Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenMan-in-the-Middle (MITM) Attacks
Schützen Sie sich jetzt
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff oder MITM-Angriff ist ein Cyberangriff, bei dem ein Cyberkrimineller Daten abfängt, die zwischen zwei Unternehmen oder Personen gesendet werden. Der Zweck des Abfangens besteht darin, die Daten entweder zu stehlen, abzuhören oder zu böswilligen Zwecken zu ändern, beispielsweise um Geld zu erpressen.
Wie funktioniert ein Man-in-the-Middle-Angriff?
MITM-Angriffe basieren auf der Manipulation von Netzwerken oder Schaffung bösartige Netzwerke, die von Cyberkriminellen kontrolliert werden. Die Cyberkriminellen fangen den Datenverkehr ab und lassen ihn entweder passieren und sammeln dabei Informationen, oder sie werden an einen anderen Ort umgeleitet.
Cyberkriminelle fungieren im Wesentlichen als "Vermittler" zwischen der Person, die Informationen sendet, und der Person, die sie empfängt. Daher der Name "Man-in-the-Middle-Angriff". Diese Angriffe sind überraschend häufig, insbesondere bei öffentlichem WLAN. Da öffentliches WLAN oft ungesichert ist und sich jede x-beliebige Person anmelden kann, können Sie nicht wissen, wer den Webverkehr überwacht oder abfängt.
Arten von MITM-Angriffen
Es gibt sehr viele verschiedene Arten von MITM-Angriffen, weshalb diese Angriffe auch zu den vielseitigsten Cyberbedrohungen zählen. Hier einige häufige Arten:
Öffentliches WLAN
Die meisten MITM-Angriffe erfolgen über öffentliches WLAN. Öffentliches WLAN ist oft ungesichert, sodass Cyberkriminelle den Webverkehr von allen verbundenen Geräten des Netzwerks sehen und bei Bedarf Informationen abrufen können.
Rogue Access Point
Ein Rogue Access Point ist ein drahtloser Zugangspunkt, der in einem legitimen Netzwerk installiert wird. Über diesen Punkt kann der Cyberkriminelle eingehenden Datenverkehr abfangen oder überwachen und ihn oft vollständig auf ein anderes Netzwerk umleiten, um Schadsoftwaredownloads zu erzwingen oder den Benutzer zu erpressen. Schadsoftware wird auf dem Gerät eines Opfers installiert, um Daten auszuspähen und zu stehlen.
IP-Spoofing
Beim IP-Spoofing wird eine IP-Adresse geändert, um den Datenverkehr auf die Website eines Angreifers umzuleiten. Der Angreifer "fälscht" die Adresse, indem er Paket-Header ändert und sich als legitime Anwendung oder Website tarnt.
ARP-Spoofing
Bei diesem Angriff wird die MAC-Adresse des Angreifers mit der IP-Adresse des Opfers in einem lokalen Netzwerk über gefälschte ARP-Nachrichten verknüpft. Alle Daten, die vom Opfer an das lokale Netzwerk gesendet werden, werden stattdessen an die MAC-Adresse des Cyberkriminellen umgeleitet, sodass der Cyberkriminelle die Daten nach Belieben abfangen und manipulieren kann.
DNS-Spoofing
Der Cyberkriminelle dringt in den DNS-Server einer Website ein und ändert den Webadress-Eintrag einer Website. Durch den geänderten DNS-Eintrag wird eingehender Datenverkehr an die Website des Cyberkriminellen umgeleitet.
HTTPS-Spoofing
Wenn ein Benutzer eine Verbindung zu einer sicheren Website mit dem Präfix https:// herstellt, sendet der Cyberkriminelle ein gefälschtes Sicherheitszertifikat an den Browser. Dadurch wird dem Browser vorgetäuscht, die Verbindung sei sicher, obwohl der Cyberkriminelle tatsächlich Daten abfängt und möglicherweise umleitet.
Session Hijacking
Bei diesem Angriff übernehmen Cyberkriminelle die Kontrolle über eine Web- oder Anwendungssitzung. Hijacking schließt den legitimen Benutzer aus der Sitzung aus und sperrt den Cyberkriminellen effektiv in das App- oder Website-Konto, bis er die gewünschten Daten erlangt hat.
Paketinjektion
Der Cyberkriminelle erstellt Pakete, die normal erscheinen, und injiziert sie in ein etabliertes Netzwerk, um auf den Datenverkehr zuzugreifen und ihn zu überwachen oder DDoS-Angriffe auszuführen. Bei einem Distributed Denial-of-Service-Angriff (DDoS) versuchen Kriminelle, den normalen Datenverkehr zu einem Server zu stören, indem sie den Server mit einer Flut von Anfragen überlasten.
SSL-Stripping
Der Cyberkriminelle fängt das TLS-Signal von einer Anwendung oder einer Website ab und modifiziert es, sodass die Website auf einer ungesicherten Verbindung als HTTP anstelle von HTTPS geladen wird. Dadurch wird die Sitzung des Benutzers für den Cyberkriminellen sichtbar und es werden sensible Daten preisgegeben.
