Drive-by-Pharming: Hacker ändern DNS-Einträge per Javascript

Die Sicherheitsexperten von Symantec stellen in ihrem Weblog eine neue Angriffstechnik vor, die von Mitarbeitern des Unternehmens sowie der Indiana University School of Informatics entwickelt wurde. Für einen Angriff würde es demnach genügen, eine mit einem speziellen Javascript-Code präparierte Website zu erstellen und Opfer auf selbige zu locken. Alleine durch den Aufruf der Site würde der Code bereits sein Werk verrichten und Änderungen am Breitband- oder WLAN-Router des Opfers vornehmen.

Angreifer könnten nun Änderungen an den DNS-Server-Einträgen des Routers vornehmen. Als mögliche Folge könnten Anwender dann auf betrügerische Online-Banking-Seiten gelockt werden - und dies würde den Opfern nicht einmal auffallen, da sie im Browser die korrekte URL eingeben, durch die Änderungen an den DNS-Einträgen aber auf eine betrügerische Seite gelotst werden. Je nachdem, wie gut eine solche, falsche Banking-Seite nachgebaut wurde, hätten Betrüger ausreichend Zeit, um sensible Daten abzufangen und in der Folge beispielsweise Konten leer zu räumen.

Allerdings funktioniert die Sache nur dann, wenn Anwender das Passwort ihres Routers nicht ändern. Und dies ist laut den Experten von Symantec bei immerhin 50 Prozent der Anwender der Fall. Im Auslieferungszustand von Routern lauten die Zugangsdaten meist "admin" und "password", es ist also für Angreifer ein leichtes, sich auf solche Geräte zu hacken. Daher sollten Sie unbedingt das Passwort Ihres Routers abändern und ein möglichst schwieriges Passwort vergeben. Eine zweite Sicherungsmaßnahme ist zwar sinnvoll, aber in der Regel unpraktisch. So sollten Sie das Ausführen von Javascript-Code im Browser unterbinden. Laut Symantec lassen dies rund 95 Prozent der Anwender aber zu. Dies ist allerdings auch nicht weiter verwunderlich, da heutzutage ein Großteil der Web-Seiten Javascript-Code verwendet. Diese würden nach dem Abschalten der Funktion nicht mehr korrekt angezeigt.