Im November 2008 hat der Cyberfahnder über die Nummerntricks referiert und dabei auch auf das serverbasierte DNS-Poisoning hingewiesen, bei dem Host-Tabellen (und Datenbanken) "umgebogen" werden, die der erleichterten und schnellen Auflösung von DNS- zu IP-Adressen dienen.

Aktuelle Angriffe mit dieser Methode werden jetzt von bestätigt (1). Die neueste Masche ist ... die Installation eines Treibers, der sich im lokalen Netzwerk als DHCP-Server bekannt macht. So zieht er DNS-Anfragen lokaler Client-PCs auf sich und leitet sie um.

DHCP-Server (2) erleichtern die Adressierung nach dem Interprotokoll in örtlichen Netzen, indem sie die nummerischen Adressen dynamisch vergeben und die Feinarbeit bei Netzwerkänderungen ersparen.
 

 
Die aktuellen Varianten der Malware greifen DSL-Server an und führen die Anwender unbemerkt zu manipulierten Webseiten, indem sie Host-Adressierung vom DSL-Router auf den vorgegaukelten DHCP-Server im lokalen Netz zu externen DNS-Servern umleiten. Diese Nameserver stehen unter der Kontrolle der Online-Kriminellen und liefern auf Anfrage falsche IP-Adressen. So landen die Aufrufe der Bank-Website auch wieder bei einem Web-Server der Betrüger. Das funktioniert völlig unabhängig vom Betriebssystem der Rechner im Netzwerk ...

Was habe ich gesagt?

	Es macht nicht immer Spaß, Recht zu behalten.
	Auch die alten, vergangen geglaubten Tricks verdienen es, in Erinnerung zu bleiben. Sie können immer wieder in neuer Gestalt auftreten.

(1) Malware ändert DNS-Einstellungen im LAN. DNSchanger wieder unterwegs, tecchannel 09.12.2008;
Trojaner mit eingebautem DHCP-Server, Heise online 09.12.2008

(2) Dynamic Host Configuration Protocol - DHCP