Drive-by-Pharming
Angriff um die Ecke
Manipulative Angriffe auf DSL-Router, vor denen Sicherheitsfachleute bereits seit einem Jahr warnen, sind inzwischen Realität geworden. Die ersten Fälle werden aus Mexiko gemeldet, es kann jedoch überall geschehen.
Die meisten Router, die einen oder mehrere Rechner mit dem Internet verbinden, erlauben auch in der Werkseinstellung keine Konfiguration von außen. Viele sind jedoch nicht nur mit einer Web-basierten Bedienoberfläche versehen sondern können auch mittels Universal Plug and Play (UPnP) konfiguriert werden. In eine Web-Seite eingebetteter Programm-Code kann den Router so umkonfigurieren, dass er einen vom Angreifer kontrollierten DNS-Server abfragt statt den des Internet-Providers.
Der Sicherheitsforscher Zulfikar Ramzan von Symantec hat bereits im Februar 2007 vor der Möglichkeit solcher Angriffe gewarnt. Jetzt sind die ersten Fälle dieser Art in Mexiko beobachtet worden. Diese Methode ist vor allem für Phishing-Angriffe interessant. Der Benutzer ruft die Website seiner Bank auf, in seinem Browser (egal welchen er benutzt) steht auch die richtige URL, der manipulierte Router ermittelt jedoch eine falsche IP-Adresse.
Die von dem Router erfragte IP-Adresse gehört zu einer Phishing-Website, deren Erscheinungsbild dem der echten Banken-Website sehr ähnlich ist. Eingegebene Anmelde- und Transaktionsdaten werden an die Angreifer übermittelt, die damit auf der echten Website der Bank Überweisungen zu ihren Gunsten ausführen können.
Um die Einstellungen des Routers manipulieren zu können, muss ein Angreifer das Passwort erraten, mit dem die Konfigurationsschnittstelle geschützt ist (oder sein sollte). Viele Benutzer ändern jedoch das vom Hersteller voreingestellte Passwort nicht oder vergeben gar kein Passwort. So haben Angreifer leichtes Spiel. Zu einfache Passwörter können mit Wörterbuch-Attacken ermittelt werden, indem ein Script viele Wörter, Namen und beliebte Passwörter ausprobiert.
Sie sollten daher die Konfiguration Ihres DSL-Routers (unabhängig davon, ob Sie WLAN nutzen oder nicht) überprüfen und mit einem nicht zu primitiven Passwort schützen. Deaktivieren Sie die UPnP-Schnittstelle des Routers, wenn Sie sie nicht benötigen. Zum Beispiel können Sie bei den in Deutschland recht verbreiteten Fritzbox-Routern von AVM das Übertragen von Statusinformationen über UPnP und Änderungen der Sicherheitseinstellungen über UPnP separat einstellen (Einstellungen/System/Netzwerkeinstellungen). Zumindest Letzteres sollten Sie abschalten. Warten Sie damit nicht, bis die ersten Fälle aus Deutschland öffentlich bekannt werden.
