Phishing ohne Grenzen – deshalb sollten Sie die Firmware Ihres Routers aktualisieren

30 Apr 2019

Phishing gilt noch immer als die häufigste Bedrohung im Cyberspace. Beim heutigen Router-basierten Phishing ist es allerdings nicht mehr notwendig, auf eine betrügerische E-Mail von Cyberkriminellen hereinzufallen. Tatsächlich gibt es eine Reihe von Standardregeln, die Sie vor Phishing schützen können – öffentliche WLAN-Netze vermeiden, Links vor dem Anklicken genauer unter die Lupe nehmen usw. – aber im Falle der in diesem Beitrag beschriebenen Situation, helfen selbst diese Regeln nicht weiter. Werfen wir einen Blick auf Phishing-Methoden, bei denen gehijackte Router im Fokus der Kriminellen stehen.

So werden Router gehijackt

Grundsätzlich gibt es zwei Möglichkeiten einen Router zu hijacken. Beim ersten Ansatz nutzen Kriminelle die standardmäßigen Anmeldedaten von Routern aus. Wie Sie vermutlich wissen, verfügt jeder Router über ein Administrator-Passwort – dabei handelt es sich nicht um das Kennwort, das Sie verwenden, um eine Verbindung zu Ihrem WLAN-Netzwerk herzustellen, sondern um das Kennwort, mit dem Sie sich im Administrator-Panel des Routers anmelden und dessen Einstellungen ändern können.

Obwohl Nutzer das Passwort im Handumdrehen ändern könnten (wenn sie wollten), tun viele dies nicht. Behält man allerdings das standardmäßig eingerichtete Password eines Router-Herstellers bei, können Außenstehende dieses oftmals erahnen oder in manchen Fällen sogar ganz einfach googeln.

Beim zweiten Ansatz wird eine Schwachstelle in der Firmware eines Routers ausgenutzt, mit der Hacker – ohne die Notwendigkeit eines Passworts – die vollständige Kontrolle über den Router übernehmen können.

In beiden Fällen können Kriminelle ihr Ding völlig automatisch, ferngesteuert und in einem massiven Ausmaß durchziehen. Gehijackte Router können Angreifern viele verschiedene Vorteile bieten; in diesem Beitrag möchten wir uns allerdings auf Phishing konzentrieren, das darüber hinaus noch extrem schwer zu entdecken ist.

So werden gehijackte Router für Phishing ausgenutzt

Nachdem die Kriminellen die Kontrolle über Ihren Router übernommen haben, modifizieren sie dessen Einstellungen: Sie ändern die Adresse des DNS-Servers, die der Router verwendet, um Domainnamen aufzulösen – im Grunde genommen eine winzige, kaum wahrnehmbare Veränderung. Aber was bedeutet diese Veränderung überhaupt und warum ist sie so gefährlich?

Das DNS (Domain Name System) ist der Grundbaustein des Internets. Wenn Sie eine Website-Adresse in die Adressleiste Ihres Browsers eingeben, weiß dieser genau genommen gar nicht, wie er diese finden kann, da Browser und Web-Server numerische IP-Adressen und keine Domainnamen verwenden. Der Zugriff auf eine Website läuft also folgendermaßen ab:

  1. Der Browser sendet eine Anfrage an einen DNS-Server.
  2. Der DNS-Server übersetzt die Website-Adresse in eine numerische IP-Adresse und teilt diese dem Browser mit.
  3. Der Browser kann die Website auf diese Weise finden und lädt die Seite für Sie.

All das passiert unglaublich schnell und hinter den Kulissen. Bei gehijackten Routern, deren DNS-Server-Adressen geändert wurden, werden all Ihre Anfragen an einen von den Angreifern kontrollierten bösartigen DNS-Server weitergeleitet. Anstatt die IP-Adresse der Site zurückzugeben, die Sie besuchen möchten, gibt der böswillige Server eine Fake-IP-Adresse zurück. Mit anderen Worten: Übeltäter bringen Ihren Browser – nicht Sie – dazu, anstelle der gewünschten Website eine Phishing-Seite zu laden. Das Schlimmste daran ist, dass sowohl Sie als auch Ihr Browser davon überzeugt sind, dass die Seite echt ist!

The Brazilian Job: Eine Phishing-Kampagne mit gehijackten Routern

Bei der jüngsten Welle dieser Angriffsart machten sich die Hacker Sicherheitslücken in den Routern D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech und TOTOLINK zunutze. Dabei kompromittierten die Angreifer die Geräte und änderten ihre DNS-Einstellungen. Immer wenn die Besitzer der gehijackten Router versuchten, auf ihre Online-Banking-Konten oder die Websites anderer Dienstanbieter zuzugreifen, wurden sie von den böswilligen DNS-Servern unter Kontrolle der Entführer still und heimlich auf Phishing-Seiten umgeleitet, mit deren Hilfe ihre Anmeldeinformationen entwendet werden sollten.

Bei dieser Kampagne hatten die Kriminellen hauptsächlich brasilianische Nutzer im Visier. Sie erstellten Fake-Seiten, die den authentischen Seiten brasilianischer Finanzinstitutionen, Banken, Web-Hostern und Cloud-Computing-Anbietern zum Verwechseln ähnlich sahen.

Darüber hinaus hatten es die Hijacker auch auf Nutzer einiger der beliebtesten Internetdienste, darunter PayPal, Netflix, Uber und Gmail, abgesehen.

So schützen Sie sich vor Router-basiertem Phishing

Wie wir bereits zu Beginn erwähnt haben, ist diese Art des Phishings besonders schwer aufzuspüren. Trotzdem ist die Situation nicht vollkommen aussichtslos. Wir haben einige Tipps für Sie:

  1. Loggen Sie sich in der Web-Interface Ihres Routers ein, ändern Sie das Standardpasswort und deaktivieren Sie sowohl die Remote-Verwaltung als auch andere gefährliche Einstellungen.
  2. Aktualisieren Sie die Firmware Ihres Routers regelmäßig: durch Updates werden Schwachstellen oftmals gepatcht. Einige Modelle installieren diese Aktualisierungen automatisch, während bei anderen Routern eine manuelle Installation erforderlich ist. Werfen Sie einen Blick auf die Modellinformationen Ihres Routerhersteller, um zu erfahren, wie Sie bei Ihrem Router vorgehen müssen.
  3. Selbst wenn Sie auf Ihnen bekannte Websites zugreifen, sollten Sie Ausschau nach ungewöhnlichen Details oder unerwarteten Pop-ups halten. Auch wenn das Design einer Phishing-Seite hochprofessionell zu sein scheint, ist es selbst für Kriminelle so gut wie unmöglich eine gesamte Seite mit 100%iger Genauigkeit nachzubilden.
  4. Bevor Sie Ihre Anmeldedaten (oder andere vertrauenswürdige Daten) eingeben, sollten Sie sich vergewissern, dass Ihre Verbindung sicher ist (alle URLs sollten mit „https://“ beginnen) und überprüfen, ob der Name im Zertifikat mit dem Namen der Organisation übereinstimmt. Klicken Sie dazu auf das Schlosssymbol in der Adresszeile Ihres Browsers.
  • Wenn Sie Internet Explorer oder Edge verwenden, werden Ihnen die erforderlichen Zertifikatdetails umgehend angezeigt;
  • Nutzer von Mozilla müssen zusätzlich die Schaltfläche „Verbindung“ öffnen;
  • In Chrome gelangen Sie über die Schaltflächen „Zertifikat“ > „Allgemein“ > „Ausgestellt von“ zu allen notwendingen Informationen.