benutzer automatisch auf betrügerische Websites weiterleitet.
  • Es gibt zwei Hauptarten von Pharming: DNS-Poisoning zielt auf gemeinsam genutzte Infrastruktur ab und betrifft viele Benutzer gleichzeitig; Host-File-Manipulation zielt mittels Malware auf einzelne Geräte ab.
  • Prüfen Sie stets, ob HTTPS-Zertifikate gültig sind, und achten Sie auf subtile Unregelmäßigkeiten in der URL, da Pharming-Websites selbst dann, wenn sie optisch legitimen Websites ähneln, möglicherweise keine ordnungsgemäßen Sicherheitszertifikate besitzen.

Sie öffnen Ihren Browser, geben sorgfältig die Webadresse Ihrer Bank ein und drücken die Eingabetaste. Die Seite sieht völlig normal aus. Dasselbe Logo. Dasselbe Layout. Dasselbe Anmeldefeld. Sie geben Ihren Benutzernamen und Ihr Passwort gedankenlos ein. Später stellen Sie fest, dass es gar nicht Ihre Bank war und Ihre Zugangsdaten bereits in fremden Händen sind.

Das ist Pharming. Dabei handelt es sich um einen Angriff, der Ihren Internetverkehr umleitet, noch bevor die Seite geladen ist, und Sie unbemerkt auf eine gefälschte Website weiterleitet, die der echten täuschend ähnlich sieht. Anders als beim Phishing, bei dem Sie durch einen verdächtigen Link verleitet werden sollen, basiert Pharming nicht auf einem offensichtlichen Fehler. Sie können die richtige Adresse eingeben, verdächtige E-Mails meiden, sogar die URL überprüfen und trotzdem unbemerkt auf der falschen Seite landen.

Wer versteht, wie Pharming funktioniert, kann subtile Warnsignale leichter erkennen und Maßnahmen ergreifen, um seine Daten zu schützen, bevor sie offengelegt werden.

Was ist Pharming?

Pharming in der Cybersicherheit

Pharming ist ein Cyberangriff, der Nutzer von legitimen Webseiten auf gefälschte Kopien umleitet, ohne dass dafür – abgesehen von der anfänglichen Kompromittierung der Infrastruktur – weitere Aktionen oder Täuschungsversuche der Nutzer erforderlich sind. Der Begriff setzt sich aus „Phishing“ und „Farming“ zusammen und verdeutlicht, wie Angreifer Zugangsdaten und sensible Daten massenhaft sammeln. Anstatt einzelne Nutzer zu täuschen, ermöglicht Pharming Angreifern, Informationen von vielen Nutzern gleichzeitig zu erfassen, indem sie die Systeme manipulieren, die den Webverkehr steuern.

Wenn Sie eine Webadresse wie „mybank.com“ eingeben, weiß Ihr Gerät nicht direkt, wo sich die Website im Internet befindet. Es fragt einen DNS-Server (Domain Name System) ab, um die lesbare Domain in eine numerische IP-Adresse zu übersetzen, die den tatsächlichen Server lokalisiert. Pharming manipuliert diesen Übersetzungsprozess und ersetzt legitime IP-Adressen durch vom Angreifer kontrollierte.

Nutzer gelangen über ihre eigene, korrekte Navigation auf betrügerische Webseiten, nicht über verdächtige Links oder Warnungen. Ohne sorgfältige Prüfung von Sicherheitszertifikaten und subtilen URL-Details gibt es oft keinen sichtbaren Hinweis darauf, dass etwas nicht stimmt.

So funktioniert Pharming

Pharming nutzt den DNS-Auflösungsprozess aus, der jedem Website-Besuch zugrunde liegt, entweder auf Infrastrukturebene oder auf einzelnen Endgeräten.

