DNS-Server im kriminellen Visier
Phishing ist ein alter Hut
Dass Internetbetrüger versuchen, arglose Surfer auf gefälschte Webseiten umzuleiten, ist an sich nichts Neues. Phishing funktioniert nach eben diesem Prinzip. Per Email wird dem User eine gefälschte Webadresse untergeschoben, auf der er anschließend aufgefordert wird, vertrauliche persönliche Daten einzugeben. Der umsichtige User kann sich gegen solche Phishing-Attacken prinzipiell problemlos wehren. Erhält er eine Mail, die ihn beispielsweise zur Aktualisierung seines eBay-Accounts auffordert, braucht er sich nur „per Hand“ beim Internetauktionshaus einzuloggen, um sich von der Richtigkeit der Aufforderung zu überzeugen. Völlig anders verhält es sich, wenn kriminelle Hacker DNS-Server manipulieren. Hier merkt auch der ansonsten vorsichtige Surfer in der Regel nicht, dass er auf eine gefälschte Webseite umgeleitet wurde.
DNS-Server werden manipuliert
Die auch im Zusammenhang mit dem Begriff „Pharming“ bekannt gewordene Manipulation von DNS-Servern macht sich die technischen Abläufe beim Abrufen einer Webseite zu Nutze. Damit eine Domain im Netz gefunden werden kann, muss sie in eine numerische IP-Adresse umgewandelt werden. Die Namensauflösung geschieht über Domain-Name-Server. Diese Server arbeiten wie eine Vermittlungsstelle. Sie liefern zu jedem Domainnamen die passende IP-Adresse und verbinden anschließend weiter. Internetbetrüger versuchen nun, in die DNS-Server einzubrechen und die dort gespeicherten „Webadressbücher“ etwa durch das so genannte DNS-Cache-Poisoning zu manipulieren. Die IP-Adressen, die den einzelnen Domains zugeordnet sind, werden dabei so geändert, dass der Surfer auf gefälschte Webseiten umgeleitet wird. Er bemerkt davon in aller Regel nichts. Der arglose User gibt in seinem Browser die korrekte Webadresse ein, gelangt anschließend aber auf eine völlig andere Seite.
Einstellungen werden manipuliert
Das US-amerikanische Internet Storm Center (ISC) vermeldet seit März dieses Jahres eine rapide Zunahme solcher Angriffe. Rund 3000 DNS-Server seien in den letzten Monaten angegriffen worden, heißt es bei US-amerikanischen Sicherheitsexperten. Ziel der Angreifer sei es gewesen, Surfer auf manipulierte Webseiten umzuleiten, um ihnen Spionageprogramme und Adware unterzuschieben. Dabei nutzten die Internetbetrüger offenbar eine an sich schon gestopfte Sicherheitslücke im Internet Explorer aus. Die gefälschte Webseite, auf die die Surfer mittels manipulierter DNS-Servers gelotst werden, prüft zunächst, welcher Browser benutzt wird. Handelt es sich um den Internet Explorer, wird versucht, dem Opfer Trojanische Pferde und Adware unterzuschieben. Diese Programme sind sowohl in der Lage, den User auszuspionieren, als auch beispielsweise Einstellungen im Internet Explorer so zu verändern, dass bei jeder Websuche die Seite der Betrüger aufgerufen wird.
Der User merkt nichts
Das Perfide an einem solchen Angriff ist erstens, dass der Internet-Explorer-User nichts davon bemerkt und sich folglich auch nicht schützen kann – es sei denn, er nutzt einen sichereren Browser wie beispielsweise Firefox. Zweitens bleiben die heimlich installierten und oft nur schwer wieder zu entfernenden Programme sowie die geänderten Browsereinstellungen auch dann erhalten, wenn der DNS-Server längst „repariert“ wurde. US-Experten schätzen, dass in den USA rund 20.000 Computer mittels manipulierter DNS-Server mit Spy- und Adware verseucht wurden. Auch die Absichten der Betrüger in den jüngst bekannt gewordenen Fällen sind bekannt. Es geht um Geld.
Klickbetrug
Den Experten, die die jüngsten DNS-Server-Angriffe untersuchten, war aufgefallen, dass die Nutzer infizierter PCs regelmäßig auf zwei ganz bestimmte Webseiten umgeleitet wurden. Diese sahen aus wie Suchmaschinenseiten, waren aber mit einer großen Zahl von Pay-per-Click-Werbelinks zugepflastert. Die Klicks wurden von der US-Internet-Marketing-Firma Findwhat.com gezählt und abgerechnet. Die Betrugsmasche lief folgendermaßen ab: Die Betrüger boten Findwhat.com ihre als Suchmaschinenseite getarnte Betrugsseite für die Schaltung von Werbelinks an. Immer wenn eine Werbeanzeige angeklickt wurde, floss Geld von der Firma, die ihre Werbung via Findwhat.com vermarkten ließ, an Findwhat.com, die einen bestimmten Prozentsatzes dieses Betrages - wie bei solchen Werbeschaltungen üblich - an die Betreiber der betrügerischen Webseiten weiterleitete. Bei Findwhat.com habe man mittlerweile gehandelt, erklärte eine Firmensprecherin. Die Accounts der Betrüger seien gelöscht, die Gelder für falsch abgerechnete Klicks den Geschädigten zurückgezahlt. Findwhat.com bestreitet im Übrigen, nähere Informationen über die Urheber der Betrügereien zu besitzen.
„Under construction“
Die DNS-Server-Angriffe dienten nicht nur dem Klickbetrug, sondern werden auch zur Verbreitung von Spionageprogrammen genutzt. Dabei führte eine Spur zu einer russischen Webseite, die auf den Servern eines ukrainischen Internetanbieters gehostet war. Der Internetprovider selbst war für die Ermittler nicht zu erreichen, auf seiner Homepage fand sich nur das Schild: „Under construction“.
Zurück zur News-Übersicht