Im Gegensatz zum Phishing, bei dem Anwender über einen Klick auf eine fiktive Bank-Website gelockt werden, wird beim Pharming die interne Routing-Tabelle verändert: Selbst wenn die Anwender die vertraute URL ihrer Bank eingeben, landen sie auf gefälschten Websites.

Über solche Sites hätte sich der Anwender in das ihm jeweils „bekannte“ Online-Banking eingeloggt und damit seine Zugangsdaten preisgegeben. Bei einem Umfang von 50 Banken und mehr als 20 beteiligten Server-Systemen muss der Angriff laut Angaben von Websense ein sehr ausgeklügelter Angriff mit monatelanger Vorbereitung gewesen sein.

Nach Ansicht der Security-Spezialisten war das Vorgehen entsprechend raffiniert. Im ersten Schritt wird beim Besuch einer Website ein Trojaner abgespeichert, der später versucht, von einem russischen Server weiteren Schadcode zu laden.

Dem ahnungslosen Anwender empfiehlt das Schadprogramm, die Firewall abzuschalten. Gleichzeitig werden die Daten in der Routing-Tabelle geändert. Versucht der infizierte Anwender beim Online-Banking sein Kreditinstitut zu erreichen, wird er auf eine gefälschte Website geleitet, selbst wenn die URL der Bank richtig eingegeben wurde. Trojaner ist fehl am Platz.

Das kriminelle Vorhaben wurde nur deshalb rechtzeitig aufgedeckt, weil der Trojaner zunächst rund 1.000 Computer in den USA und Australien infizierte. Laut eigenen Angaben beobachtet Websense weltweit 24 Millionen Internetseiten und konnte daher entsprechend früh Alarm schlagen. Australische Mitarbeiter kamen der zunächst unerklärlichen Attacke auf die Schliche.

Die gefälschten Sites waren laut Angaben von Websense 50 Online-Portalen deutscher, englischer und estländischer Banken und Bezahldienste nachempfunden. Inzwischen haben mehrere europäische Service-Provider die kriminellen Internetseiten gelöscht.

Quelle:  searchsecurity