SSL-Spoofing
Diese Methode beinhaltet das „Spoofing“ einer sicheren Website-Adresse, damit das Opfer dorthin navigiert. Cyberkriminelle kapern die Kommunikation zwischen dem Opfer und dem Webserver der Website, auf die sie zugreifen möchten, und tarnen eine bösartige Website als die URL der legitimen Website.
SSL BEAST
Der Cyberkriminelle infiziert den Computer eines Benutzers mit bösartigem JavaScript. Die Malware fängt dann Website-Cookies und Authentifizierungstoken zur Entschlüsselung ab, wodurch die gesamte Sitzung des Opfers dem Cyberkriminellen ausgesetzt ist.
SSL Browser-Cookies stehlen
Cookies sind nützliche Website-Daten, die Informationen zu Ihren besuchten Websites auf Ihren Geräten speichern. Diese sind nützlich, um sich an Webaktivitäten und Zugangsdaten zu erinnern, aber Cyberkriminelle können sie stehlen, um an diese Informationen zu gelangen und sie für böswillige Zwecke zu verwenden.
Sniffing
Bei diesem Angriff wird der Datenverkehr überwacht, um Informationen zu stehlen. Sniffing wird mit einer Anwendung oder Hardware durchgeführt und legt den Webverkehr des Opfers dem Cyberkriminellen offen.
So erkennen Sie Man-in-the-Middle-Angriffe
Wenn ein MITM-Angriff auf ein Unternehmen oder eine Person frühzeitig erkannt wird, kann der potenzielle Schaden in Grenzen gehalten werden. Hier sind einige Erkennungsmethoden:
Auf seltsame URLs prüfen
- Achten Sie in Ihrem Webbrowser auf seltsame Webadressen in der Suchleiste oder URL-Leiste überwachen. Ein DNS-Hijack kann Spoofs gemeinsamer Adressen erzeugen, normalerweise mit kaum wahrnehmbaren Änderungen. Ein Angreifer könnte beispielsweise "www.facebook.com" durch "www.faceb00k.com" ersetzen. Diese Spoofing-Methode funktioniert überraschend gut, denn den meisten von uns entgehen einfache Änderungen, weil wir nicht genau hinsehen.
Unerwartete Verbindungsabbrüche und Netzwerkverzögerungen
- Bestimmte Formen von MITM-Angriffen führen zu plötzlichen, unerwarteten Netzwerkverzögerungen oder vollständigen Verbindungsabbrüchen. Diese können sporadisch auftreten und werden normalerweise nicht von Netzwerkproblemen oder anderen offensichtlichen Symptomen begleitet.
- Wenn Sie öfter Verbindungsabbrüche oder Verzögerungen in Ihrem Netzwerk haben, sollten Sie genauer hinschauen, um sicherzustellen, dass es sich nicht nur um ein Netzwerkproblem handelt.
Öffentliches WLAN überprüfen
- Angreifer fangen oft Daten ab, die über öffentliche Netzwerke gesendet werden, oder erstellen sogar gefälschte Netzwerke an öffentlichen Orten. Diese Netzwerke ermöglichen es dem Cyberkriminellen, alle Webaktivitäten Ihres Teams zu sehen, ohne dass Sie wissen, dass Sie angegriffen werden. Sofern möglich, meiden Sie öffentliches WLAN. Falls Ihr Team dennoch darauf zurückgreifen muss, sollten sie ein VPN verwenden. Ihr Team sollte sich auch nicht mit fremden Netzwerken mit verdächtigen Namen verbinden.
So verhindern Sie Man-in-the-Middle-Angriffe
Man-in-the-Middle-Angriffen sollten unbedingt verhindert werden, um Unternehmen hohe Kosten zu ersparen und die Integrität ihrer Web-Identität und öffentlichen Identität zu wahren. Hier sind einige wichtige Tools, um MITM-Angriffe zu verhindern:
Passwortmanager
- Mit einem Passwortmanager mit geeigneten Netzwerksicherheitsfunktionen wird sichergestellt, dass alle Zugangsdaten sicher gespeichert werden. Eine wichtige Funktion zum Schutz vor MITM ist die Ende-zu-Ende-Verschlüsselung. Keeper hat eine Ende-zu-Ende-Verschlüsselung mit integrierter Tresor-zu-Tresor-Freigabe, die PKI (Public Key Infrastructure) verwendet. Das bedeutet, dass Cyberkriminelle keine Passwörter oder andere gemeinsam genutzte Datensätze während der Übertragung abfangen können. Keeper bietet auch freigegebene Teamordner sowie rollenbasierte Kontrollfunktionen, mit denen Administratoren den Zugriff auf das Team beschränken und aufteilen können.
Virtuelles privates Netzwerk
- Ein virtuelles privates Netzwerk (VPN) leitet den gesamten Internetverkehr über mehrere verschiedene Server um, versteckt die IP-Adresse des Benutzers effektiv und macht die Browsersitzung privater und sicherer. VPN enthalten auch eine inhärente Verschlüsselung, die zum Schutz von Nachrichten und anderen Daten beiträgt.