Jede Website ist unter einer numerischen IP-Adresse (z. B. 203.0.113.42) erreichbar, die ihren Serverstandort identifiziert. DNS-Server verwalten Datenbanken, die Domainnamen (z. B. mybank.com) in IP-Adressen übersetzen. Wenn Sie eine Adresse eingeben, fragt Ihr Browser den DNS-Server ab, empfängt die IP-Adresse und stellt eine Verbindung zum entsprechenden Server her.

Pharming-Angriffe stören diesen Prozess an einer von zwei Stellen: den DNS-Servern, die viele Benutzer bedienen, oder den Host-Dateien auf einzelnen Geräten, die lokale Übersetzungen durchführen, bevor sie die DNS-Server konsultieren.

Warum gefälschte Webseiten echt aussehen

Pharming-Websites sind auf Täuschung ausgelegt. Angreifer erstellen Repliken, die HTML, CSS, Bilder und Funktionen legitimer Websites kopieren. Sie verwenden dieselben Farbschemata, Layouts und Markenelemente. Anmeldeformulare erfassen die Zugangsdaten und leiten die Nutzer nach dem Abfangen der Informationen manchmal sogar auf die echte Website weiter, sodass die Opfer nichts bemerken.

Arten von Pharming-Angriffen

Was ist Pharming in der Cybersicherheit?

Pharming-Angriffe lassen sich in zwei Hauptkategorien einteilen, je nachdem, wo die DNS-Beschädigung auftritt und wie viele Benutzer betroffen sind.

DNS-basiertes Pharming

DNS-basierte Angriffe zielen auf die gemeinsam genutzte Infrastruktur ab, die vielen Benutzern dient, was sie im Hinblick auf den Umfang zu einer gefährlicheren Kategorie macht.

DNS-Cache-Poisoning

Angreifer nutzen Sicherheitslücken in der DNS-Server-Software aus, um gefälschte Einträge in den Server-Cache einzuschleusen. Einmal zwischengespeichert, bleibt die falsche Übersetzung so lange bestehen, bis der Cache abläuft oder manuell gelöscht wird. Dies kann alle Nutzer des betreffenden DNS-Servers über Stunden oder Tage beeinträchtigen.

Diese Angriffsart ist seit den 1990er-Jahren bekannt, doch es werden weiterhin Schwachstellen in der DNS-Infrastruktur entdeckt. Die Kaminsky-Schwachstelle von 2008 legte grundlegende Schwächen im DNS offen, die Cache-Poisoning in großem Umfang ermöglichten und branchenweite, dringende Patches erforderlich machten. Seitdem wurden ähnliche Schwachstellen gefunden.

DNS-Hijacking auf Registrar-Ebene

Angreifer, die Zugang zu Domain-Registraren (den Unternehmen, die Domainregistrierungen verwalten) erlangen, können die offiziellen DNS-Einträge für legitime Domains ändern und mybank.com auf der autoritativen Ebene auf vom Angreifer kontrollierte Server umleiten, anstatt nur die Caches zu vergiften.

Dieser Angriff ist zwar schwieriger durchzuführen, betrifft aber alle Nutzer weltweit, nicht nur diejenigen, die einen bestimmten DNS-Server verwenden. Bekannte Fälle von Domain-Hijacking haben den Datenverkehr großer Organisationen umgeleitet, bevor sie entdeckt und rückgängig gemacht wurden.

Umleitung auf ISP-Ebene

Kompromittierte Internetdienstanbieter oder böswillige ISPs können DNS-Anfragen transparent umleiten und so alle Kunden beeinträchtigen, ohne dass einzelne Geräte oder externe DNS-Server berührt werden müssen.

Host-file-basiertes Pharming

Host-File-Angriffe zielen auf einzelne Geräte anstatt auf gemeinsam genutzte Infrastrukturen ab, was zwar ihr Ausmaß begrenzt, sie aber auch für weniger versierte Angreifer zugänglich macht.

