{"id":19078,"date":"2019-04-30T08:39:52","date_gmt":"2019-04-30T06:39:52","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19078"},"modified":"2019-11-22T12:06:47","modified_gmt":"2019-11-22T10:06:47","slug":"hacked-routers-dns-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hacked-routers-dns-hijacking\/19078\/","title":{"rendered":"Phishing ohne Grenzen \u2013 deshalb sollten Sie die Firmware Ihres Routers aktualisieren"},"content":{"rendered":"

Phishing<\/a> gilt noch immer als die h\u00e4ufigste Bedrohung im Cyberspace. Beim heutigen Router-basierten Phishing ist es allerdings nicht mehr notwendig, auf eine betr\u00fcgerische E-Mail von Cyberkriminellen hereinzufallen. Tats\u00e4chlich gibt es eine Reihe von Standardregeln<\/a>, die Sie vor Phishing sch\u00fctzen k\u00f6nnen \u2013 \u00f6ffentliche WLAN-Netze vermeiden, Links vor dem Anklicken genauer unter die Lupe nehmen usw. \u2013 aber im Falle der in diesem Beitrag beschriebenen Situation, helfen selbst diese Regeln nicht weiter. Werfen wir einen Blick auf Phishing-Methoden, bei denen gehijackte Router im Fokus der Kriminellen stehen.<\/p>\n

So werden Router gehijackt<\/h2>\n

Grunds\u00e4tzlich gibt es zwei M\u00f6glichkeiten einen Router zu hijacken. Beim ersten Ansatz nutzen Kriminelle die standardm\u00e4\u00dfigen Anmeldedaten von Routern aus. Wie Sie vermutlich wissen, verf\u00fcgt jeder Router \u00fcber ein Administrator-Passwort \u2013 dabei handelt es sich nicht um das Kennwort, das Sie verwenden, um eine Verbindung zu Ihrem WLAN-Netzwerk herzustellen, sondern um das Kennwort, mit dem Sie sich im Administrator-Panel des Routers anmelden und dessen Einstellungen \u00e4ndern k\u00f6nnen.<\/p>\n

Obwohl Nutzer das Passwort im Handumdrehen \u00e4ndern k\u00f6nnten (wenn sie wollten), tun viele dies nicht. Beh\u00e4lt man allerdings das standardm\u00e4\u00dfig eingerichtete Password eines Router-Herstellers bei, k\u00f6nnen Au\u00dfenstehende dieses oftmals erahnen oder in manchen F\u00e4llen sogar ganz einfach googeln.<\/p>\n

Beim zweiten Ansatz wird eine Schwachstelle in der Firmware eines Routers ausgenutzt, mit der Hacker \u2013 ohne die Notwendigkeit eines Passworts \u2013 die vollst\u00e4ndige Kontrolle \u00fcber den Router \u00fcbernehmen k\u00f6nnen.<\/p>\n

In beiden F\u00e4llen k\u00f6nnen Kriminelle ihr Ding v\u00f6llig automatisch, ferngesteuert und in einem massiven Ausma\u00df durchziehen. Gehijackte Router k\u00f6nnen Angreifern viele verschiedene Vorteile bieten; in diesem Beitrag m\u00f6chten wir uns allerdings auf Phishing konzentrieren, das dar\u00fcber hinaus noch extrem schwer zu entdecken ist.<\/p>\n

So werden gehijackte Router f\u00fcr Phishing ausgenutzt<\/h3>\n

Nachdem die Kriminellen die Kontrolle \u00fcber Ihren Router \u00fcbernommen haben, modifizieren sie dessen Einstellungen: Sie \u00e4ndern die Adresse des DNS-Servers, die der Router verwendet, um Domainnamen aufzul\u00f6sen \u2013 im Grunde genommen eine winzige, kaum wahrnehmbare Ver\u00e4nderung. Aber was bedeutet diese Ver\u00e4nderung \u00fcberhaupt und warum ist sie so gef\u00e4hrlich?<\/p>\n

Das DNS (Domain Name System) ist der Grundbaustein des Internets. Wenn Sie eine Website-Adresse in die Adressleiste Ihres Browsers eingeben, wei\u00df dieser genau genommen gar nicht, wie er diese finden kann, da Browser und Web-Server numerische IP-Adressen und keine Domainnamen verwenden. Der Zugriff auf eine Website l\u00e4uft also folgenderma\u00dfen ab:<\/p>\n

    \n
  1. Der Browser sendet eine Anfrage an einen DNS-Server.<\/li>\n
  2. Der DNS-Server \u00fcbersetzt die Website-Adresse in eine numerische IP-Adresse und teilt diese dem Browser mit.<\/li>\n
  3. Der Browser kann die Website auf diese Weise finden und l\u00e4dt die Seite f\u00fcr Sie.<\/li>\n<\/ol>\n

    All das passiert unglaublich schnell und hinter den Kulissen. Bei gehijackten Routern, deren DNS-Server-Adressen ge\u00e4ndert wurden, werden all Ihre Anfragen an einen von den Angreifern kontrollierten b\u00f6sartigen DNS-Server weitergeleitet. Anstatt die IP-Adresse der Site zur\u00fcckzugeben, die Sie besuchen m\u00f6chten, gibt der b\u00f6swillige Server eine Fake-IP-Adresse zur\u00fcck. Mit anderen Worten: \u00dcbelt\u00e4ter bringen Ihren Browser \u2013 nicht Sie \u2013 dazu, anstelle der gew\u00fcnschten Website eine Phishing-Seite zu laden. Das Schlimmste daran ist, dass sowohl Sie als auch Ihr Browser davon \u00fcberzeugt sind, dass die Seite echt ist!<\/p>\n

