Was ist eigentlich eine Man-in-the-Middle-Attacke?

Von einer „Man-in-the-Middle“-Attacke, kurz MITM-Attacke, haben sicherlich die meisten bereits gehört. Was eine Man-in-the-Middle-Attacke genau ist, welche Variante des Angriffs es gibt und wie man sich davor schützen kann, erkläre ich in diesem Blog-Beitrag.

Die Theorie

Wie bei (fast) allen Angriffen durch Cyber-Kriminelle, ist das Ziel einer Man-in-the-Middle-Attacke Daten zu stehlen.
Wie der Name schon vermuten lässt, platziert sich der Angreifer bei dieser Art Attacke zwischen dem Opfer seines Angriffs und einer weiteren Partei, der das Opfer Daten senden möchte. Das können Bankdaten sein; Dokumente, die per E-Mail verschickt werden oder Nachrichten, die zwischen zwei Parteien ausgetauscht werden.
Der Trick bei der Man-in-the-Middle-Attacke ist, unerkannt zu bleiben. Damit dies gelingt, muss sich der Angreifer im Optimalfall gegenüber beiden Seiten, jedoch mindestens gegenüber einer der Parteien, erfolgreich als die jeweils andere Partei der Kommunikation ausgeben. Es ist jedoch unerlässlich für den Erfolg der Attacke, dass der Angreifer von keiner der beiden Parteien entdeckt wird.

Häufige Arten der Man-in-the-Middle-Attacke

Evil-Hotspot:

Bei dieser Variante der Man-in-the-Middle-Attacke gibt sich der Angreifer als Hotspot, beispielsweise an einem Flughafen oder in einem Einkaufszentrum, aus. Hierfür konfiguriert er sein mobiles Endgerät, so dass dieses als Hotspot funktioniert und gibt diesem einen gängigen Namen für ein öffentliches WLAN. Verbindet sich ein Nutzer mit diesem angeblichen öffentlichen WLAN und besucht eine Website, so kann der Angreifer die eingebenen Daten, wie beispielsweise die Login-Daten beim Online-Banking kompromittieren.

Schwachstellen eines WLAN-Routers:

Bei dieser Variante nutzt der Angreifer eine Schwachstelle in einem „echten“ Router aus. So kann er die Kommunikation zwischen dem Router und dem Nutzer „abhören“. Dies ist komplizierter als die Evil-Hotspot-Variante, kann jedoch unter Umständen länger aufrecht erhalten werden und führt somit zu größerem Erfolg, da über einen längeren Zeitraum auch mehr Daten ausgelesen werden können.

Man-in-the-Browser-Attack

Hierbei installiert ein Angreifer Schadsoftware im Browser eines Internetnutzers. Dies ist besonders erfolgreich, wenn die verwendete Software des betroffenen Rechners nicht auf dem neuesten Stand ist und dementsprechend Sicherheitslücken aufweist. Genutzt werden für diesen Angriff oft Browser-Plugins. Diese zeichnen die Kommunikation zwischen dem infiltrierten Nutzer und den besuchten Webseiten auf.

DHCP-basierte Angriffe

Bei dieser Art von Man-in-the-Middle-Attacke gibt sich ein Hacker innerhalb eines LAN als DHCP-Server aus. Ein vorgetäuschter DHCP-Server ermöglicht dem Angreifer die Vergabe von IP-Adressen zu steuern, beliebige Standardgateways und DNS-Server einzutragen und so den Datenverkehr auf seinen Rechner umzuleiten, um ihn abzuhören oder zu manipulieren. Dies nennt man auch DHCP-Spoofing. Unerlässlich für den Erfolg dieses Angriffs ist es, dass sich der Angreifer im gleichen LAN befindet, wie sein Angriffsziel.

ARP-Cache-Poisoning

ARP-Cache-Poisoning setzt an der Zuordnung von MAC-Adresse zu lokaler IP an. Die ARP-Tabellen werden manipuliert, um einen Rechner als WLAN-Access-Point auszugeben.

Ist ein ARP-Spoofing erfolgreich, kann der Angreifer den gesamten ausgehenden Datenverkehr mitlesen oder aufzuzeichnen, bevor dieser an den echten Gateway weitergeleitet wird. Auch hier muss sich der Angreifer im gleichen Netzwerk, wie sein Opfer befinden.

DNS-basierte Angriffe

Cache-Poisoning setzt am Domain-Name-System des Internets an. Die Angreifer manipulieren Einträge im Cache eines DNS-Servers. Ziel dabei ist, dass dieser mit falschen, vorgegebenen Zieladressen antwortet. So kann das Opfer unbemerkt auf eine beliebige, eventuell manipulierte Website umgeleitet werden. Erfolgreich ist ein solcher Angriff durch das Ausnutzen von Sicherheitslücken älterer DNS-Server.

Wie kann man sich vor Man-in-the-Middle-Attacken schützen?

Gegen viele Angriffe hilft auch gegen die Man-in-the-Middle-Attacke: Augen aufhalten, nicht jeden Link klicken, nicht jedem Netzwerk vertrauen und bedacht mit den eigenen Daten umgehen.

Jedoch gibt es auch Man-in-the-Middle-Attacken, bei denen diese Vorgehensweise nicht reicht. Daher empfehlen sich noch folgende andere Maßnahmen:

  • Bedachter Umgang mit unbekannten Netzwerken bzw. deren Vermeidung
  • Online-Banking und vergleichbare sensible Vorgänge in bekannten, vertrauenswürdigen Netzwerken absolvieren
  • Installierte Software auf dem neuesten Stand halten
  • Regelmäßig Sicherheitsupdates durchführen
  • Bekannte Sicherheitslücken sofort schließen
  • Aktuelle Sicherheitsstandards einhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *