Man-in-the-Middle: erkennen und verhindern!

Man in the Middle

Man-in-the-Middle: Wie Sie Mittelsmannangriffe erkennen und verhindern können!

Auf der dunklen Flanke des Internets hat sich ein florierender Schwarzmarkt rund um gestohlene Identitätsdaten herausgebildet. Mit dem Ziel, in den Besitz jener begehrten Infos zu kommen, werden verschiedene Angriffstechniken angewendet. Eine oft genutzte und zugleich erfolgsversprechende Strategie ist die Man-in-the-Middle-Attacke. Was sich genau hier verbirgt und wie Sie sich und ihr Unternehmen vor ihnen absichern können, verraten wir Ihnen in den nachfolgenden Kapiteln.

Digitale Identitätsdaten stehen bei Internetkriminellen hoch im Kurs – enteder um diese auf den illegalen Plattformen im Darknet zu veräußern, oder mit dem Ziel sie für die eigenen betrügerischen Machenschaften zu nutzen. Kein Wunder demzufolge, dass immer mehr Bedrohungsakteure diesen mit ungeheurem Aufwand – und in einigen Umständen sogar im großen Stil auflauern.

Just in den vergangenen Jahren wurden beispielsweise im Zuge einer Reihe großangelegter Internetangriffe auf bekannte Unternehmen etliche Millionen Identitätsdaten gewonnen und preisgegeben. Unter diesen zum Beispiel T-Mobile, Facebook, LinkedIn, das rote Kreuz sowie Lufthansa.

Um in den Besitz dieser gefragten Daten zu kommen, greifen Bedrohungsakteure auf das Angebot neuer, aber auch althergebrachter Angriffsmethoden zurück wie Man-in-the-Middle, auch namhaft als Janusangriff oder Mittelsmannangriff.

Wie funktioniert ein Man-in-the-Middle-Angriff?


Bei Man-in-the-Middle handelt es sich um eine Angriffsstrategie, bei welcher ein Bedrohungsakteur heimlich die Datenkommunikation zweier oder auch mehrerer Kommunikationsbeteiligter infiltriert. Dabei bringt er sich in die Position, bei der jeglicher Datentraffic über die privaten Systeme geschleust wird, wodurch er in der Position ist, wertvolle Identitätsdaten abzufangen, zu lesen oder gar zu verfälschen.
Damit die Man-in-the-Middle-Attacke gelingt, ist es wichtig, dass ebenjener Bedrohungsakteur unauffällig bleibt. Zu diesem Zweck platziert er sich selbst oder aber eine schädliche Software erstmal zwischen das Opfer und die Internetressource, welche vom Opfer verwendet wird, etwa zum Beispiel einem E-Mail-Account. Anschließend gibt dieser sich gegenüber seinem Opfer oder seiner Ressource als der eigentliche Kommunikationspartner aus.
Durch diese Positionierung ist der Bedrohungsakteur in der Stellung, sämtliche Datenkommunikation zwischen dem Opfer sowie der Internetressource zu begutachten sowie zu den eigenen Gunsten zu manipulieren, um weitere verbotene Aktionen zu starten, beispielsweise das Fälschen von Transaktionen oder das Stehlen von geistigem Eigentum.

Ein Mann mit tausend Gesichtern!

Im Verlauf der letzten Jahre haben diese Bedrohungsakteure diverse Möglichkeiten für Man-in-the-Middle-Attacken erschaffen. Abhängig vom Anwendungsfall kommen verschiedene Angriffsvarianten und Angriffsmethoden zum Einsatz. Am häufigsten sind:

Evil-Hotspot/ Rogue Access Point: Bei ebendieser Angriffstechnik richten Bedrohungsakteure einen WLAN-Zugangspunkt, das heißt Hotspot, in einem öffentlichen WLAN-Netz ein, mit dem Ziel, in der Nähe angesiedelte Endgeräte dafür zu verführen, ihrer Domäne beizutreten. Verbindet sich ein Arbeitnehmer mit diesem angeblichen offenen WLAN, sind die Bedrohungsakteure in der Lage sämtliche Datenkommunikation einzusehen und zu manipulieren.

Ausnutzung von Schwachstellen eines WLAN-Routers: Bei dieser Angriffsmethode nutzen ebendiese Bedrohungsakteure eine Schwachstelle in dem „echten“ Router aus, mit dem Ziel, die Datenkommunikation von dem Router und dem Nutzer „abzuhören“. Im Gegensatz zum Evil-Hotspot verspricht diese Verfahrensweise einen besseren Gewinn, weil über einen längeren Zeitraum eine größere Anzahl kostbarer Identitätsdaten ausgelesen werden können.

