Was ist ein Man-in-the-Middle-Angreifer?

Bei einem On-Path-Angriff platziert sich der Angreifer zwischen die Opfer und die Dienste, auf die sie zugreifen möchten. Sein Ziel dabei ist häufig der Datendiebstahl.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Man-in-the-Middle-Angreifer definieren
  • Verschiedene Arten von On-Path-Angriffen erforschen
  • Methoden zum Schutz vor Man-in-the-Middle-Angreifern beschreiben

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Man-in-the-Middle-Angreifer?

Bei einem Angreifer im Pfad platzieren sich Angreifer zwischen zwei Geräte (häufig zwischen einen Webbrowser und einen Webserver), fangen ihre Kommunikation ab oder modifizieren sie. Die Angreifer können auf diese Weise Informationen sammeln und sich als eine der beiden Parteien ausgeben. Zusätzlich zu Websites können diese Angriffe auf E-Mail-Kommunikation, DNS-Lookups und öffentliche WLAN-Netzwerke abzielen. Typische Ziele für Angreifer im Pfad sind SaaS-Unternehmen, E-Commerce-Unternehmen und Benutzer von Finanz-Apps.

Sie können sich Angreifer im Pfad wie einen korrupten Postangestellten vorstellen, der in einem Postamt sitzt und Briefe abfängt, die zwischen zwei Personen verschickt werden. Er kann private Nachrichten lesen und sogar den Inhalt dieser Briefe bearbeiten, bevor er sie an die vorgesehenen Empfänger weiterleitet.

In einem moderneren Beispiel platziert sich ein Angreifer im Pfad zwischen einem Benutzer und der Website, die er besuchen möchte, um Benutzernamen und Kennwort des Benutzers zu erfassen. Das geschieht, indem der Angreifer auf die HTTP-Verbindung zwischen dem Benutzer und der Website abzielt. Durch das Hijacking dieser Verbindung kann ein Angreifer als Proxy fungieren und die Informationen sammeln und ändern, die Benutzer und Website einander zusenden. Alternativ kann der Angreifer die Cookies eines Benutzers stehlen (kleine Daten, die von einer Website erstellt und zur Identifizierung und für andere Zwecke auf dem Computer eines Benutzers gespeichert werden). Diese gestohlenen Cookies können für das Hijacking der Sitzung des Benutzers verwendet werden, sodass ein Angreifer sich als dieser Benutzer auf der Website ausgeben kann.

Man-in-the-Middle-Angreifer können auch auf DNS-Server abzielen. Der DNS-Lookup-Prozess ermöglicht es Webbrowsern, Websites zu finden, indem Domainnamen in IP-Adressen übersetzt werden. Bei DNS-On-Path-Angriffen wie dem DNS-Spoofing und DNS-Hijacking kann ein Angreifer den DNS-Lookup-Prozess beeinträchtigen und Benutzer an falsche Seiten senden. Häufig sind das Seiten, die Schadsoftware verbreiten und/oder sensible Informationen sammeln.

Was ist E-Mail-Hijacking?

Ein weiterer häufiger On-Path-Angriff ist das E-Mail-Hijacking. Dabei infiltrieren die Angreifer im Pfad E-Mail-Server, indem sie sich zwischen einem E-Mail-Server und dem Web platzieren. Sobald der Server kompromittiert ist, können die Angreifer die E-Mail-Kommunikation für verschiedene Zwecke überwachen. Ein Betrugsszenario besteht darin, darauf zu warten, dass eine Person Geld an eine andere Person überweisen muss (z. B. ein Kunde an ein Unternehmen). Die Angreifer können dann eine gefälschte E-Mail-Adresse verwenden, um die Überweisung auf das Konto eines Angreifers anzufordern. Die E-Mail erscheint dem Empfänger legitim und harmlos („Entschuldigen Sie, meine letzte E-Mail enthielt einen Tippfehler! Meine korrekte Kontonummer lautet: XXX-XXXX“). Das macht diesen Angriff sehr effektiv und finanziell verheerend. Im Jahr 2015 nutzte ein Cybercrime-Ring in Belgien E-Mail-Hijacking, um über 6 Millionen Euro von verschiedenen europäischen Unternehmen zu stehlen.

Warum ist es riskant, öffentliche WLAN-Netzwerke zu nutzen?

Man-in-the-Middle-Angriffe werden häufig über WLAN-Netzwerke ausgeführt. Angreifer können böswillige WLAN-Netzwerke erstellen, die entweder harmlos erscheinen oder Klone legitimer WLAN-Netzwerke sind. Wenn ein Benutzer eine Verbindung zum kompromittierten WLAN-Netzwerk herstellt, kann ein Angreifer im Pfad die Online-Aktivitäten dieses Benutzers überwachen. Raffinierte Angreifer können sogar den Browser des Benutzers auf gefälschte Kopien legitimer Websites umleiten.

Wie kann man sich vor Man-in-the-Middle-Angreifern schützen?

Da Angreifer im Pfad verschiedene Methoden verwenden, gibt es für diese Angriffe keine einheitliche Lösung. Eine der grundlegendsten Schutzmöglichkeiten vor On-Path-Angriffen auf HTTP-Traffic ist die Verwendung von SSL/TLS. SSL/TLS stellt sichere Verbindungen zwischen Benutzern und Webdiensten her. Absolute Sicherheit bietet diese Lösung leider nicht, da es ausgefeiltere Angreifer im Pfad gibt, die den SSL/TLS-Schutz umgehen können. Um sich vor dieser Art von Angriffen weiter zu schützen, implementieren einige Webdienste HTTP Strict Transport Security (HSTS). HSTS erzwingt sichere SSL/TLS-Verbindungen mit jedem Browser oder jeder App, blockiert alle ungesicherten HTTP-Verbindungen und verhindert Cookie-Diebstahl. Erfahren Sie mehr über HSTS im Cloudflare-Blog.

Eine weitere Schutzmaßnahme vor diesen Angriffen sind Authentifizierungszertifikate. Eine Organisation kann die zertifikatbasierte Authentifizierung auf all ihren Geräten implementieren, sodass nur Benutzer mit ordnungsgemäß konfigurierten Zertifikaten auf ihr System zugreifen können.

Um E-Mail-Hijacking zu verhindern, können Secure/Multipurpose Internet Mail Extensions (S/MIM) verwendet werden. Dieses Protokoll verschlüsselt E-Mails und ermöglicht es Benutzern, E-Mails mit einem eindeutigen digitalen Zertifikat digital zu signieren, sodass der Empfänger weiß, dass es sich um eine legitime Nachricht handelt.

Auf individueller Basis können sich Benutzer auch vor On-Path-Angriffen schützen, indem sie es vermeiden, sensible Informationen in einem öffentlichen WLAN-Netzwerk zu übermitteln, es sei denn, sie sind durch ein sicheres virtuelles privates Netzwerk (VPN) geschützt.