Wie Sie Man-in-the-Middle-Angriffe erkennen und verhindern können
Öffentliche WLANs laden Hacker geradezu ein, in die Computer ahnungsloser Nutzer einzudringen, meist über einen Man-in-the-Middle-Angriff. Hier einige Tipps, damit Sie sich besser schützen können.
Bei einem Man-in-the-Middle-Angriff (MITM) platziert sich der Angreifer zwischen dem Nutzer und dem WLAN-Router. In der Praxis sieht das so aus, dass Sie als Nutzer glauben, Ihr Computer oder Smartphone sei direkt mit dem WLAN-Router des Betreibers verbunden. In Wirklichkeit sind Sie aber mit dem Rechner des Angreifers verbunden, der auf diese Weise die komplette Kommunikation belauscht. Manchmal gibt sich der Hacker als die Person oder das System, mit der Sie als Opfer zu kommunizieren glauben.
Mittels MITM versuchen die Angreifer, Passwörter abzuschöpfen oder Informationen über ihre potentiellen Ziele zu sammeln. Die meisten MITM-Angriffe folgen dabei einem recht geradlinigen Muster, unabhängig von den spezifischen Techniken, die für den Angriff verwendet werden. Christiane (die Angreiferin) hört verdeckt einen Kanal ab, über den Andreas und Beate kommunizieren. Andreas schickt eine Nachricht an Beate, die von Christiane abgefangen und gelesen wird, ohne dass Andreas oder Beate dies bemerken. Nun verändert Christiane diese Nachricht und sendet sie an Beate, was zu einer bestimmten Reaktion führt.
MFA bietet nur bedingten Schutz
Sollten Ihnen über einen solchen Angriff Zugangsdaten gestohlen werden, kann die Multi-Faktor-Authentifizierung (MFA) einen wirksamen Schutz gegen bieten. Bei diesem Verfahren brauchen Sie außer Ihrem Passwort eine zusätzliche PIN, die Ihnen meist per SMS auf Ihr Smartphone geschickt wird. Selbst wenn Angreifer in Besitz von Benutzername und Passwort gelangen, brauchen sie also immer noch die PIN als zweiten Faktor, um davon Gebrauch zu machen. Zumindest theoretisch. Denn leider ist es auch möglich, MFA zu umgehen.
Im Falle von Microsoft 365 könnte dies beispielsweise folgendermaßen ablaufen:
- Der Benutzer klickt auf einen Link in einer Phishing-Mail, der ihn zu einer gefälschten Microsoft-Anmeldeseite führt, auf der er seinen Benutzernamen und sein Passwort eingibt.
- Die gefälschte Webseite leitet den Benutzernamen und das Kennwort an den Server des Angreifers weiter.
- Der Angreifer leitet die Anmeldeanfrage an Microsoft weiter, damit kein Verdacht erregt wird.
- Microsoft sendet den Zwei-Faktor-Authentifizierungscode per SMS an den Benutzer
- Der Benutzer gibt den Code auf der gefälschten Webseite ein.
- Die gefälschte Seite leitet den Code an den Server des Angreifers weiter.
- Der Angreifer benutzt Tool wie Evilginx, um das Sitzungs-Cookie aus Ihrem Browser zu stehlen.
- Der Angreifer leitet den Code des Benutzers an Microsoft weiter, und nun kann sich der Angreifer unter Verwendung des Sitzungs-Cookies bei Office 365 als der angegriffene Benutzer anmelden und hat Zugriff auf vertrauliche Daten innerhalb des Unternehmens.
Wie man einen Man-in-the-Middle-Angriff erkennt
MITM-Angriffe können schwer zu erkennen sein, aber ihre Präsenz erzeugt „Wellen“ in der ansonsten regelmäßigen Netzwerkaktivität, die nicht nur Security-Experten, sonder auch Endbenutzer bemerken können. Deswegen sollte auf folgende Anzeichen geachtet werden:
- Unerwartete und/oder wiederholte Verbindungsabbrüche: Angreifer trennen gewaltsam die Verbindung von Benutzern, damit sie den Benutzernamen und das Passwort abfangen können, wenn der Benutzer versucht, die Verbindung wiederherzustellen. Durch die Überwachung auf unerwartete oder wiederholte Verbindungsunterbrechungen lässt sich dieses potenziell riskante Verhalten proaktiv aufspüren.
- Seltsame Adressen in der Browser-Adressleiste: Nutzer sollten stets die Adressenleiste im Auge halten. Wenn hier irgendetwas merkwürdig aussieht, ist dies ein Warnsignal und sollte dringend überprüft werden – z.B. https://www.go0gle.com statt https://www.google.com.
