Angriffsmuster und Abwehrmaßnahmen!
Auf der dunklen Seite des World Wide Web hat sich ein florierender Schwarzmarkt um geklaute Identitätsdaten herausgebildet. Um in den Besitzstand dieser begehrten Informationen zu kommen, werden unterschiedliche Angriffstechniken angewendet. Eine oft genutzte und zeitgleich gewinnversprechende Angriffsstrategie ist die Man-in-the-Middle-Attacke. Was sich genau dahinter verhüllt und wie Sie sich und ein Unternehmen vor diesen absichern können, verraten wir Ihnen in den folgenden Kapiteln.
Digitale Identitätsdaten liegen bei Internetkriminellen hoch im Kurs – sei es, um sie auf den illegalen Schwarzmärkten im Darknet zu veräußern, oder um diese für die eigenen betrügerischen Machenschaften zu nutzen. Kein Wunder also, dass immer mehr Bedrohungsakteure diesen mit riesigem Aufwand – und in manchen Fällen sogar in großer Manier auflauern.
Allein in den vergangenen Jahren wurden beispielsweise im Rahmen einer Reihe großangelegter Internetangriffe auf namenhafte Unternehmen etliche Millionen Identitätsdaten erbeutet und offengelegt. Darunter unter anderem T-Mobile, Facebook, LinkedIn, das rote Kreuz und Lufthansa.
Um in den Besitzstand jener gefragten Informationen zu kommen, greifen Bedrohungsakteure auf das Repertoire moderner, aber auch althergebrachter Angriffsmethoden zurück beispielsweise den Man-in-the-Middle, auch namhaft als Janusangriff oder Mittelsmann-Angriff.
Wie funktioniert ein Man-in-the-Middle-Angriff?
Bei Man-in-the-Middle dreht es sich um eine Angriffsstrategie, bei der ein Bedrohungsakteur heimlich die Datenkommunikation zweier oder auch mehrerer Kommunikationspartner infiltriert. Im Zuge dessen führt dieser sich in eine Position, bei welcher jeglicher Datentraffic über die privaten Systeme geschleust wird, weshalb er in der Lage ist, exklusive Identitätsdaten abzufangen, mitzulesen oder etwa schier zu verfälschen.
Damit die Man-in-the-Middle-Attacke gelingt, ist es wichtig, dass der Bedrohungsakteur unentdeckt bleibt. Hierzu positioniert er sich oder aber eine schädliche Software zunächst zwischen das Opfer sowie die Internetressource, welche vom Opfer genutzt wird, etwa zum Beispiel dem E-Mail-Konto. Danach gibt dieser sich bei dem Opfer oder seiner Ressource als der tatsächliche Kommunikationsbeteiligte aus.
Durch diese Platzierung ist der Bedrohungsakteur in der Stellung, sämtliche Datenkommunikation zwischen dem Opfer und der Internetressource zu begutachten sowie zu den eigenen Gunsten zu manipulieren, mit dem Ziel, noch mehr verbotene Vorgänge zu starten, beispielsweise das Manipulieren von Transaktionen oder das Stehlen von geistigem Besitz.
Die verschiedenen Typen von Man-in-the-Middle-Attacken!
Im Laufe der letzten Jahre haben die Bedrohungsakteure verschiedene Möglichkeiten für Man-in-the-Middle-Attacken entwickelt. Abhängig vom Anwendungsbereich kommen verschiedene Angriffsvarianten und Angriffsmethoden zum Gebrauch. Am häufigsten sind:
Evil-Hotspot/ Rogue Access Point: Bei dieser Angriffsvariante richten Bedrohungsakteure einen WLAN-Zugangspunkt, das heißt Hotspot, in einem öffentlichen WLAN-Netzwerk ein, mit dem Ziel, in der Nähe befindliche Endgeräte dafür zu verführen, ihrer Domäne beizutreten. Verknüpft sich ein Arbeitnehmer mit dem angeblichen offenen WLAN, sind die Bedrohungsakteure in der Position sämtliche Datenkommunikation einzusehen und zu manipulieren.
Ausnutzung von Schwachstellen eines WLAN-Routers: Bei dieser Angriffsmethode nutzen die Bedrohungsakteure eine Schwachstelle in dem „echten“ Router aus, um die Datenkommunikation zwischen diesem Router und einem Benutzer „abzuhören“. Im Gegenteil zum Evil-Hotspot garantiert die Verfahrensweise einen größeren Erfolg, weil über einen größeren Zeitraum eine deutlich größere Menge kostbarer Identitätsdaten ausgelesen werden können.
