Drive-by-Pharming

Mit Drive-by-Pharming wird ein Angriff auf Heim-Router bezeichnet. Durch eine Kombination von JavaScript und Java-Applets kann ein Zugriff auf die Webschnittstelle eines einzelnen Routers erfolgen, sobald ein Anwender auf solch eine präparierte Seite zugreift. Dadurch erfolgt eine Änderung des DNS-Servers im Router und somit ist es möglich, den Anwender auf eine betrügerische Seite zu lotsen. Es handelt sich dabei um eine Variante des Pharmings, welches wiederum eine Weiterentwicklung des Phishings ist.

Das Drive-by-Pharming funktioniert nur, wenn der Anwender das Standardpasswort des Routers nicht geändert hat. Die Veränderung wird erst bemerkt, wenn der Anwender auf die Webschnittstelle des Routers zugreift, Veränderungen z. B. der Homepage seiner Bank wahrnimmt oder Veränderungen im Router vornimmt. Als Schutzmaßnahme reicht es, dass der Besitzer des Routers das Default-Passwort des Routers ändert und ein sicheres Passwort verwendet. Eine weitere Möglichkeit ist, das Ausführen von JavaScript im Browser mit Zusatzprogrammen wie NoScript zu unterbinden und im Bedarfsfall nur selektiv freizugeben: Das pauschale Unterdrücken von JavaScript unterbindet zwar die vollständige Funktionalität eines Großteils von Internetseiten, viele davon lassen sich trotzdem in hinreichendem Umfang anzeigen.

Weblinks

• Gefahr für Heim-Router bei Heise.de
• Drive-by-Pharming im Weblog von Symantec (englisch)
• XSLSA: Angriffe auf SOHO-Router (PDF, 660 kB) bei www.yanux.ch