    The Brazilian Job: Eine Phishing-Kampagne mit gehijackten Routern<\/h3>\n

    Bei der j\u00fcngsten Welle<\/a> dieser Angriffsart machten sich die Hacker Sicherheitsl\u00fccken in den Routern D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech und TOTOLINK zunutze. Dabei kompromittierten die Angreifer die Ger\u00e4te und \u00e4nderten ihre DNS-Einstellungen. Immer wenn die Besitzer der gehijackten Router versuchten, auf ihre Online-Banking-Konten oder die Websites anderer Dienstanbieter zuzugreifen, wurden sie von den b\u00f6swilligen DNS-Servern unter Kontrolle der Entf\u00fchrer still und heimlich auf Phishing-Seiten umgeleitet, mit deren Hilfe ihre Anmeldeinformationen entwendet werden sollten.<\/p>\n

    Bei dieser Kampagne hatten die Kriminellen haupts\u00e4chlich brasilianische Nutzer im Visier. Sie erstellten Fake-Seiten, die den authentischen Seiten brasilianischer Finanzinstitutionen, Banken, Web-Hostern und Cloud-Computing-Anbietern zum Verwechseln \u00e4hnlich sahen.<\/p>\n

    Dar\u00fcber hinaus hatten es die Hijacker auch auf Nutzer einiger der beliebtesten Internetdienste, darunter PayPal, Netflix, Uber und Gmail, abgesehen.<\/p>\n

    So sch\u00fctzen Sie sich vor Router-basiertem Phishing<\/h3>\n

    Wie wir bereits zu Beginn erw\u00e4hnt haben, ist diese Art des Phishings besonders schwer aufzusp\u00fcren. Trotzdem ist die Situation nicht vollkommen aussichtslos. Wir haben einige Tipps f\u00fcr Sie:<\/p>\n

      \n
    1. Loggen Sie sich in der Web-Interface Ihres Routers ein, \u00e4ndern Sie das Standardpasswort und deaktivieren Sie sowohl die Remote-Verwaltung als auch andere gef\u00e4hrliche Einstellungen<\/a>.<\/li>\n
    2. Aktualisieren Sie die Firmware Ihres Routers regelm\u00e4\u00dfig: durch Updates werden Schwachstellen oftmals gepatcht. Einige Modelle installieren diese Aktualisierungen automatisch, w\u00e4hrend bei anderen Routern eine manuelle Installation erforderlich ist. Werfen Sie einen Blick auf die Modellinformationen Ihres Routerhersteller, um zu erfahren, wie Sie bei Ihrem Router vorgehen m\u00fcssen.<\/li>\n
    3. Selbst wenn Sie auf Ihnen bekannte Websites zugreifen, sollten Sie Ausschau nach ungew\u00f6hnlichen Details oder unerwarteten Pop-ups halten. Auch wenn das Design einer Phishing-Seite hochprofessionell zu sein scheint, ist es selbst f\u00fcr Kriminelle so gut wie unm\u00f6glich eine gesamte Seite mit 100%iger Genauigkeit nachzubilden.<\/li>\n
    4. Bevor Sie Ihre Anmeldedaten (oder andere vertrauensw\u00fcrdige Daten) eingeben, sollten Sie sich vergewissern, dass Ihre Verbindung sicher ist (alle URLs sollten mit \u201ehttps:\/\/<\/a>\u201c beginnen) und \u00fcberpr\u00fcfen, ob der Name im Zertifikat mit dem Namen der Organisation \u00fcbereinstimmt. Klicken Sie dazu auf das Schlosssymbol in der Adresszeile Ihres Browsers.<\/li>\n<\/ol>\n
        \n
      • Wenn Sie Internet Explorer oder Edge verwenden, werden Ihnen die erforderlichen Zertifikatdetails umgehend angezeigt;<\/li>\n
      • Nutzer von Mozilla m\u00fcssen zus\u00e4tzlich die Schaltfl\u00e4che \u201eVerbindung\u201c \u00f6ffnen;<\/li>\n
      • In Chrome gelangen Sie \u00fcber die Schaltfl\u00e4chen \u201eZertifikat\u201c > \u201eAllgemein\u201c > \u201eAusgestellt von\u201c zu allen notwendingen Informationen.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"

        Cyberkriminelle hijacken Router, um an die Anmeldedaten von Nutzern zu gelangen.<\/p>\n","protected":false},"author":2508,"featured_media":19081,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[2980,223,125,53,380,81],"class_list":{"0":"post-19078","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-dns-hijacking","10":"tag-online-banking","11":"tag-passworter","12":"tag-phishing","13":"tag-router","14":"tag-wlan"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacked-routers-dns-hijacking\/19078\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacked-routers-dns-hijacking\/15685\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/13221\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/17599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacked-routers-dns-hijacking\/15745\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/14424\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacked-routers-dns-hijacking\/18340\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacked-routers-dns-hijacking\/17220\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacked-routers-dns-hijacking\/22671\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacked-routers-dns-hijacking\/5942\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/26802\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacked-routers-dns-hijacking\/12082\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacked-routers-dns-hijacking\/11758\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacked-routers-dns-hijacking\/10657\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacked-routers-dns-hijacking\/23100\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacked-routers-dns-hijacking\/18323\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacked-routers-dns-hijacking\/22526\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacked-routers-dns-hijacking\/22463\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19078"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19078\/revisions"}],"predecessor-version":[{"id":20851,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19078\/revisions\/20851"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19081"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}