Die Online-Welt ist voll von Sicherheitsbedrohungen. Eine dieser Bedrohungen ist als Man-in-the-Middle-Angriff bekannt – eine Art von Angriff, bei dem ein böser Akteur heimlich die Online-Kommunikation zwischen zwei Personen abfängt.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle (MITM)-Angriff ist eine Art Cyberattacke, bei der böse Akteure ein Gespräch zwischen einem Nutzer und einer Anwendung belauschen. MITM-Angriffe können ganz unterschiedliche Formen annehmen. Im Wesentlichen kann ein MITM-Angriff jedoch als böswilliges Abfangen von Kommunikation definiert werden. In der Regel ist das Ziel eines MITM-Angriffs, sensible Daten wie Benutzernamen, Passwörter, Kreditkartennummern, E-Mail-Adressen und andere Informationen zu stehlen, die Angreifer zu ihren Gunsten nutzen können.
Wie funktioniert ein Man-in-the-Middle-Angriff?
Ein MITM-Angriff besteht aus zwei Phasen, dem Abfangen und dem Entschlüsseln.
Abfangen
In der ersten Phase des MITM-Angriffs muss ein böser Akteur zunächst die Kommunikation abfangen. In den meisten Fällen können Hacker die Kommunikation abfangen, indem sie die Kontrolle über ein öffentliches WLAN-Netzwerk erlangen oder gefälschte WLAN-Hotspots einrichten. Sobald sich das Opfer mit einem bösartigen WLAN-Netzwerk verbindet, hat der Angreifer einen vollständigen Überblick über den gesamten Datenaustausch.
Entschlüsselung
Da der gesamte wechselseitige Online-Verkehr SSL-verschlüsselt ist, müssen böswillige Akteure diesen entschlüsseln; andernfalls bleiben die abgefangenen Daten unlesbar und sind damit wertlos. In der Entschlüsselungsphase verwenden Hacker verschiedene Techniken, um die Daten zu entschlüsseln, aber dazu später mehr.
Bekannte Man-in-the-Middle-Angriffe
Im Jahr 2013 wurde entdeckt, dass Nokias Xpress Browser HTTPS-Datenverkehr entschlüsselt und damit Klartext-Zugriff auf den verschlüsselten Datenverkehr seiner Kunden ermöglicht.
Im Jahr 2011 wurde die niederländische Zertifizierungsstelle DigiNotar Opfer von gefälschten Zertifikaten, die dazu benutzt wurden, die Sicherheitsbarrieren einer Website zu knacken, ohne dass die Kunden davon etwas mitbekamen.
Vor kurzem, am 21. September 2017, stellte Equifax fest, dass Nutzer auf eine gefälschte Phishing-Website umgeleitet wurden, ebenfalls ein Ergebnis eines MITM-Angriffs. In diesem Fall änderte der Angreifer den Domainnamen von equifaxsecurity2017.com in securityequifax2017.com.
Arten von Man-in-the-Middle-Angriffen
Böse Akteure können einen MITM-Angriff auf verschiedene Arten starten. Alle Arten von MITM-Angriffen beinhalten jedoch eine Abhör- und Entschlüsselungsphase. Hier sind ein paar Beispiele für verschiedene Arten von MITM-Angriffen.
IP-Spoofing liegt vor, wenn Cyberkriminelle die Quell-IP-Adresse einer Website oder eines Geräts ändern, um sie zu verschleiern. Dies führt dazu, dass ahnungslose Nutzer glauben, sie würden mit einer legitimen Website oder einem Gerät kommunizieren, während in Wirklichkeit alle Daten, die sie während der Interaktion teilen, von Cyberkriminellen gesammelt werden.
DNS-Spoofing ist im Grunde genommen dem IP-Spoofing sehr ähnlich. Doch anstatt die IP-Adresse zu ändern, modifizieren die Angreifer die Domainnamen, um den Verkehr auf gefälschte Websites umzuleiten. Nutzer, die eine von DNS-Spoofing betroffene Website aufrufen, denken möglicherweise, dass sie auf einer legitimen Seite gelandet sind; leider landen sie auf einer gefälschten Website, die oft dazu dient, Anmeldedaten zu stehlen.
HTTPS-Spoofing liegt vor, wenn Cyberkriminelle eine Website einrichten, die ein gefälschtes Zertifikat an den Browser des potenziellen Opfers sendet, um eine gefälschte sichere Verbindung herzustellen. Auf diese Weise können die Angreifer alle Daten sammeln, die der betroffene Nutzer auf der gefälschten Website eingibt.
SSL-Hijacking ist eine Technik, bei der böse Akteure dem Nutzer und der Anwendung gleichzeitig mit dem TCP-Handshake falsche Authentifizierungsschlüssel unterjubeln. Auf den ersten Blick mag das wie eine sichere Verbindung aussehen. Leider ist es in Wirklichkeit so, dass der Angreifer die volle Kontrolle über die gesamte Sitzung und den gesamten Datenfluss hat.
