Man-in-the-Middle: Alles, was Sie über den manipulativen Mittelsmann wissen müssen!
Auf der dunklen Seite des World Wide Web hat sich ein blühender Schwarzhandel um gestohlene Identitätsdaten herausgebildet. Um in den Besitz jener gefragten Informationen zu kommen, werden unterschiedliche Techniken zum Angriff eingesetzt. Eine oft genutzte und zeitgleich erfolgsversprechende Strategie ist die Man-in-the-Middle-Attacke. Was sich genau hier verbirgt und wie Sie sich und ihr Unternehmen vor ihnen absichern können, verraten wir Ihnen in den folgenden Abschnitten.
Digitale Identitätsdaten liegen bei Internetkriminellen hoch im Fokus der Begierde – sei es, um sie auf den illegalen Schwarzmärkten im dunklen Netz zu verkaufen, oder mit dem Ziel diese für die alleinigen betrügerischen Finessen zu nutzen. Kein Zufall also, dass laufend mehr Bedrohungsakteure ihnen mit ungeheurem Aufwand – und in einigen Umständen sogar im großen Stil nachjagen.
Just in den vergangenen Jahren wurden beispielsweise im Zuge einer Reihe großangelegter Internetangriffe auf bekannte Betriebe etliche Millionen Identitätsdaten erbeutet sowie preisgegeben. Unter diesen sind unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz und die Lufthansa.
Um in den Besitz jener gefragten Daten zu kommen, greifen Bedrohungsakteure auf das Repertoire moderner, allerdings auch älterer Angriffsmethoden zurück wie Man-in-the-Middle, auch namhaft als Janusangriff sowie Mittelsmannangriff.
Wie laufen Man-in-the-Middle-Angriffe ab?
Bei Man-in-the-Middle dreht es sich um eine Angriffsstrategie, bei der der Bedrohungsakteur heimlich die Datenkommunikation zweier oder mehrerer Kommunikationspartner infiltriert. Dabei bringt er sich in die Stellung, bei welcher jeder Datenverkehr über seine privaten Systeme navigiert wird, weshalb er in der Position ist, wertvolle Identitätsdaten aufzuhalten, mitzulesen oder schier zu manipulieren.
Damit eine Man-in-the-Middle-Attacke funktioniert, ist es wichtig, dass ebenjener Bedrohungsakteur unentdeckt bleibt. Zu diesem Zweck platziert er sich oder eine schädliche Software erstmal zwischen das Opfer und die Internetressource, die von dessen Opfer genutzt wird, etwa beispielsweise einem E-Mail-Konto. Anschließend gibt dieser sich bei dem Opfer oder der Ressource als der tatsächliche Kommunikationsbeteiligte aus.
Durch die Platzierung ist der Bedrohungsakteur in der Lage, sämtliche Datenkommunikation zwischen dem Opfer und der Internetressource zu begutachten sowie zu den eigenen Gunsten zu verfälschen, um weitere verbotene Vorgänge zu beginnen, zum Beispiel das Fälschen von Transaktionen oder das Entwenden von geistigem Besitz.
Die verschiedenen Typen von Man-in-the-Middle-Attacken!
Im Laufe der Jahre haben die Bedrohungsakteure diverse Möglichkeiten für Man-in-the-Middle-Angriffe erschaffen. Abhängig vom Anwendungsfall kommen verschiedene Angriffsvarianten sowie Angriffsmethoden zum Einsatz. Am meist genutzten sind:
Evil-Hotspot/ Rogue Access Point: Bei dieser Angriffstechnik richten Bedrohungsakteure ihren WLAN-Zugangspunkt, sprich Hotspot, in einem öffentlichen WLAN-Netz ein, um in der Nähe befindliche Endgeräte dafür zu verleiten, ihrer Domäne beizutreten. Verknüpft sich ein Arbeitnehmer mit dem vermeintlichen offenen WLAN, wären jene Bedrohungsakteure in der Lage sämtliche Datenkommunikation zu begutachten sowie zu manipulieren.
Ausnutzung von Schwachstellen eines WLAN-Routers:
Bei der Angriffsmethode nutzen die Bedrohungsakteure eine schwache Seite in dem „echten“ Router aus, um die Datenkommunikation zwischen diesem Router und einem Benutzer „abzuhören“. Im Gegensatz zum Evil-Hotspot verspricht diese Verfahrensweise einen größeren Gewinn, da über einen größeren Zeitabstand eine deutlich größere Anzahl wertvoller Identitätsdaten ausgelesen werden können.