Malware-gesteuerte Modifikation

Viren, Trojaner und andere Schadsoftware, die Computer infizieren, enthalten häufig Funktionen zur Manipulation der Hosts-Datei. Nach der Modifizierung leitet das infizierte Gerät gezielt aufgerufene Domains unabhängig von den DNS-Servern stets auf vom Angreifer kontrollierte Websites um.

Social-Engineering-Installation

Nutzer können durch E-Mail-Anhänge, gefälschte Software-Downloads oder Drive-by-Website-Infektionen dazu verleitet werden, Skripte oder Software auszuführen, die ihre Hosts-Datei direkt verändern. Im Gegensatz zu DNS-Poisoning, das Serverzugriff erfordert, können Angriffe auf die Hosts-Datei von jedem durchgeführt werden, der einen Nutzer zur Ausführung von Schadcode verleiten kann.

Häufige Anzeichen eines Pharming-Angriffs

Was ist Pharming?

Pharming ist so konzipiert, dass es unsichtbar bleibt, aber bestimmte Warnzeichen deuten darauf hin, dass Sie möglicherweise auf eine betrügerische Webseite weitergeleitet wurden.

Website- und Sicherheitszertifikatsprobleme:

  • Kein HTTPS oder ungültiges Zertifikat: Der Browser zeigt eine Warnung wie „Ihre Verbindung ist nicht privat“ an, oder das Schloss-Symbol fehlt oder zeigt einen Fehler an. Pharming-Websites scheitern häufig an der Zertifikatsvalidierung.
  • Zertifikat an falsche Stelle ausgestellt: Klicken Sie auf das Vorhängeschloss und überprüfen Sie das Zertifikat; es sollte an die Organisation ausgestellt sein, deren Website Sie besuchen, und nicht an eine unbekannte Instanz.
  • HTTP statt HTTPS: Seriöse Bank-, Finanz- und Kontoverwaltungsseiten verwenden stets HTTPS; unverschlüsseltes HTTP ist ein ernstzunehmendes Warnsignal bei sensiblen Seiten.

URL-Unregelmäßigkeiten:

  • Feine Domainunterschiede, die Ihnen beim Tippen nicht aufgefallen sind: mybank-secure.com statt mybank.com
  • Unerwartete Portnummern in der Adressleiste (mybank.com:8080)
  • IP-Adressen in der URL anstelle von Domainnamen

Verhaltensanomalien:

  • Vertraute Websites sehen plötzlich etwas anders aus: Layoutänderungen, Logoänderungen, fehlende Elemente
  • Anmeldeseiten, die nicht dem entsprechen, woran Sie sich erinnern
  • Anfragen nach Informationen, nach denen die Website normalerweise nie fragt (Sicherheitsfragen auf einer Seite, die normalerweise keine stellt).
  • Seiten laden ungewöhnlich langsam oder verhalten sich unerwartet

Probleme nach dem Login:

  • Ich werde unmittelbar nach der Eingabe meiner Zugangsdaten erneut zur Anmeldung aufgefordert.
  • Ungewöhnliche Kontoaktivitäten oder unautorisierte Transaktionen nach dem Besuch einer Website
  • Benachrichtigungen über Passwortänderungen, die Sie nicht veranlasst haben

Technische Warnschilder:

  • Antivirensoftware warnt vor DNS-Änderungen oder Modifikationen der Host-Datei.
  • Browserwarnungen über Zertifikatsfehler auf zuvor vertrauenswürdigen Websites
  • Netzwerksicherheitstools zur Erkennung von DNS-Anomalien

Risiken und Folgen des Pharming

Pharming in der Cybersicherheit

Erfolgreiche Pharming-Angriffe verursachen schwerwiegende und oft lang anhaltende Schäden in den Bereichen Finanzen, Datenschutz und Organisation.

