Was ist eine Man-in-the-Middle-Attacke und welche Tools stehen zur Verfügung, um dagegen gewappnet zu sein?

Stellen Sie folgende Situation vor: Ein Bankangestellter führt eine Kundenberatung durch. Er überprüft während dem Gespräch den Namen und das Kennwort seines Kunden. Das ist ganz unproblematisch, oder? Ja, eigentlich schon. In der hier beschriebenen Situation hört jedoch ein Dritter die scheinbar private Konversation ab. Dies selbstverständlich ohne Zustimmung und ohne, dass sich beide Gesprächspartner dessen bewusst wären. Eine solche Situation wird als Man-in-the-middle-Angriff, oder MiTM bezeichnet.

Wie funktioniert ein Man-in-the-middle Angriff?

Ein Man-in-the-Middle-Angriff ist ein virtueller Lauschangriff. Dabei schaltet sich eine nicht autorisierte Person oder Gruppe zwischen ein Gespräch zweier Parteien. Dies kann zum Beispiel bei einem Kontakt zwischen einem Opfer eines Verbrechens und der Organisation oder Institution mit der das Opfer spricht, der Fall sein.

Was ist das Schlimmste daran?

Beide Parteien gehen davon aus, in einem privaten und vertraulichen Gespräch zu kommunizieren, während in der Tat die zwischengeschaltete Person, der „man-in-the-middle“, mithört. Dieses Cyber-Abhören wird möglich, wenn bei einer virtuellen Attacke ein Netzwerk infiltriert werden konnte.

Es ist offensichtlich, dass ein solcher Angriff immense Folgen haben kann. Konversationen via E-Mail-Nachricht, Telefongespräch, Kontaktformularen von Webseiten, Finanztransaktionen oder sonstige Datenübertragungen enthalten meist vertrauliche Informationen. Wenn Kriminelle durch eine MiTM Attacke an Daten wie Login IDs und Passwörter gelangen, wird dies natürlich sofort zur Kompromittierung der betroffenen Personen/Unternehmen/Institutionen eingesetzt.

Was ist der Zweck von Man-in-the-Middle-Angriffen?

Man-in-the-Middle-Attacken werden von Ransomware-Angreifern zunehmend verwendet. MiTM kann auch für (Cyber-)Spionage und Sabotage von Kommunikationsinhalten verwendet werden.

Einen weiteren Beitrag zu Cyber-Angriffen finden Sie hier : Was genau ist RaaS (Ransomware as a Service ) und wie funktioniert es?

Regierungen und Geheimdienste setzten MiTM-Angriffe ein, um andere Regierungen, Personen oder Institutionen auszuspionieren. Der Lauschangriff kann dabei die gesamte Dauer der Kommunikation (Gespräch oder E-Mail-Verkehr) unerkannt aufrecht bleiben.

Unterschiedliche Arten von Man-in-the-Middle-Angriffen

Es gibt verschiedene Arten von MitM-Attacken, die jederzeit passieren können. Folgend die 6 häufigsten Arten:

1. IP-Spoofing

Ihre IP ist eine Internet-Protokoll-Adresse, welche nur Sie besitzen. Jede IP ist einmalig. Jedes mit dem Internet verbundene Gerät wie Smartphone, Laptop, Tablet oder Fernseher usw. erhält eine eindeutige IP-Adresse. Die Adresse Ihrer IP funktioniert ähnlich wie Ihre Wohnadresse. Cyberkriminelle können die IP-Adresse einer legitimen Webseite fälschen und Ihnen dann vorschwindeln, dass Sie mit dieser seriösen Webseite verbunden sind. In Wirklichkeit sind Sie aber in die Falle eines Cyberkriminellen getappt. Da Sie dann meinen, Sie hätten es mit der legitimen Webseite zu tun, geben Sie unwissentlich schützenswerte Informationen an Hacker weiter.

2. Wi-Fi Abhören

Nehmen wir an, Sie gehen in ein nahe gelegenes Café, um mit einem Freund eine Tasse Kaffee zu genießen. Um dort das Internet nutzen zu können, müssen Sie sich mit einem WLAN verbinden, weshalb Sie ein entsprechendes Netzwerk suchen. Sie bemerken ein „offenes WLAN“ Signal und verbinden Ihr Smartphone damit. Dann loggen Sie sich beispielsweise in Ihr E-Banking- oder Paypal Konto ein und überweisen Geld auf das Konto eines Freundes. Danach melden Sie sich wieder ab. Nach einiger Zeit melden Sie sich dann noch in Ihrem Instagram Konto an, machen ein Selfie und posten es in Ihrem Account.

