Man-in-the-Middle: Der fiese Lauschangriff!
Auf der dunklen Flanke des Internets hat sich ein blühender Schwarzhandel rund um geklaute Identitätsdaten etabliert. Mit dem Ziel, in den Besitz jener gefragten Informationen zu kommen, werden unterschiedliche Angriffstechniken eingesetzt. Eine beliebte und zeitgleich gewinnversprechende Strategie ist die Man-in-the-Middle-Attacke. Was sich genau dahinter verbirgt und wie Sie sich und ein Unternehmen vor diesen schützen können, verkünden wir Ihnen in den folgenden Kapiteln.
Digitale Identitätsdaten liegen bei Internetkriminellen äußerst hoch im Fokus der Begierde – enteder um diese auf den illegalen Plattformen im Darknet zu veräußern, oder mit dem Ziel diese für die eigenen betrügerischen Finessen zu nutzen. Kein Zufall demzufolge, dass immer mehr Bedrohungsakteure ihnen mit riesigem Aufwand – und in einigen Fällen sogar in großer Manier nachjagen.
Just in den letzten Jahren wurden zum Beispiel im Zuge einer Reihe großangelegter Internetangriffe auf namhafte Betriebe mehrere Millionen Identitätsdaten gewonnen sowie preisgegeben. Unter diesen unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz und Lufthansa.
Um in den Besitzstand dieser gefragten Daten zu gelangen, greifen Bedrohungsakteure auf das Repertoire moderner, aber auch althergebrachter Angriffsmethoden zurück, beispielsweise den Man-in-the-Middle, ebenfalls namhaft als Janusangriff sowie Mittelsmannangriff.
Wie funktioniert ein Man-in-the-Middle-Angriff?
Bei Man-in-the-Middle dreht es sich um eine Angriffsstrategie, bei welcher der Bedrohungsakteur heimlich die Datenkommunikation zweier oder mehrerer Kommunikationspartner infiltriert. Dabei führt er sich in eine Stellung, bei der jeder Datenverkehr über seine eigenen Systeme navigiert wird, wodurch er in der Position ist, wertvolle Identitätsdaten abzufangen, mitzulesen oder etwa gar zu manipulieren.
Damit die Man-in-the-Middle-Attacke gelingt, ist es wichtig, dass ebenjener Bedrohungsakteur unentdeckt bleibt. Zu diesem Zweck platziert er sich oder eine schädliche Software erstmal zwischen das Opfer sowie jene Internetressource, die von dessen Opfer genutzt wird, wie zum Beispiel dem E-Mail-Konto. Anschließend gibt dieser sich gegenüber dem Opfer oder seiner Ressource als der tatsächliche Kommunikationspartner aus.
Durch die Positionierung ist sein Bedrohungsakteur in der Stellung, jegliche Datenkommunikation zwischen seinem Opfer und der Internetressource zu begutachten und zu seinen Gunsten zu manipulieren, mit dem Ziel, noch mehr verbotene Vorgänge zu beginnen, beispielsweise das Fälschen von Handelstransaktionen oder das Entwenden von geistigem Besitz.
Ein Mann mit tausend Gesichtern!
Im Verlauf der letzten Jahre haben diese Bedrohungsakteure diverse Möglichkeiten für Man-in-the-Middle-Attacken erschaffen. Je nach Anwendungsfall kommen verschiedene Angriffsvarianten und Angriffsmethoden zum Einsatz. Am häufigsten sind:
Evil-Hotspot/ Rogue Access Point: Bei dieser Angriffstechnik richten Bedrohungsakteure einen WLAN-Zugangspunkt, das heißt Hotspot, in einem publiken WLAN-Netz ein, mit dem Ziel, in der Nähe angesiedelte Endgeräte dafür zu verleiten, ihrer Domäne beizutreten. Verbindet sich ein Angestellter mit dem vermeintlichen öffentlichen WLAN, sind die Bedrohungsakteure in der Position sämtliche Datenkommunikation einzusehen sowie zu manipulieren.
Ausnutzung von Schwachstellen eines WLAN-Routers: Bei dieser Angriffsmethode nutzen ebendiese Bedrohungsakteure eine schwache Seite in einem „echten“ Router aus, um die Datenkommunikation zwischen diesem Router und einem Benutzer „abzuhören“. Im Gegensatz zum Evil-Hotspot verspricht die Verfahrensweise einen besseren Gewinn, da über einen längeren Zeitabstand eine größere Menge wertvoller Identitätsdaten ausgelesen werden können.
