Man-in-the-Middle-Attacke: Die unsichtbare Bedrohung!
Auf der düsteren Seite des World Wide Web hat sich ein florierender Schwarzhandel um geklaute Identitätsdaten etabliert. Mit dem Ziel, in den Besitz jener gefragten Infos zu kommen, werden verschiedene Angriffstechniken eingesetzt. Eine beliebte und zugleich gewinnversprechende Angriffsstrategie ist die Man-in-the-Middle-Attacke. Was sich genau dahinter verbirgt und wie Sie sich und ein Unternehmen vor diesen absichern können, verraten wir Ihnen in den nachfolgenden Abschnitten.
Digitale Identitätsdaten liegen bei Internetkriminellen äußerst hoch im Fokus der Begierde – sei es, um diese auf den illegalen Schwarzmärkten im dunklen Netz zu verkaufen, oder um diese für die alleinigen betrügerischen Finessen zu nutzen. Kein Zufall demzufolge, dass immer mehr Bedrohungsakteure ihnen mit großen Mühen – und in manchen Umständen sogar in großer Manier nachjagen.
Just in den vergangenen Jahren wurden zum Beispiel im Rahmen einer Reihe großangelegter Internetangriffe auf namenhafte Betriebe etliche Millionen Identitätsdaten erbeutet sowie preisgegeben. Darunter unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz sowie Lufthansa.
Um in den Besitzstand jener begehrten Daten zu gelangen, greifen Bedrohungsakteure auf ein Repertoire neuer, allerdings auch älterer Angriffsmethoden zurück wie Man-in-the-Middle, auch bekannt als Janusangriff sowie Mittelsmannangriff.
Wie laufen Man-in-the-Middle-Angriffe ab?
Bei Man-in-the-Middle dreht es sich um eine Angriffsstrategie, bei welcher der Bedrohungsakteur heimlich die Datenkommunikation zweier oder auch mehrerer Kommunikationsbeteiligter infiltriert. Im Zuge dessen führt er sich in eine Position, bei der jeglicher Datentraffic über seine eigenen Systeme geschleust wird, weshalb er in der Lage ist, exklusive Identitätsdaten abzufangen, zu lesen oder gar zu verfälschen.
Damit eine Man-in-the-Middle-Attacke gelingt, ist es relevant, dass ebenjener Bedrohungsakteur unentdeckt verweilt. Hierzu positioniert er sich oder aber eine gefährliche Software erstmal zwischen sein Opfer sowie die Internetressource, welche von dessen Opfer verwendet wird, wie zum Beispiel dem E-Mail-Account. Anschließend gibt dieser sich bei seinem Opfer oder der Ressource als der tatsächliche Kommunikationspartner aus.
Durch diese Platzierung ist sein Bedrohungsakteur in der Lage, jegliche Datenkommunikation zwischen dem Opfer sowie der Internetressource zu begutachten sowie zu den eigenen Gunsten zu manipulieren, um weitere verbotene Vorgänge zu beginnen, beispielsweise das Fälschen von Handelstransaktionen oder das Entwenden von geistigem Eigentum.
MITM-Attacken: Varianten. Varianten des Man-in-the-Middle-Angriffs
Im Verlauf der Jahre haben die Bedrohungsakteure diverse Optionen für Man-in-the-Middle-Attacken erschaffen. Abhängig vom Anwendungsbereich kommen unterschiedliche Angriffsvarianten und Angriffsmethoden zum Einsatz. Am häufigsten sind:
Evil-Hotspot/ Rogue Access Point: Bei dieser Angriffstechnik richten Bedrohungsakteure einen WLAN-Zugangspunkt, sprich Hotspot, in einem öffentlichen WLAN-Netzwerk ein, um in der Umgebung angesiedelte Endgeräte dazu zu verleiten, deren Domäne beizutreten. Verknüpft sich ein Angestellter mit dem vermeintlichen öffentlichen WLAN, sind jene Bedrohungsakteure in der Lage jegliche Datenkommunikation zu begutachten sowie zu manipulieren.
Ausnutzung von Schwachstellen eines WLAN-Routers: Bei der Angriffsmethode nutzen die Bedrohungsakteure solch eine schwache Seite in dem „echten“ Router aus, mit dem Ziel, die Datenkommunikation von diesem Router und einem Nutzer „abzuhören“. Im Gegensatz zum Evil-Hotspot verspricht diese Methode einen besseren Gewinn, weil über einen größeren Zeitraum eine größere Menge kostbarer Identitätsdaten ausgelesen werden könnten.