Finanzieller Diebstahl

Der Diebstahl von Bankdaten durch Pharming ermöglicht den direkten Zugriff auf Konten. Angreifer loggen sich in die erbeuteten Konten ein, veranlassen Überweisungen, plündern Ersparnisse und tätigen Einkäufe, bevor die Opfer den Betrug bemerken. Finanzbetrug infolge von Pharming ist oft schwer zu beheben, insbesondere bei internationalen Überweisungen.

Auf gefälschten E-Commerce-Websites abgefangene Zahlungskarteninformationen ermöglichen betrügerische Einkäufe und Kartenklonierung, die so lange zu Verlusten führen, bis die Karten gesperrt und ersetzt werden.

Zugangsdatendiebstahl und Kontoübernahme

Erbeutete Zugangsdaten bleiben selten auf ein einzelnes Konto beschränkt. Viele Menschen verwenden Passwörter für mehrere Dienste, sodass ein gestohlenes Bankpasswort auch Zugang zu E-Mail, Cloud-Speicher, sozialen Medien und mehr ermöglichen kann. Von dort aus können Angreifer Passwortzurücksetzungen auslösen und sich Schritt für Schritt durch die verbundenen Konten bewegen, wodurch aus einem einzelnen Kompromittierungsversuch eine viel größere Übernahme wird.

Identitätsdiebstahl

Durch Pharming erlangte persönliche Daten wie Namen, Adressen, Sozialversicherungsnummern und Geburtsdaten können für Identitätsdiebstahl missbraucht werden. Sind diese Daten einmal offengelegt, können Kriminelle damit betrügerische Konten eröffnen, falsche Steuererklärungen einreichen oder Kredite im Namen des Opfers missbräuchlich nutzen. Der finanzielle Schaden kann erst nach Jahren erkannt und vollständig behoben werden.

Auswirkungen auf Geschäft und Organisation

Unternehmen, die von Pharming betroffen sind, müssen mit Betriebsunterbrechungen, dem Verlust von Kundendaten und regulatorischen Konsequenzen rechnen. Ein erfolgreicher DNS-Hijacking-Angriff auf die eigene Domain kann alle Kunden auf betrügerische Webseiten umleiten und so das Vertrauen schädigen, selbst wenn das Unternehmen selbst nicht kompromittiert wurde. Die Wiederherstellung erfordert Zeit für die DNS-Propagation, wodurch die Nutzer im Unklaren darüber gelassen werden, welche Webseiten legitim sind.

Langfristiger Reputationsschaden

Unternehmen, deren Kunden Opfer von Pharming wurden, müssen mit Reputationsschäden rechnen, selbst wenn die Angreifer und nicht das Unternehmen selbst verantwortlich waren. Das Vertrauen der Kunden lässt sich nach Sicherheitsvorfällen nur schwer wiederherstellen, insbesondere wenn Finanz- oder personenbezogene Daten betroffen sind.

E-Mail-Spam Pharming und Phishing werden oft zusammen eingesetzt: Phishing-E-Mails lenken die Nutzer auf mit Pharming kompromittierte URLs, wobei die Zustellungsmechanismen kombiniert werden, um eine maximale Wirkung zu erzielen.

Wie man sich vor Pharming schützt

Pharming

Der Schutz vor Pharming erfordert technische Vorkehrungen, Verhaltensgewohnheiten und organisatorische Sicherheitsmaßnahmen.

Nutzen Sie sichere DNS-Dienste.

Standardmäßige DNS-Server von Internetanbietern bieten nur minimale Sicherheit. Der Wechsel zu sicherheitsorientierten DNS-Anbietern, die DNS Security Extensions (DNSSEC) implementieren und verschlüsselte DNS-Protokolle verwenden, reduziert das Risiko von DNS-Manipulationen. DNSSEC signiert DNS-Einträge digital und erschwert es Angreifern dadurch erheblich, falsche Einträge einzuschleusen.

Überprüfen Sie die HTTPS-Zertifikate, bevor Sie die Anmeldedaten eingeben.

