Der Man-in-the-Middle-Angriff (MitM-Angriff) ist eine bekannte Cyberattacke, die in den letzten Jahren an Relevanz gewonnen hat. geworden ist. Der Angriff ist jedoch schon seit den 1980er Jahren bekannt, er ist also eine der ältesten Arten von Cyber-Bedrohungen.
Kurz gesagt, handelt es sich bei diesem Angriff um ein Abfangen von Datenübertragungen oder einer digitaler Kommunikation. Auf diese Weise verschafft sich der Angreifer Zugang zu Daten, der eigentlich gesichert oder verschlüsselt sein sollte.
Der MitM-Angriff beinhaltet in der Regel Lauschangriffe und kann auch die Verbreitung schadhafter Daten an die vorhandenen Gesprächsteilnehmer beinhalten – wobei der Angreifer unter dem Deckmantel eines legitimen Teilnehmers agiert. Er kann sich auch als einer der legitimen Teilnehmer ausgeben, um an andere sensible Daten zu gelangen. Die Ziele von MitM-Bedrohungen können unterschiedlich sein: Die Identität einer Person zu stehlen, Geldtransfers vorzunehmen, die Anmeldedaten eines Benutzers zu ändern, sich Zugang zu den Daten von Finanzinstituten oder eCommerce-Plattformen zu verschaffen und vieles mehr.
Im folgenden Leitfaden erfahren Sie die wichtigsten Details über MitM-Angriffe und wie Sie diese für Ihren Cyberschutz abwehren können.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff kann auf eine Datenübertragung zwischen einem Webserver und einem Client sowie auf einen privaten Kommunikationsaustausch zwischen einzelnen Benutzern über eine Messaging-Plattform ausgeführt werden. Er kann auch auf Anmeldeinformationen während der Authentifizierung bei Zahlungsplattformen und in vielen anderen Fällen abzielen.
Definition eines MitM-Angriffs
Im Wesentlichen besteht ein MiTM-Angriff darin, dass sich ein Angreifer unbefugten Zugang zu Datenübertragungen verschafft, die sicher und privat sein sollten. Dies gelingt ihm, indem er sich als Relay oder Proxy in einen Standardaustausch einfügt – er zwängt sich zwischen zwei andere Parteien.
Man-in-the-Middle-Angriffe können als eine Art von Session Hijacking betrachtet werden. Sie werden oft nicht bemerkt, obwohl sie schwere Datenverluste und Schäden verursachen können.
Wie werden Man-in-the-Middle-Angriffe durchgeführt?
Verschiedene Online-Sicherheitslücken können die Ausführung eines MitM-Angriffs ermöglichen.
Die Schritte folgen in der Regel einem bestimmten Muster bzw. Angriffsverlauf, wobei der Angreifer zunächst den Datenverkehr abfängt und ihn dann unbemerkt entschlüsselt, um an wertvolle Daten zu gelangen.
Das Abfangen kann auf verschiedene Weise erfolgen. Am einfachsten ist es, ein offenes Netzwerk einzurichten, in das sich Benutzer leicht einloggen können – und dann ihren Datenaustausch zu stehlen.
Zu den aufwändigeren Abhörmethoden gehören IP-, ARP- oder DNS-Spoofing. Beim IP-Spoofing gibt der böswillige Benutzer vor, eine Anwendung zu sein, indem er die Paket-Header einer IP-Adresse ändert. Beim ARP-Spoofing werden gefälschte ARP-Nachrichten verwendet, um die MAC-Adresse des Angreifers mit der IP-Adresse des Opfers zu verbinden. Beim DNS-Spoofing, auch bekannt als DNS-Cache-Poisoning, verschafft sich der Angreifer Zugang zu einem DNS-Server und ändert den Adresseintrag einer Website.
Sobald sich der Angreifer in die Mitte eines Datenaustauschs eingeschleust hat, muss er einen verdeckten Weg finden, um die im SSL-Datenverkehr (Secure Sockets Layer) enthaltenen Informationen zu entschlüsseln. Dies kann u. a. durch Methoden wie HTTPS-Spoofing, SSL-BEAST, SSL-Hijacking und SSL-Stripping geschehen.
Arten von Man-in-the-Middle-Angriffen
Da Man-in-the-Middle-Angriffe von verschiedenen Schwachstellen ermöglicht werden können, gibt es einige Hauptarten solcher Angriffe.