Man-in-the-Browser-Attacke:
Bei der Angriffstechnik wird Malware im Browser des Internetnutzers oder Mitarbeiter angebracht. Die Angriffsmethode funktioniert am allerbesten, sobald die genutzte Software des betroffenen Rechners nicht auf dem aktuellsten Stand wäre und dementsprechend Sicherheitslücken zeigt. Zudem werden bei der Angriffsform Browser-Plug-Ins eingesetzt, weil sie die Datenkommunikation von dem infiltrierten Benutzer und den besuchten Internetseiten speichert.
DHCP-basierte Angriffe/DHCP-Spoofing:
Bei DHCP-basierten Attacken geben sich die Bedrohungsakteure im Rahmen eines LANs als DHCP-Server aus. Auf diese Weise können sie die Zuteilung von IP-Adressen regeln, verschiedene Standardgateways sowie DNS-Server einpflegen und auf diese Weise die Datenkommunikation auf ihre Systeme umadressieren, um sie abzuhören oder zu manipulieren. Dies nennt man ebenso DHCP-Spoofing. Grundlegend für den Triumph des Angriffs ist es, dass sich der Bedrohungsakteur im gleichen LAN aufhält, wie dessen Angriffsziel.
ARP-Cache-Poisoning:
Bei dieser Angriffsversion setzen Bedrohungsakteure bei der Zuteilung von einer MAC-Adresse zur lokalen IP an. Dazu faken sie die ARP-Tabellen, um den Computer als WLAN-Access-Point auszugeben. Ist das ARP-Spoofing gelungen, können Bedrohungsakteure den kompletten ausgehenden Datenverkehr mitlesen oder aufzeichnen, bevor dieser an das echte Gateway geleitet wird. Auch dabei ist es für den Erfolg des Angriffs unerlässlich, dass sich der Bedrohungsakteur und Opfer im gleichen Netz aufhalten.
DNS-basierte Angriffe:
Bei der DNS-basierten Man-in-the-Middle-Attacke, werden die Eintragungen im Cache eines DNS-Servers verfälscht. Ziel hier sei es, dass der DNS-Server mit falschen, definierten Zieladressen reagiert. Auf diese Weise kann ein Opfer unbemerkt auf eine beliebige, eventuell manipulierte Homepage geleitet werden. Erfolgreich ist ein derartiger Angriff durch das Missbrauchen von Sicherheitslücken älterer DNS-Server.
Wie kann man sich vor Man-in-the-Middle-Attacken schützen?
Eines vorweg: Ganz ohne die geeigneten Maßnahmen sollte es schwierig sein, Man-in-the-Middle-Attacken zu erkennen. In vielen Situationen kommt für eine geraume Zeit nicht einmal auf, dass eine Datenkommunikation mitgelesen wird, solange keine offensichtliche Manipulation sehr präsenter Nachrichteninhalte passiert. Aus diesem Grund werden Man-in-the-Middle-Angriffe erst bemerkt, wenn dies schon zu spät ist.
Da Man-in-the-Middle-Attacken erhebliche Schäden anrichten können, sollten diese im Optimalfall von vornherein unterbunden oder aber abgewehrt werden. Ein verlässlicher Schutzmechanismus lässt sich hier nur durch die Kombination verschiedener IT-Schutzmaßnahmen erreichen.
Dazu zählen unter anderem:
• sichere WEP/WPA-Verschlüsselung auf diesen Zugriffspunkten
• sichere Verschlüsselung und Anmeldeinformationen auf Ihren Routern
• eine Benutzung von virtuellen privaten Netzwerken
• eine Anwendung von HTTPS als Kommunikationsprotokoll beziehungsweise die Verschlüsselung mit SSL / TLS
• eine Authentifizierung anhand verschiedener Aspekte
• die Verwendung starker Passwörter
• die Anwendung nicht sicherer LAN- sowie WLAN-Verbindungen vermeiden
• Systeme, Tools, Software und Browser immer auf dem aktuellen Stand haben
• wissende Sicherheitslücken entfernen
• gängige Maßnahmen gegen Phishing respektieren
Lassen Sie niemanden in die Mitte geraten!
Identitätsdiebstahl und Identitätsmissbrauch kann heute uns alle berühren! Aber mit etwas Augenmerk und den entsprechenden Schutzmaßahmen sollten Internetangriffe wie Man-in-the-Middle im Voraus unterbunden und abgewehrt werden.
Möchten auch Sie Ihre digitalen Identitäten wie auch geschäftskritischen Assets mit den besten Methoden vor ausgeklügelten Man-in-the-Middle-Attacken schützen? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns gerne!