Man-in-the-Browser-Attacke: Bei der Angriffsvariante wird Malware im Browser des Internetnutzers oder etwa Angestellten installiert. Die Angriffsversion gelingt am allerbesten, wenn diese verwendete Software des betroffenen Rechners auf keinen Fall auf dem neuesten Level ist und dementsprechend Sicherheitslücken aufweist. Zudem werden bei dieser Angriffsform Browser-Plug-Ins genutzt, weil sie jene Datenkommunikation von dem infiltrierten Benutzer und dessen besuchten Internetseiten aufzeichnet.
DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich Bedrohungsakteure im Rahmen eines LANs als DHCP-Server aus. Auf diese Weise können sie die Vergabe von IP-Adressen steuern, verschiedene Standardgateways sowie DNS-Server eintragen und so die Datenkommunikation auf die eigenen Systeme umadressieren, um sie abzuhören oder etwa zu verfälschen. Das nennt man ebenso DHCP-Spoofing. Unerlässlich für den Triumph dieses Angriffs bleibt es, dass sich ebenjener Bedrohungsakteur im gleichen LAN befindet, wie dessen Angriffsziel.
ARP-Cache-Poisoning: Bei der Angriffsmethode setzen Bedrohungsakteure bei der Zuordnung von der MAC-Adresse zur lokalen IP an. Dazu manipulieren diese die ARP-Tabellen, um den Computer als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing gelungen, können Bedrohungsakteure den kompletten ausgehenden Datentraffic mitlesen oder aufnehmen, bevor jener an das tatsächliche Gateway weitergeleitet wird. Auch hier ist es für den Triumph des Angriffs grundlegend, dass sich Bedrohungsakteur und Opfer im gleichen Netz befinden.
DNS-basierte Angriffe: Bei einer DNS-basierten Man-in-the-Middle-Attacke, werden die Einträge im Cache des DNS-Servers verfälscht. Absicht dabei ist es, dass ebenjener DNS-Server mit falschen, vorgegebenen Zieladressen reagiert. Auf diese Weise kann das Opfer unauffällig auf eine beliebige, eventuell manipulierte Homepage geleitet werden. Erfolgreich ist ein solcher Angriff durch das Ausnutzen von Sicherheitslücken älterer DNS-Server.
Wie können Mitarbeiter vor Man-in-the-Middle-Attacken geschützt werden?
Etwas vorab: Ganz ohne die richtigen Maßnahmen kann es schwierig sein, Man-in-the-Middle-Attacken zu entdecken. In den meisten Situationen fällt für eine geraume Dauer nicht mal auf, dass eine Datenkommunikation mitverfolgt wird, sofern keine offensichtliche Manipulation sehr präsenter Nachrichteninhalte passiert. Aus diesem Grund werden Man-in-the-Middle-Angriffe erst dann wahrgenommen, wenn es zu spät ist.
Da Man-in-the-Middle-Attacken erhebliche Probleme anrichten können, müssen sie im Idealfall von Anfang an unterbunden oder aber abgewehrt werden. Ein verlässlicher Schutzmechanismus lässt sich hier bloß durch eine Verbindung mehrerer IT-Schutzmaßnahmen erreichen.
Dazu zählen unter anderem:
- sichere WEP/WPA-Verschlüsselung auf den Zugriffspunkten
- sichere Verschlüsselung und Anmeldeinformationen auf Ihren Routern
- die Benutzung von virtuellen privaten Netzwerken
- die Anwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschlüsselung mit SSL / TLS
- die Authentifizierung anhand verschiedener Faktoren
- die Verwendung sicherer Passwörter
- die Anwendung unsicherer LAN- sowie WLAN-Verbindungen vermeiden
- Systeme, Tools, Software und Browser immer auf einem brandaktuellen Stand haben
- wissende Sicherheitslücken entfernen
- gängige Strategien gegen Phishing beachten
Lassen Sie niemanden in die Mitte geraten!
Identitätsdiebstahl und Identitätsmissbrauch kann heute uns alle treffen! Aber mit ein wenig Vorsicht und einigen entsprechenden Schutzmaßahmen sollten Internetangriffe wie Man-in-the-Middle von vornherein vermieden oder abgewehrt werden.
Möchten auch Sie die digitalen Identitäten und geschäftskritischen Assets mit den besten Praktiken vor ausgeklügelten Man-in-the-Middle-Attacken beschützen? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns gerne an!
