Pharming und die Windows ‘hosts’ Datei

“Im Internet weiß niemand, dass Du ein Hund bist.”, sagt ein Hund in diesem berühmten Cartoon. Schlimmer noch: Sie wissen auch nie, welche Website von einem Hund betrieben wird. Denn es ist nur sehr schwer möglich, absolut sicherzustellen, dass zum Beispiel die Website der Bank, die Sie persönlich aufrufen, auch wirklich die Website der Bank ist.

Grund dafür ist eine systemimmanente Schwäche des Domain Name Systems (DNS). Das DNS regelt die Verbindung von Namen, die für uns menschliche Benutzer erfunden wurden, mit Internet-Adressen, mit denen die Computer im Internet umgehen können. Jedes Gerät, dass Ihnen nach einer Eingabe einer Webadresse wie www.example.com eine Website anzeigt, muss auf einen DNS-Server (oder eine interne hosts-Tabelle als Ersatz) zugreifen.

DNS funktioniert vereinfacht gesagt so: Sie geben eine Webadresse wie www.examplebank.de ein, der Browser fragt beim DNS-Server nach (besser: er sagt Windows/Mac/Linux: schau mal für mich nach), wie die IP-Adresse dieses URL lautet. Das Betriebssystem und damit der Browser erhält eine Antwort wie 192.168.2.1, ruft dort die Daten ab und zeigt anschließend den Webinhalt dieser Adresse an. Der DNS-Server kann jedoch gehackt sein: Dann erhält der Browser bei der Frage nach www.examplebank.de eine IP-Adresse wie 211.241.148.70 zurück – und lädt die dort lauernde Phishing-Site, die nur so aussieht wie eine Bank, in Wirklichkeit aber Computerkriminellen gehört.

Zugegeben: Das ist ein Riesenaufwand, denn man muß den DNS-Server eines Providers (in einer Firma: den der Firma) knacken. Viel leichter ist es, Windows (oder Macs) auszutricksen: Denn bevor Windows die Anfrage des Browser zum DNS-Server schickt, schaut es in einer eigenen Tabelle nach, ob dort vielleicht bereits eine IP-Adresse zu diesem Namen hinterlegt ist. Trojaner, Würmer, Adware und andere Malware bemühen sich daher immer häufiger, diese Tabelle zu manipulieren.

Ein Minimum an Abhilfe schafft ein Check.

Windows’ hosts-Datei prüfen

DNS-Datei hosts: Hier darf eigentlich nicht mehr stehen als das, was hier zu sehen ist.

  • Starten Sie den Editor, zum Beispiel über Start / Ausführen und die Eingabe von notepad [Enter].
  • Wechseln Sie ins Verzeichnis C:\WINDOWS\system32\drivers\etc und ziehen Sie die Datei hosts in den Editor.
  • Prüfen Sie den Inhalt.
  • Sofern Sie keine spezielle Konfiguration für Ihr Heimnetz vorgenommen haben, darf sich in der Datei nichts außer der Zeile
    127.0.0.1 localhost
    befinden (siehe Bild rechts).
  • Die Angaben hinter dem Zeichen „#“ sind jeweils wirkungslos, weil es sich um Kommentare handelt. Löschen Sie also alles bis auf 127.0.0.1 localhost.
  • Drücken Sie [Strg S], um die Datei zu speichern und schließen Sie Notepad.

Andere Möglichkeiten:

SpyBot S&D kann hosts-Dateien schützen

Das Tool SpyBot S&D kann die hosts-Datei schützen. Wählen Sie in SpyBot Modus / Erweiterter Modus. Öffnen Sie Werkzeuge / IE-Spielereien und aktivieren Sie die drei Optionen wie im Bild (aktuellere Versionen können anders aussehen).

Diese Art von Schutz läßt sich allerdings überwinden.

Paranoide überprüfen daher nach der Installation von Software und vor dem Besuch von Shop-Sites oder Online-Banking persönlich die Datei „hosts“. Hilft natürlich auch nichts, wenn der DNS-Server beim Provider kompromittiert wurde.

Besonders Paranoide prüfen daher mit verschiedenen Tools verschiedene DNS-Server im Internet und vergleichen, ob diese Server alle das gleiche Ergebnis ausspucken. Wenn sich verschiedene DNS-Server einig sind, dass www.examplebank.de die IP-Adresse soundso hat, dann ist die Wahrscheinlichkeit groß, dass es stimmt.

Mehr Infos auf

“Ich finde das sehr unbefriedigend!”

Ich auch. Doch allgemein gilt, was ich in den Tipps zum sicheren Online-Banking empfehle: Sicheres Banking findet eben NICHT online statt. Die eigentliche Ursache des Problems ist die Architektur des Internet, die aus dem dritten Viertel des letzten Jahrhunderts stammt und bei dessen Entwurf niemand davon ausgegangen war, dass es im Netz Betrüger geben könne. Diese Art von Gefahr ist erst dann beseitigt, wenn das “Future Internet” kommt. (Vielleicht.)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …