Pharming-Angriff auf zahlreiche Router

G Data empfiehlt die Firmware aktuell zu halten und die Fernwartung zu deaktivieren

03/06/2014 | Bochum 

Cyberkriminelle haben per Pharming-Angriff die DNS-Konfiguration (Domain Name System) von zahlreichen Routern in Europa und Asien verändert. DNS-Server dient als eine Art Telefonauskunft, dabei wandelt der Dienst eine URL, die Nutzer in die Adressleiste des Browsers eingeben, in die passende IP-Adresse um. Den Kriminellen gelang es die Anfragen an den DNS-Dienst umzuleiten, indem sie die IP-Adressen bekannter Domain-Namen durch andere ersetzen.

 

Was ist Pharming?

Pharming bezeichnet eine Betrugsmethode, die auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert. Dadurch werden Internetnutzer auf gefälschte Internetseiten umgeleitet. Ein Pharmin-Angriff kann auf verschiedene Weise durchgeführt werden. Ein gängiger Angriffsvektor ist die Manipulation des System durch einen Trojaner.

 

Rund 300.000 Anfragen in zwei Wochen

Von diesen Angriffen sind Router diverser Herstellen wie D-Link, TP-Link und Zyxel betroffen. Die Geräte gehören vorwiegend der Kategorie von Geräten an, die privat oder in kleinen Unternehmen genutzt werden. Gerade in diesen Bereichen lohnen sich Angriffe, da da viele Nutzer ihre Geräte bei den Werkseinstellungen belassen und beispielsweise keine individuellen Passwörter einstellen. Rund 300.000 Anfragen wurden so innerhalb von nur zwei Wochen an die DNS-Server gesendet.

 

Umleitung auf falsche Internetseiten

Internetnutzer werden bei dieser raffinierten Methode auf falsche Webseiten weitergeleitet, um an Anmeldedaten für Online-Banking-Konten oder Mail-Adressen zu gelangen. 

 

Routereinstellungen überprüfen

Anwender sollten ihre Routereinstellungen überprüfen und gegebenenfalls ändern. Ebenso sollte der Fernzugriff deaktiviert werden. Die Firmware der Geräte sollte stets auf dem neusten Stand sein. Die Einstellungen können bei den Routern über die Konfigurationsoberfläche, die über den Internetbrowser erreichbar ist, vorgenommen werden. Weitere Informationen können auf der Seite der jeweiligen Hersteller oder aus dem Handbuch entnommen werden.

 

D-Link Router gefährdet

Tausende Geräte des Herstellers D-Link sind wegen einer Sicherheitslücke gefährdet. Die Lücke wird bereits von Cyberkriminellen genutzt. Betroffen sind Geräte des Typs DSL-321B. Besitzer des Modells der Revision Z sollten schleunigst die Firmware Version 1.0.10 auf das Gerät installieren. Nutzer können den Modellnamen auf der Unterseite ihres Geräts überprüfen.

Die Firmware ist hier erhältlich: ftp://ftp.dlink.de/dsl/dsl-321b/driver_software/DSL-321B_fw_revz_110_ALL_en_20131127.zip

D-Link will im Laufe des Tages auf seiner Internetseite weitere Information bereitstellen: http://more.dlink.de/sicherheit/router.php


Kathrin Beckert