Man-in-the-Browser-Attacke: Bei der Angriffstechnik wird Schadsoftware im Browser des Internetnutzers oder Angestellten installiert. Diese Angriffsversion gelingt am allerbesten, wenn diese genutzte Software des betroffenen Rechners auf keinen Fall auf dem aktuellsten Level wäre und deshalb Sicherheitslücken zeigt. Außerdem werden bei dieser Angriffsform Browser-Plug-Ins genutzt, weil sie die Datenkommunikation von dem infiltrierten Benutzer und den besuchten Internetseiten speichert.

DHCP-basierte Angriffe/DHCP-Spoofing: Bei DHCP-basierten Angriffen geben sich Bedrohungsakteure im Rahmen eines LANs als DHCP-Server aus. Dadurch können sie die Zuteilung von IP-Adressen regeln, beliebige Standardgateways und DNS-Server eintragen und so die Datenkommunikation auf ihre Systeme umleiten, um diese abzuhören oder etwa zu manipulieren. Das nennt man auch DHCP-Spoofing. Grundlegend für den Erfolg dieses Angriffs ist es, dass sich der Bedrohungsakteur im selben LAN befindet, wie sein Angriffsziel.

ARP-Cache-Poisoning: Bei dieser Angriffsmethode setzen Bedrohungsakteure bei der Zuordnung von der MAC-Adresse zu einer lokalen IP an. Hierzu manipulieren sie die ARP-Tabellen, um einen Computer als WLAN-Access-Point auszugeben. Ist ein ARP-Spoofing gelungen, können Bedrohungsakteure den kompletten ausgehenden Datentraffic ausspionieren oder auch aufnehmen, ehe dieser an das echte Gateway weitergeleitet wird. Auch hier ist es für den Erfolg des Angriffs unerlässlich, dass sich Bedrohungsakteur und Opfer im gleichen Netzwerk aufhalten.

DNS-basierte Angriffe: Bei einer DNS-basierten Man-in-the-Middle-Attacke, werden die Eintragungen im Cache eines DNS-Servers manipuliert. Ziel dabei sei es, dass ebenjener DNS-Server mit falschen, vorgegebenen Zieladressen reagiert. So kann ein Opfer unauffällig auf eine willkürliche, eventuell manipulierte Homepage umgeleitet werden. Gelungen ist ein derartiger Angriff durch ein Missbrauchen von Sicherheitslücken älterer DNS-Server.

Best Practices zur Verhinderung von Man-in-the-Middle-Angriffen!

Eines vorab: Ganz ohne die geeigneten Schritte sollte es mühsam sein, Man-in-the-Middle-Attacken zu erkennen. In den meisten Situationen kommt für eine geraume Dauer nicht einmal auf, dass eine Datenkommunikation mitverfolgt wird, sofern keine offenkundige Täuschung äußerst präsenter Nachrichteninhalte stattfindet. Aus diesem Grund werden Man-in-the-Middle-Angriffe erst dann wahrgenommen, wenn es schon zu spät ist.

Da Man-in-the-Middle-Attacken erhebliche Probleme anrichten können, sollten diese im Idealfall von vornherein vermieden oder abgewehrt werden. Ein zuverlässiger Schutzmechanismus lässt sich hier nur durch eine Verbindung verschiedener IT-Schutzmaßnahmen erreichen.

Dazu gehören unter anderem:
• sichere WEP/WPA-Verschlüsselung auf den Zugriffspunkten
• sichere Verschlüsselung und Anmeldeinformationen auf Ihren Routern
• die Benutzung von virtuellen privaten Netzwerken
• eine Anwendung von HTTPS als Kommunikationsprotokoll bzw. die Verschlüsselung mit SSL / TLS
• eine Identitätsüberprüfung mittels verschiedener Aspekte
• die Verwendung sicherer Passwörter
• die Anwendung nicht sicherer LAN- und WLAN-Verbindungen meiden
• Systeme, Tools, Software und Browser stets auf einem brandaktuellen Stand haben
• wissende Sicherheitslücken entfernen
• einfache Strategien gegen Phishing respektieren

Schützen Sie Ihre digitale Identität!

Identitätsdiebstahl wie auch Identitätsmissbrauch kann mittlerweile jeden berühren! Aber mit etwas Augenmerk und den entsprechenden Schutzmaßahmen können Internetangriffe wie Man-in-the-Middle von vornherein unterbunden und abgewehrt werden.

Möchten auch Sie die digitalen Identitäten und geschäftskritischen Assets mit den bewährtesten Methoden vor raffinierten Man-in-the-Middle-Attacken schützen? Oder haben Sie noch mehr Anliegen zum Thema? Kontaktieren Sie uns gerne!

Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de 

Nach oben scrollen