Bei einer MiTM Attacke wird nun, ohne dass Sie es bemerkt haben, die gesamte Sitzung von einem Cyber Angreifer, der seinen eigenen bösartigen Wi-Fi-Hotspot (SSID) eingerichtet hat, überwacht und verfolgt. Ihre Anmeldedaten sind dabei kompromittiert worden. Während Sie mit dem SSID verbunden waren, wurde jede Aktivität, die Sie online unternommen haben, mitverfolgt. Wenn Sie Ihre Passwörter danach nicht sofort ändern, könnte ein solcher Angriff sehr unangenehme Folgen für Sie haben. Ihr Instagram-Konto und Bankkonto können nun nämlich gehackt werden. Der Schutz persönlicher Daten, Finanzinformationen und weiterem ist nun gefährdet. Wenn, als weiters Beispiel, einer Ihrer Mitarbeiter ein kompromittiertes Netzwerk verwendet, um entweder über eine Remote-Sitzung oder über ein VPN auf Ihr Unternehmensnetzwerk zuzugreifen, ist die Wahrscheinlichkeit, dass sich ein Ransomware-Angreifer Zugang verschafft konnte, sehr hoch. Dann werden Sie wohl in naher Zukunft nach einem Weg suchen müssen, eine Ransomware-Verschlüsselung zu entschlüsseln.

Aus diesem Grund empfehlen wir Ihnen, sich NIE über ein öffentliches WLAN-Netzwerk zu verbinden. Öffentliche WLAN Netztwerke sind unsicher und unzuverlässig. Sie werden häufig von Kriminellen eingerichtet oder übernommen, um Aktivitäten von Nutzern mitzuverfolgen.

3. E-Mail-Hacking

Ähnlich wie beim Wi-Fi-Spoofing funktioniert das E-Mail-Hacking (auf Englisch email hijacking), indem E-Mail-Server vermeintlich sicherer Webseiten abgefangen werden. Anschließend können E-Mail-Nachrichten versendet werden, die danach aussehen, als ob sie von der legitimen Webseite aus versendet wurden, zum Beispiel von Ihrer Bank. In diesen Nachrichten werden Sie nun dazu aufgefordert, sich erneut anzumelden oder eine Rechnung online zu bezahlen. Hacker beobachten Ihre Aktivitäten im Netz intensiv und ausführlich. Mittels einer gefälschten oder abgefangenen E-Mail-Adresse kann ein Angreifer eine Vielzahl von Exploits einschleusen, die unter bestimmten Umständen zu einem Ransomware-Vorfall führen können.

4. SSL / Session Hijacking

SSL steht für „Standard Sockets Layer“. Es handelt sich dabei um ein Zertifikat, welches vom identifizierbaren Betreiber bestätigt, dass die besuchte Webseite sowie auch die von Ihnen hinterlassenen Daten, sicher sind. Beim SSL Hijacking verwendet der Angreifer ein separates System und einen sicheren Server. Während Sie davon ausgehen, dass Ihr Webseitenbesuch und die angegebenen Daten sicher sind, werden Sie in Wirklichkeit während Ihrer ganzen Online-Sitzung beobachtet. Mit Ihnen sind auch die ausgetauschten Informationen offengelegt. Dies wird auch Sitzungs-Hacking genannt.

5. DNS Spoofing

Stellen Sie sich vor, Sie haben die Webseite Ihrer Bank besucht und versucht, sich anzumelden. Es wurde jedoch ein Fehler angezeigt. Danach verlassen Sie diese Website frustiert. Was kommt danach? Aufgepasst! Nach 30 Minuten erhalten Sie eine E-Mail-Nachricht und zusätzlich eine SMS-Benachrichtigung, dass Sie gerade 2000 Euro von Ihrem Bankkonto auf das Konto einer anderen Personüberwiesen haben.

Wie ist so etwas überhaupt möglich?