Man-in-the-Browser-Attacke: Bei der Angriffstechnik wird Schadsoftware im Browser eines Internetnutzers oder Mitarbeiter installiert. Diese Angriffsversion gelingt am besten, sobald diese genutzte Software des betroffenen Rechners auf keinen Fall auf dem neuesten Level wäre und dementsprechend Sicherheitslücken aufweist. Außerdem werden bei dieser Angriffsform Browser-Plug-Ins genutzt, weil sie die Datenkommunikation von dem infiltrierten Nutzer und den besuchten Internetseiten speichert.
DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich die Bedrohungsakteure innerhalb eines LANs als DHCP-Server aus. Auf diese Weise können sie die Vergabe von IP-Adressen steuern, beliebige Standardgateways sowie DNS-Server einpflegen und so die Datenkommunikation auf ihre Systeme umleiten, mit dem Ziel, diese abzuhören oder etwa zu manipulieren. Das nennt man auch DHCP-Spoofing. Grundlegend für den Triumph dieses Angriffs ist es, dass sich ebenjener Bedrohungsakteur im selben LAN befindet, wie dessen Angriffsziel.
ARP-Cache-Poisoning: Bei der Angriffsversion setzen Bedrohungsakteure an der Zuteilung von der MAC-Adresse zur lokalen IP an. Hierzu faken sie die ARP-Tabellen, mit dem Ziel, den Rechner als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing erfolgreich, können Bedrohungsakteure den kompletten ausgehenden Datentraffic mitlesen oder aufnehmen, bevor jener an das echte Gateway weitergeleitet wird. Auch hier ist es für den Triumph des Angriffs grundlegend, dass sich Bedrohungsakteur und Opfer im selben Netzwerk aufhalten.
DNS-basierte Angriffe: Bei einer DNS-basierten Man-in-the-Middle-Attacke, werden vorhandene Einträge im Cache des DNS-Servers verfälscht. Absicht hier sei es, dass der DNS-Server mit fehlerhaften, vorgegebenen Zieladressen antwortet. So kann das Opfer unauffällig auf eine willkürliche, möglicherweise manipulierte Homepage umgeleitet werden. Erfolgreich ist ein solcher Angriff durch das Ausnutzen von Sicherheitslücken älterer DNS-Server.
Wie kann man sich vor Man-in-the-Middle-Attacken schützen?
Etwas vorweg: Ohne die geeigneten Maßnahmen kann es schwierig sein, Man-in-the-Middle-Attacken zu erkennen. In vielen Fällen kommt für eine lange Dauer nicht mal auf, dass die Datenkommunikation mitverfolgt wird, sofern keine offenkundige Täuschung äußerst präsenter Nachrichteninhalte passiert. Aus diesem Grund werden Man-in-the-Middle-Angriffe erst dann wahrgenommen, wenn dies schon zu spät ist.
Da Man-in-the-Middle-Attacken enorme Schäden verursachen können, sollten diese im Idealfall von Anfang an unterbunden oder aber abgewehrt werden. Ein verlässlicher Schutzmechanismus lässt sich hier nur durch eine Kombination mehrerer IT-Schutzmaßnahmen erzielen.
Dazu zählen zum Beispiel:
• starke WEP/WPA-Verschlüsselung auf den Zugriffspunkten
• starke Verschlüsselung und Anmeldeinformationen auf den Routern
• eine Verwendung von virtuellen privaten Netzwerken
• eine Anwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschlüsselung mit SSL / TLS
• eine Authentifizierung anhand mehrerer Faktoren
• die Nutzung sicherer Passwörter
• die Anwendung unsicherer LAN- sowie WLAN-Verbindungen meiden
• Systeme, Tools, Software sowie Browser immer auf einem brandaktuellen Stand halten
• wissende Sicherheitslücken schließen
• gängige Strategien gegen Phishing respektieren
Schützen Sie Ihre digitale Identität!
Identitätsdiebstahl und Identitätsmissbrauch kann mittlerweile jeden berühren! Doch mit etwas Augenmerk und den passenden Schutzmaßahmen sollten Internetangriffe wie Man-in-the-Middle im Voraus unterbunden oder abgewehrt werden.
Möchten auch Sie Ihre digitalen Identitäten und geschäftskritischen Assets mit den besten Praktiken vor raffinierten Man-in-the-Middle-Attacken beschützen? Oder haben Sie noch mehr Anliegen zum Thema? Sprechen Sie uns gerne an!
