Pharming

1. Begriff: Pharming ist eine Methode zum Betrug im Internet. Es ist der Versuch, durch manipulierte Websiten in Betrugsabsicht an persönliche Informationen, z.B. Kreditkartendaten, zu kommen. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (bspw. durch DNS-Spoofing, vgl. Link-Spoofing), um den Benutzer auf gefälschte Webseiten umzuleiten. Diese gefälschten Seiten befinden sich auf den Servern der Betrüger, die zu diesem Zweck große Server-Farmen betreiben; daher der Begriff. Pharming ist eine Weiterentwicklung des klassischen Phishings. Pharming hat sich als Oberbegriff für verschiedene Arten von DNS-Angriffen etabliert.

2. DNS: Das Domain-Name-System (DNS) ist einer der wichtigsten Dienste im Netzwerk. Es ist ein weltweiter Verzeichnisdienst, der die im Internet verwendeten Namen verwaltet. In Analogie zu einer Telefonauskunft soll das DNS bei Anfrage mit einem Hostnamen (d.h. dem für Menschen merkbaren Namen eines Rechners im Internet) die zugehörige IP-Adresse (d.h. die „Anschlussnummer“ im Internet) finden.

3. Funktionsweise: Eine Methode dabei ist die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojanischen Pferds (Trojaner) oder eines Virus eine gezielte Manipulation des Systems vorgenommen. Um eine alphanumerische URL (Internetadresse) in eine IP-Adresse aufzulösen, kontaktiert das Betriebssystem normalerweise einen DNS-Server. Allerdings besitzt jedes Betriebssystem hierfür auch eine interne Liste, z.B. die Datei Hosts. Bevor ein DNS-Server kontaktiert wird, schaut das Betriebssystem zuerst in die Hosts-Datei, ob hier der Name (bzw. die Internetadresse) schon gelistet ist. Falls ja, erübrigt sich das Kontaktieren des DNS-Servers. Beim Pharming wird durch korrumpierte DNS-Server, durch DNS-Flooding (d.h. einem Rechner wird „auf Verdacht“ eine Adressauflösung suggeriert, noch bevor er diese beim echten DNS-Server abgefragt hat) oder am einfachsten durch Malware manipulierte Adressen in der lokalen Hosts-Datei des Betriebssystems der Aufruf einer Webseite von Banken u.Ä. auf einen anderen Server umgeleitet. Benutzer können so z.B. auf täuschend echt wirkende, manipulierte Seiten eines Kreditinstituts geleitet werden.

4. Schutz: Durch aktuell gehaltene und richtig konfigurierte Sicherheitssoftware (aktiver Hintergrundwächter, aktive Firewall) sollten sich solche Manipulationen verhindern lassen.