Bevor Sie sich bei sensiblen Websites wie Online-Banking-, E-Mail- oder Finanzdiensten anmelden, überprüfen Sie das HTTPS-Zertifikat:

  • Prüfen Sie, ob das Vorhängeschloss-Symbol vorhanden ist und keine Warnungen anzeigt.
  • Klicken Sie auf das Schloss und überprüfen Sie, ob das Zertifikat für die richtige Organisation ausgestellt wurde.
  • Stellen Sie sicher, dass das Zertifikat gültig und nicht abgelaufen ist.

Geben Sie Ihre Anmeldedaten niemals auf Seiten ein, die Zertifikatsfehler anzeigen, selbst wenn die Seite korrekt aussieht.

Halten Sie Geräte und Software auf dem neuesten Stand.

Sicherheitspatches für Betriebssysteme, Browser und Antivirensoftware beheben bekannte Schwachstellen, die von Pharming-Malware ausgenutzt werden, um Host-Dateien zu verändern oder DNS-Anfragen abzufangen. Durch die Aktivierung automatischer Updates wird sichergestellt, dass Patches umgehend installiert werden, ohne dass eine manuelle Überwachung erforderlich ist.

Verwenden Sie seriöse Antiviren- und Anti-Malware-Software

Sicherheitssoftware erkennt Änderungen an Host-Dateien, verdächtige DNS-Änderungen und Schadsoftware, die hostbasierte Pharming-Angriffe ermöglicht. Der Echtzeitschutz überwacht Systemänderungen und erkennt diese sofort, anstatt erst nach Eintritt des Schadens.

Zwei-Faktor-Authentifizierung (2FA) aktivieren

Selbst wenn Pharming Ihre Anmeldedaten abfängt, verhindert die Zwei-Faktor-Authentifizierung (2FA) den Zugriff auf Konten ohne den zweiten Verifizierungsfaktor. Zeitbasierte Einmalpasswörter (TOTP) und Hardware-Sicherheitsschlüssel sind besonders effektiv, da sie von Angreifern, die Anmeldedaten von einer Pharming-Seite erbeutet haben, nicht wiederhergestellt werden können.

Router-DNS-Einstellungen überwachen

Heimrouter sind ein häufiges Ziel von Pharming-Angriffen. Schadsoftware oder Angreifer, die die Administrator-Zugangsdaten des Routers kompromittiert haben, können die DNS-Einstellungen ändern und den gesamten Datenverkehr im Heimnetzwerk umleiten. Überprüfen Sie daher regelmäßig die DNS-Konfiguration Ihres Routers, um sicherzustellen, dass er auf Ihren gewünschten DNS-Anbieter und nicht auf Server von Angreifern verweist.

Führen Sie eine sorgfältige URL-Überprüfung durch.

Prüfen Sie URLs sorgfältig, bevor Sie Ihre Zugangsdaten eingeben. Dies gilt insbesondere nach dem Aufrufen von Links aus beliebigen Quellen. Achten Sie auf subtile Domain-Variationen, stellen Sie sicher, dass Sie über HTTPS verbunden sind, und überprüfen Sie das Zertifikat vor der Anmeldung.

E-Mail-Authentifizierung implementieren

Korrekte Konfiguration von SPF-Einträgen DMARC hilft, E-Mail-basierte Angriffe zu verhindern, die häufig mit Pharming-Kampagnen einhergehen, und reduziert so die Anzahl von Phishing-E-Mails, die Nutzer auf kompromittierte Webseiten weiterleiten. Die gemeinsame Verteidigung von E-Mail- und Webinfrastruktur schließt die kombinierten Angriffsvektoren, die Angreifer am häufigsten nutzen.

Aufrechterhaltung saubere E-Mail-Listen reduziert das organisatorische Risiko von zurückgesendete E-Mails und ungültige Kontakte, die Angreifer zur Aufklärung vor dem Start gezielter Pharming-Kampagnen ausnutzen können.