Man-in-the-Browser-Attacke: Bei der Angriffsvariante wird Malware im Browser eines Internetnutzers oder Mitarbeiter angebracht. Diese Angriffsmethode gelingt am besten, sobald die genutzte Software des betroffenen Rechners nicht auf dem aktuellsten Stand wäre und dementsprechend Sicherheitslücken zeigt. Außerdem werden bei dieser Angriffsform Browser-Plug-Ins eingesetzt, da sie jene Datenkommunikation zwischen dem infiltrierten Nutzer und den besuchten Internetseiten speichert.
DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Attacken geben sich Bedrohungsakteure im Rahmen eines LANs als DHCP-Server aus. Auf diese Weise können diese die Vergabe von IP-Adressen steuern, verschiedene Standardgateways und DNS-Server einpflegen und auf diese Weise die Datenkommunikation auf die eigenen Systeme umleiten, um diese abzuhören oder etwa zu manipulieren. Dies nennt man auch DHCP-Spoofing. Grundlegend für den Triumph des Angriffs ist es, dass sich ebenjener Bedrohungsakteur im gleichen LAN aufhält, wie dessen Angriffsziel.
ARP-Cache-Poisoning: Bei der Angriffsmethode setzen Bedrohungsakteure an der Zuteilung von einer MAC-Adresse zu einer lokalen IP an. Dazu faken diese die ARP-Tabellen, um einen Rechner als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing gelungen, können Bedrohungsakteure den gesamten ausgehenden Datenverkehr mitlesen oder auch aufzeichnen, ehe jener an das echte Gateway geleitet wird. Selbst hier ist es für den Erfolg der Attacke grundlegend, dass sich Bedrohungsakteur und das Opfer im gleichen Netz befinden.
DNS-basierte Angriffe: Bei der DNS-basierten Man-in-the-Middle-Attacke, werden vorhandene Eintragungen im Cachespeicher eines DNS-Servers verfälscht. Absicht hier ist es, dass der DNS-Server mit falschen, definierten Zieladressen reagiert. Auf diese Weise kann ein Opfer unauffällig auf eine beliebige, möglicherweise manipulierte Homepage geleitet werden. Erfolgreich ist ein solcher Angriff durch ein Missbrauchen von Sicherheitslücken älterer DNS-Server.
Best Practices zur Verhinderung von Man-in-the-Middle-Angriffen!
Etwas vorab: Ganz ohne die geeigneten Schritte sollte es schwierig sein, Man-in-the-Middle-Attacken zu entdecken. In vielen Situationen fällt für eine geraume Zeit nicht einmal auf, dass die Datenkommunikation mitverfolgt wird, sofern keine offenkundige Täuschung äußerst präsenter Nachrichteninhalte stattfindet. Deshalb werden Man-in-the-Middle-Angriffe erst bemerkt, wenn es zu spät ist.
Da Man-in-the-Middle-Attacken enorme Probleme anrichten können, sollten diese im Otimalfall von Anfang an vermieden oder aber abgewehrt werden. Ein zuverlässiger Schutz lässt sich hier bloß durch eine Kombination verschiedener IT-Schutzmaßnahmen erzielen.
Dazu zählen zum Beispiel:
• starke WEP/WPA-Verschlüsselung auf diesen Zugriffspunkten
• sichere Verschlüsselung und Anmeldeinformationen auf Ihren Routern
• die Verwendung von digitalen privaten Netzwerken
• die Verwendung von HTTPS als Kommunikationsprotokoll beziehungsweise die Verschlüsselung mit SSL / TLS
• die Identitätsüberprüfung mittels mehrerer Aspekte
• die Nutzung starker Passwörter
• die Anwendung nicht sicherer LAN- und WLAN-Verbindungen meiden
• Systeme, Tools, Software und Browser stets auf dem brandaktuellen Stand haben
• bekannte Sicherheitslücken schließen
• gängige Strategien gegen Phishing beachten
Lassen Sie niemanden in die Mitte geraten!
Identitätsdiebstahl und Identitätsmissbrauch kann heute jeden treffen! Aber mit ein wenig Vorsicht und den entsprechenden Schutzmaßnahmen sollten Internetangriffe wie beispielsweise Man-in-the-Middle im Voraus unterbunden und abgewehrt werden.
Wollen auch Sie Ihre digitalen Identitäten wie auch geschäftskritischen Assets mit den bewährtesten Praktiken vor raffinierten Man-in-the-Middle-Attacken schützen? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns gerne!
Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de