- Logins in öffentliches und/oder ungesichertes WLAN: Nutzer müssen sehr vorsichtig sein, mit welchem Netzwerk sie sich verbinden und sollten wenn möglich öffentliche WLANs vermeiden. Angreifer erstellen gefälschte Netzwerke mit vertraut klingenden Namen wie WiFi_Bahn (statt WIFIonICE), um Benutzer dazu zu verleiten, eine Verbindung herzustellen. Wenn sie sich mit dem WLAN des Angreifers verbinden, können diese leicht alles sehen, was die Nutzer im Netzwerk senden.
Wie man einen Man-in-the-Middle-Angriff verhindert
Diese Anzeichen sind nicht immer einfach zu erkennen und setzen auch ein gewisses Maß an Aufmerksamkeit bei den Benutzern voraus. Insofern gilt bei MITM-Angriffen, dass die Vermeidung eines Angriffs wesentlich effektiver ist als seine Entdeckung. Dazu sollte man folgenden bewährten Regeln folgen, wenngleich auch ihre Einhaltung keinen hundertprozentigen Schutz garantiert. Auch trägt eine grundsätzliche Cyber-Hygiene wesentlich zur Sicherheit bei.
- Verbinden Sie sich nur mit gesicherten WLAN-Routern oder verwenden Sie die verschlüsselte Verbindung Ihres Mobilfunkanbieters. Stellen Sie eine Verbindung zu Routern her, die WPA2-Sicherheit verwenden.
- Nutzen Sie ein VPN, um die Kommunikation zwischen den Geräten und dem VPN-Server (entweder im Unternehmensnetzwerk oder im Internet) zu verschlüsseln. Wenn die Kommunikation verschlüsselt ist, ist es für einen Angreifer deutlich schwieriger, ihn abzuhören oder zu modifizieren.
- Verwenden Sie eine Ende-zu-Ende-Verschlüsselung für Ihre E-Mails, Ihren Chat und Ihre Videokommunikation (Zoom, Teams usw.).
- Halten Sie Ihr System mit Aktualisierungen stets auf dem neuesten Stand.
- Verwenden Sie einen Passwortmanager, um Ihre Passwörter zu schützen und die Wiederverwendung von Passwörtern zu verhindern.
- Verbinden Sie sich nur über HTTPS und nutzen Sie ein Browser-Plugin, um diese Regel durchzusetzen.
- Aktivieren Sie Multi-Faktor-Authentifizierung, wo immer dies möglich ist.
- Setzen Sie DNS über HTTPS ein. Diese neue Technologie schützt Sie durch Verschlüsselung Ihrer DNS-Anfragen vor DNS-Hijacking (die böswillige Umleitung auf anderen Seiten).
- Agieren Sie nach dem Zero-Trust-Prinzip: Auf diese Weise errichten Sie interne Barrieren und hindern Eindringlinge daran, sich frei im Netzwerk zu bewegen.
- Überwachen Sie die Aktivitäten im Netzwerk, um Beweise (z.B. böswillige Netzwerkverbindungen oder anormales Benutzerverhalten) für eine Kompromittierung oder verwendete MITM-Techniken zu erkennen.
Auch wenn jeder einzelne Punkt von (versierten) Angreifern umgangen werden kann und für sich genommen keine hinreichende Sicherheit bietet, so geht es in erster Linie darum, die Angriffsfläche zu verkleinern und es Angreifern so schwer wie möglich zu machen.
Solange Angreifer mittels MITM-Angriffen wichtige Daten wie Passwörter und Kreditkartennummern abfangen können, werden sie diese Attacken nutzen. Zudem ergibt sich für Cyberkriminelle durch das Internet der Dinge (IoT) ein überaus interessantes Ziel, da IoT-Geräte oftmals nicht über dieselben Sicherheitsstandards wie „klassische“ IT-Geräte verfügen und sie somit anfälliger sind. Angreifer benutzen sie als Weg in das Netzwerk eines Unternehmens, um dann auf andere Techniken zu wechseln.
Auf diese Weise kann ein Internet-fähiger Thermostat oder sogar ein Aquarium zum Einfallstor werden. Auch die immer größere Verbreitung von drahtlosen Netzwerken und insbesondere der Ausbau der 5G-Infrastruktur bieten Cyberkriminellen weitere Gelegenheiten, um Daten zu stehlen und Unternehmen zu infiltrieren. So wurde auf der letztjährigen BlackHat-Konferenz gezeigt, dass insbesondere 5G-Netzwerke für MITM-Angriffe besonders anfällig sind.
Insgesamt sind immer mehr Geräte mit immer mehr Netzwerken verbunden. Für Angreifer bedeutet dies mehr Möglichkeiten, MITM-Techniken einzusetzen. Wenn man jedoch wachsam bleibt, die Anzeichen einer solchen Attacke kennt und Erkennungsmethoden einsetzt, kann man Angriffe identifizieren, bevor sie Schaden anrichten.