94 .ch- und .li-Adressen haben Malware verteilt
Ein Vorfall, der in diesem Ausmass sehr selten ist: Angreifer haben über 750 Websites gekapert und so Schadsoftware verteilt.
Über Stunden landeten am 7. Juli die Nutzer von mehreren Hundert Websites trotz korrekter Eingabe der Internet-Adresse auf falschen Websites. Zuvor war es Angreifern mit geklauten Login-Daten gelungen, die DNS-Einträge von 751 bei der französischen Firma Gandi.net registrierten Websites zu ändern. Das Domain Name System (DNS) ist einer der wichtigsten Dienste des Internets. Die Server lösen Adressen wie Google.ch in eine IP-Adresse (172.217.16.163) auf.
Bei dem Angriff wurden die Weichen umgestellt. Statt auf der gewünschten Adresse lan- deten Nutzer auf einer manipulierten Website, die schädliche Software verteilte.
Unter den umgeleiteten Adressen waren auch 94, die auf .ch und .li endeten. Total 34 Domain-Endungen waren betroffen, wie Sophie Gironi, Sprecherin von Gandi, auf Anfrage erklärt. Eine Liste der Websites, die Malware verteilten, gibt die Firma nicht heraus. Laut Roland Eugster, Sprecher von Switch, einer Domain-Registrierungsstelle, die nichts mit dem Vorfall zu tun hatte, ist dies für die Schweiz ein Vorfall, der in diesem Ausmass bisher einzigartig ist. Sogenannte Pharming-Angriffe sind aber nicht neu. Der letzte grössere Vorfall liegt jedoch schon mehrere Jahre zurück. «Heute dominieren DDoS, Phishing und Ransomware, da Angreifer mit diesen Methoden unkomplizierter an Geld kommen», sagt der IT-Sicherheitsexperte Marc Ruef von der Zürcher Firma Scip AG.