E-Mail-Hijacking liegt vor, wenn die Angreifer die Kontrolle über das E-Mail-Konto eines legitimen Unternehmens erlangen und es für Finanzbetrug oder sogar Identitätsdiebstahl nutzen.
WLAN-Lauschangriffe sind wahrscheinlich die häufigste Art von MITM-Angriffen. Beim WLAN-Lauschangriff übernehmen Angreifer die Kontrolle über öffentliche WLAN-Hotspots oder erstellen gefälschte öffentliche WLAN-Netzwerke, mit denen sich potenzielle Opfer verbinden.
Session-Hijacking ist im Wesentlichen das, was man als Cookie-Diebstahl bezeichnen würde. Bei Session-Hijacking verschaffen sich böse Akteure Zugang zu deinen Cookies und nutzen sie dann, um sensible Daten zu stehlen. Wie du vielleicht weißt, speichern Cookies einige der wichtigsten Informationen, wie zum Beispiel deine Login- und persönlichen Daten.
Wie man einen Man-in-the-Middle-Angriff erkennt
Einen Man-in-the-Middle-Angriff zu erkennen, kann eine Herausforderung sein. Wenn du deine Kommunikation nicht aktiv überwachst, kann ein MITM-Angriff unerkannt bleiben, bis es zu spät ist. Wenn du bösartigen Akteuren einen Schritt voraus sein willst, ist es wichtig, dass du die richtigen Maßnahmen für die Kommunikationssicherheit ergreifst. Wenn du dir über deine Surfgewohnheiten im Klaren bist und mögliche Gefahrenstellen kennst, kannst du ein sicheres Netzwerk aufbauen.
Eines der offensichtlichen Anzeichen für einen Man-in-the-Middle-Angriff ist die unerwartete und oft wiederholte Unterbrechung eines bestimmten Dienstes oder einer Website. Die Angreifer unterbrechen Nutzersitzungen, um die Verbindung abzufangen und Daten zu sammeln, was der wahrscheinliche Grund für die Störungen ist.
Ein weiteres Anzeichen für einen MITM-Angriff sind verdächtige oder anderweitig unerkennbare URLs. Du könntest zum Beispiel feststellen, dass dein Browser statt google.com versucht, g00glee.com zu laden.
Wenn du den Verdacht hast, dass du Opfer eines MITM-Angriffs geworden bist, solltest du deine Verbindung zum Internet beenden. Da die Angreifer deine sensiblen Daten wie Benutzernamen und Logins in die Hände bekommen haben könnten, empfehlen wir dringend, die Passwörter deiner Online-Konten zu ändern, um weiteren Schaden zu verhindern. Das kannst du schnell und einfach mit Hilfe von Passwort-Generator tun – einem Tool, mit dem du unterwegs starke und einzigartige Passwörter erstellen kannst.
Wie man sich vor Man-in-the-Middle-Angriffen schützt
Vermeide die Nutzung von öffentlichem WLAN
Öffentliche WLAN-Hotspots sind von Natur aus gefährlicher als dein heimisches WLAN-Netzwerk, da sie oft nicht über die notwendigen Sicherheitsmaßnahmen verfügen, um eine sichere Verbindung zu gewährleisten. Wenn du auf die Nutzung öffentlicher WLAN-Netzwerke verzichtest, kannst du das Risiko, Opfer eines MITM-Angriffs zu werden, erheblich verringern.
Nutze VPN für eine sichere Verbindung
Der Einsatz eines VPNs kann Man-in-the-Middle-Angriffe verhindern. Ein VPN schafft eine zusätzliche Sicherheitsebene, die deine Daten verschlüsselt und damit eisenfest gegen Angriffe macht.
Achte auf Browser-Benachrichtigungen, die eine unsichere Website melden
Die heutigen Webbrowser sind in puncto Sicherheit sehr versiert. Die meisten modernen Browser geben Warnungen aus, wenn du eine Website mit fragwürdigen Sicherheitsstandards aufrufen willst. Besuche nur Websites, die in der URL-Leiste „HTTPS“ und nicht nur „HTTP“ angeben. „HTTPS“ bedeutet, dass die Website sicher ist.
Vermeide Phishing-E-Mails
Phishing-Betrug ist heutzutage weit verbreitet. Cyberkriminelle nutzen Phishing-Angriffe, um Nutzer dazu zu bringen, bösartige Dateien herunterzuladen und ihre vertraulichen Daten preiszugeben. In der Regel geben sich Phishing-Nachrichten als seriöse Absender aus, um die Nutzer zu täuschen, damit sie auf die Nachrichten reagieren. Bleib wachsam, wenn du eine verdächtige E-Mail bemerkst. Mehr über Phishing im Allgemeinen und wie du solche Betrügereien erkennst, erfährst du in unserem vorherigen Blog-Eintrag.