Bei diesem Beispiel ist folgendes passiert: Die Webseite Ihrer Bank auf der Sie versucht haben, sich anzumelden, gehört gar nicht der Bank. Cyber-Kriminelle haben DNS-Namenseinträge der Webseite Ihrer Bank gefälscht. Sie wurden als Folge auf die gefälschte Webseite gelotst und haben diese, anstatt der echten Webseite Ihrer Bank besucht. Die auf der gefälschten Webseite eingegebenen Benutzerdaten wurden danach genutzt, um auf Ihr Bankkonto zuzugreifen. Das wird DNS-Spoofing genannt.

6. Cookie Diebstahl

Wissen Sie, weshalb Sie immer wieder kleine Popup-Meldungen sehen wie:

„Wir verwenden Cookies, damit Sie die bestmögliche Erfahrung beim Besuch unserer Webseite machen können.“ Bitte akzeptieren Sie unsere allgemeine Geschäftsbedingungen, um fortzufahren.“

Cookies sind kleine Textdateien, die von Ihrem Browser gespeichert werden. Einfach erklärt, ähneln Cookies Notizen, welche die Webseite über Sie und Ihre Surfgewohnheiten macht. Darin werden Angaben zu Ihrem Namen, Ihrem Einkaufsverhalten, verlassenen Warenkörben und ähnlichem gemacht. Auf diese Weise können sich die besuchten Webseiten an Ihre vergangene Browsersitzung erinnern.

Hacker versuchen diese Cookies, die Ihre privaten Informationen wie Kreditkartennummern, Namen sowie E-Mail-Adressen enthalten, zu stehlen. Damit erhalten Cyber Kriminelle zum Beispiel auch Zugriff auf Unternehmensprogramme, die von Angestellten verwendet werden, damit das Netzwerk eines Unternehmens erfolgreich infiltriert werden kann.

Wie schützt man sich vor Man-in-the-Middle-Angriffen?

Die größte Herausforderung beim Schutz vor MiTM ist die Tatsache, dass der Lauscher als stiller Zuschauer/Zuhörer agiert und Ihre Aktivitäten überwacht. Meist bleibt dies von potentiellen Opfern und Unternehmen unbemerkt. Wie clever solche Cyberkriminellen auch sein mögen, die unten aufgeführten Tipps können Sie vor einer Attacke schützen:

1. Verwenden Sie niemals eine öffentliche WiFi-Verbindung. Geben Sie beim Surfen auf Webseiten KEINE Social Media- oder Bankdaten an.
2. Besuchen Sie ausschließlich Webseiten mit einem HTTPS-Zertifikat. Falls Sie eine Webseite ohne HTTPS-Zertifikat besuchen, werden Sie in den Browsern von Google und Firefox im Vorfeld darauf aufmerksam gemacht und gewarnt. Dies stellt eine zusätzliche Schutzmaßnahme dar.
3. Banken rufen NIEMALS an und senden auch keine E-Mail-Nachricht, um Ihren Benutzernamen oder Ihr Passwort zu aktualisieren! Falls Sie einen Anruf oder eine E-Mail erhalten, in denen angegeben wird, dass Sie mit dem Kundenbetreuer Ihrer Bank verbunden sind, dürfen Sie dennoch NIEMALS Ihren Benutzernamen und Ihre Passwörter weitergeben. Die Kriminellen versuchen Sie zu täuschen, indem Gründe wie „Verbesserung der Dienstleistung“ angeben werden, für die Ihr aktueller Benutzername, Ihr Passwort und Ihre Kreditkartennummer benötigt würden. Es haben sich schon sehr viele Personen auf diese Art und Weise zur Offenlegung persönlicher Daten verleiten lassen. Stellen Sie sich immer diese Fragen, um die Situation in Ruhe zu prüfen:
   • Weshalb werde ich angerufen?
   • Habe ich überhaupt ein Konto bei dieser Bank?
   • Werde ich gezwungen oder bedroht, damit ich detaillierte Angaben mache?
4. Aktualisieren Sie Ihr WiFi-Netzwerk mit einem sichereren Passwort. Übernehmen Sie nie einfach das Standard-Passwort, das mit dem Router geliefert wird.
5. Installieren Sie eine Antivirus-Software – Verwenden Sie eine zuverlässige Antivirensoftware, um online möglichst maximal geschützt zu bleiben.