Hier sind die beliebtesten MitM-Angriffe:
- Wi-Fi-Lauschangriff
- SSL-Hijacking
- SSL-Stripping
- E-Mail-Kaperung
- Diebstahl von Browser-Cookies
- Abtrünniger Zugangspunkt (Wi-Fi Ananas)
- Umleitung des Internet Control Message Protocol (ICMP)
- Spoofing des Dynamic Host Configuration Protocol (DHCP)
- HTTPS-Spoofing
- IP-Spoofing
- DNS-Spoofing
Die letzten drei in der Liste entsprechen den im vorherigen Abschnitt beschriebenen Abhörmethoden.
MitM-Angriffe können auch als aktive oder passive Angriffe kategorisiert werden. Dies bezieht sich auf die genauen Aktivitäten des Angreifers – ob er einfach einen Kommunikationskanal belauscht oder aktiv in den laufenden Austausch eingreift.
Welche Arten von Angriffen sind mit einer MitM-Schwachstelle vergleichbar?
Wie bereits erwähnt, sind Man-in-the-Middle-Angriffe eine Art von Session Hijacking. Andere Arten dieser Bedrohung sind Sniffing, Sidejacking und Evil Twin.
Sniffing bedeutet das Abfangen von Daten, die ein Gerät sendet und empfängt. Sidejacking hingegen beinhaltet den unbefugten Zugriff auf Sitzungscookies, die Anmeldedaten enthalten können, die zum Hijacking von Benutzersitzungen verwendet werden können.
Nicht zuletzt ist Evil Twin eine Art von Angriff, der auf Session Hijacking basiert, bei dem legitime Wi-Fi-Netzwerke dupliziert werden, so dass der Angreifer Zugang zu Benutzern erhält, die denken, dass sie sich in einem legitimen Netzwerk anmelden.
Praktische Beispiele für Man-in-the-Middle-Angriffe
In den weltweiten Aufzeichnungen über Cyber-Bedrohungen finden sich zahlreiche Beispiele für Man-in-the-Middle-Angriffe, die verschiedene Arten von Unternehmen, große internationale Organisationen und sogar nationale Behörden betroffen haben.
So wurde beispielsweise die Organisation für das Verbot chemischer Waffen (OPCW) 2018 Ziel eines Man-in-the-Middle-Angriffs durch russische Spione. Im Jahr 2011 wurde die niederländische Zertifizierungsstelle DigiNotar Opfer einer Sicherheitslücke, bei der gefälschte Zertifikate ausgestellt wurden, die dann für MitM-Angriffe verwendet wurden.
Leitfaden
Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.
Wie kann man MitM-Schwachstellen vorbeugen?
Für Endnutzer gibt es praktische Möglichkeiten, sich vor MitM-Angriffen zu schützen. Dazu gehören:
- Keine Anmeldung von Ihren mobilen Geräten bei Wi-Fi-Netzwerken, die nicht passwortgeschützt sind
- Abmelden von Anwendungen, wenn Sie sie nicht benutzen
- Vermeiden von öffentlichen Wi-Fi-Netzwerken
- Lesen von Browser-Benachrichtigungen über die Sicherheit der besuchten Websites
Bei Anwendungen und Websites ist es wichtig, die neuesten Updates für sichere Verbindungsprotokolle wie TLS und HTTPS zu verwenden und sich an starke Verschlüsselungs- und Überprüfungsmethoden zu halten.
Wie man einen Man-in-the-Middle-Angriff erkennt und entfernt
Das Aufspüren von MitM-Bedrohungen kann schwierig sein, da es sich oft um sehr diskrete Angriffe handelt. Das ist wahrscheinlich das Charakteristischste an den gängigen Abhör-Angriffen. Am besten verwenden Sie eine spezielle Software, um zu überwachen und festzustellen, ob jemand versucht, sich Zugang zu Ihrem Datenaustausch zu verschaffen oder dies bereits getan hat.
Wissen Sie, ob Ihre Systeme gegen Man-in-the-Middle-Angriffe geschützt sind? Die leistungsstarke Software von Crashtest Security zum Testen von Schwachstellen kann Ihnen dabei helfen, alle Schwachstellen zu überprüfen, die Sie beheben und alle Arten von Cyber-Bedrohungen verhindern können.