Fazit

Pharming leitet Nutzer von legitimen Webseiten auf gefälschte Kopien um, indem es DNS-Systeme manipuliert oder die Host-Dateien von Geräten manipuliert, ohne dass verdächtige Links oder offensichtliche Täuschungsversuche nötig sind. Nutzer, die korrekte Adressen eingeben, landen auf perfekt nachgebildeten gefälschten Seiten und verlieren Zugangsdaten, Finanzdaten und persönliche Informationen, ohne den Betrug zu bemerken.

Schutz erfordert mehrere Ebenen: sichere DNS-Dienste, die DNSSEC implementieren, sorgfältige Überprüfung des HTTPS-Zertifikats vor der Eingabe der Anmeldeinformationen, aktualisierte Geräte und Sicherheitssoftware, Zwei-Faktor-Authentifizierung, die auch dann gültig bleibt, wenn Passwörter abgefangen werden, und Routersicherheit, die eine DNS-Änderung auf Netzwerkebene verhindert.

Wechseln Sie noch heute die DNS-Einstellungen Ihres Geräts und Routers zu einem sicherheitsorientierten Anbieter, der DNSSEC und verschlüsselte DNS-Anfragen unterstützt. Aktivieren Sie anschließend die Zwei-Faktor-Authentifizierung für alle Finanz-, E-Mail- und sensiblen Konten, um sicherzustellen, dass Angreifer mit den erbeuteten Zugangsdaten allein nicht ihre Ziele erreichen können.

Sorgen Sie neben der Websicherheit auch für eine starke E-Mail-Sicherheit. Entprellung Um Ihre E-Mail-Listen sauber und Ihre Versandinfrastruktur stabil zu halten und so das Risiko von Phishing und Spam, die häufig mit Pharming-Kampagnen einhergehen, zu reduzieren, ist eine sichere E-Mail-Umgebung, die verifizierte Empfänger erreicht, Teil derselben Sicherheitsstrategie, die auch vor webbasierten Angriffen wie Pharming schützt.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zu diesem Thema.
01

Ist Pharming illegal?

Ja, Pharming ist in den meisten Ländern gemäß den Gesetzen gegen Computerbetrug und Cyberkriminalität illegal, darunter auch Gesetze wie der US Computer Fraud and Abuse Act.

02

Wie häufig sind Pharming-Angriffe?

Pharming ist seltener als Phishing, aber deutlich gefährlicher. Groß angelegte DNS-Poisoning-Angriffe haben Millionen von Nutzern gleichzeitig betroffen, während hostbasiertes Pharming durch Malware einzelne Nutzer kontinuierlich im Rahmen umfassenderer Malware-Kampagnen beeinträchtigt.

Du magst vielleicht auch:

Hier finden Sie schnelle Antworten auf Ihre Fragen zu unseren Preisen und Tarifen.

Unterschied zwischen IMAP, POP3 und SMTP

Wie oft greifen Sie auf Ihr E-Mail-Postfach zu? Bestimmt ziemlich oft. Ob Sie nun eine wichtige Geschäfts-E-Mail erhalten, einem Geschäftspartner schreiben oder...

   
Roman Grischuk

E-Mail-Testmethoden und Checkliste

Sicherlich ist Ihnen aufgefallen, dass es Unternehmen mit überzeugenden E-Mail-Marketing-Kampagnen gibt, die einen sehr hohen ROI im E-Mail-Marketing erzielen: (Quelle) Ich bin mir auch sicher, dass...

   
Tee Liarokapi

Integrieren Sie SEO und E-Mail-Marketing

Suchmaschinenoptimierung (SEO) ist entscheidend für die Online-Sichtbarkeit jeder Website und unerlässlich für Milliarden von Unternehmen weltweit, die ihre Präsenz fördern möchten...

   
Sascha Hudym