Was ist ein Man-in-the-Middle-Angriff?
Wie der Name bereits andeutet, ist ein Man-in-the-Middle-Angriff (MITM) eine Art von Cyberangriff, bei dem ein Bedrohungsakteur den Austausch zwischen einem Netzwerknutzer und einer Web-Applikation abfängt. Das Ziel eines MITM-Angriffs ist es, heimlich Informationen wie persönliche Daten, Kennwörter oder Bankdaten zu erfassen bzw. eine Partei nachzuahmen, um an zusätzliche Informationen zu gelangen oder Aktionen zu veranlassen. Zu diesen Aktionen gehören beispielsweise die Änderung von Anmeldedaten, das Abschließen einer Transaktion oder die Überweisung von Geldern.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenEs werden zwar häufig Privatpersonen ins Visier genommen, doch stellen MITM-Angriffe auch eine ernste Bedrohung für Unternehmen und große Organisationen dar. Ein von Hackern häufig genutzter Zugangspunkt sind SaaS-Applikationen (Software-as-a-Service) wie Nachrichtendienste, Dateispeichersysteme oder Anwendungen für Remote-Arbeit. Angreifer können diese Applikationen als Zugang zum gesamten Unternehmensnetzwerk nutzen und potenziell beliebig viele Ressourcen wie Kundendaten, geistiges Eigentum oder interne Informationen über das Unternehmen und seine Mitarbeiter kompromittieren.
Wie läuft ein Man-in-the-Middle-Angriff ab?
Ein MITM-Angriff besteht allgemein aus zwei Phasen: Abfangen und Entschlüsselung.
Phase 1: Abfangen
In der Abfangphase erlangen Cyberkriminelle durch einen offenen oder unzureichend geschützten WLAN-Router bzw. durch Manipulation von DNS-Servern (Domain Name System) Zugang zu einem Netzwerk. Anschließend suchen sie im Router nach Schwachstellen und möglichen Einfallstoren (meist ein schwaches Kennwort). Cyberkriminelle verwenden allerdings auch raffiniertere Methoden wie IP-Spoofing oder Cache Poisoning.
Sobald die Angreifer ein Ziel ausgewählt haben, setzen sie in der Regel Datenerfassungstools ein, um die vom Opfer übertragenen Daten zu erfassen, Datenverkehr strategisch umzuleiten oder die Web-Interaktionen des Benutzers auf andere Art und Weise zu manipulieren.
Phase 2: Entschlüsselung
Die zweite Phase eines MITM-Angriffs ist die Entschlüsselung. Hierbei werden gestohlene Daten dekodiert, sodass die Cyberkriminellen sie lesen können. Die entschlüsselten Daten können für zahlreiche kriminelle Zwecke wie Identitätsdiebstahl, nicht autorisierte Einkäufe oder betrügerische Bankaktivitäten genutzt werden. In einigen Fällen dienen MITM-Angriffe keinem anderen offensichtlichen Zweck, als die Geschäftsabläufe der Opfer zu stören und Chaos anzurichten.
MITM-Techniken
Bei der Durchführung von MITM-Angriffen kommen zahlreiche Methoden zum Einsatz, zum Beispiel:
- Nachahmung eines Standard-Internetprotokolls (IP), um Benutzer zur Herausgabe persönlicher Daten oder zu bestimmten Aktionen zu verleiten (z. B. eine Überweisung durchzuführen oder ein Kennwort zu ändern)
- Umleitung eines Benutzers von einer bekannten zu einer gefälschten Webseite, um Datenverkehr umzuleiten bzw. Anmelde- sowie andere persönliche Daten zu erfassen
- Simulation eines WLAN-Zugangspunkts, um Webaktivitäten abzufangen und persönliche Daten zu erfassen
- Erstellung von gefälschten SSL-Zertifikaten (Secure Sockets Layer), mit denen Benutzern gegenüber der Anschein einer sicheren Verbindung erweckt wird, obwohl die Verbindung kompromittiert ist
- Umleitung von Datenverkehr zu einer unsicheren Webseite, auf der dann Anmeldedaten und persönliche Daten erfasst werden
- Abfangen von Webaktivitäten (z. B. E-Mails), um persönliche Daten zu erfassen und Informationen für weitere Betrugsversuche zu sammeln, z. B. für Phishing-Versuche
- Diebstahl von Browser-Cookies, die persönliche Daten enthalten
Beispiel eines Man-in-the-Middle-Angriffs
Vor kurzem identifizierte CrowdStrike das TrickBot-Modul shaDll in einem MITM-Angriff. Das Modul installierte gefälschte SSL-Zertifikate auf infizierten Rechnern, die dem Tool Zugriff auf das Nutzernetzwerk gewährten. Anschließend war das Modul in der Lage, Webaktivitäten umzuleiten, Code einzuschleusen, Screenshots anzufertigen und Daten zu erfassen.
Besonders interessant an diesem Angriff war die offensichtliche Zusammenarbeit zweier bekannter Cybercrime-Gruppen: LUNAR SPIDER und WIZARD SPIDER. Das Modul nutzte das BokBot-Proxy-Modul von LUNAR SPIDER als Grundlage und führte den Angriff mit dem TrickBot-Modul von WIZARD SPIDER weiter. Die Zusammenarbeit dieser beiden Bedrohungsakteure verdeutlicht die zunehmende Komplexität von MITM-Angriffen und den Bedarf für ein geschärftes Sicherheitsbewusstsein.
So verhindern Sie Man-in-the-Middle-Angriffe
Mit zunehmender Komplexität der Man-in-the-Middle-Angriffe wird es immer schwieriger, diese Ereignisse zu erkennen. In vielerlei Hinsicht bieten Präventionstechniken den besten Schutz vor diesem Angriffstyp. Unternehmen und große Organisationen sollten ihren Schutz allerdings auch durch Überwachungs- und Erkennungsfunktionen verstärken. Für umfassenden Schutz von Netzwerken vor MITM-Angriffen empfiehlt CrowdStrike Unternehmen folgende Maßnahmen:
- Netzwerknutzer sollten starke Kennwörter wählen und diese regelmäßig ändern.
- Aktivieren Sie MFA (Multifaktor-Authentifizierung) für alle Netzwerkressourcen und -anwendungen.
- Entwickeln und implementieren Sie starke Verschlüsselungsprotokolle.
- Statten Sie alle Netzwerkressourcen mit VPN-Funktionen (virtuelles privates Netzwerk) aus.
- Implementieren Sie eine umfassende Lösung zur Bedrohungsüberwachung und -erkennung.
- Segmentieren Sie das Netzwerk, damit potenzielle Kompromittierungen eingedämmt werden können.
- Sensibilisieren Sie Ihre Mitarbeiter für die Risiken offener WLAN-Netzwerke.
Auch wenn es für Privatpersonen eventuell nicht praktikabel ist, Erkennungsfunktionen für Man-in-the-Middle-Angriffe zu installieren, kann die Einhaltung allgemeiner Cybersicherheitstechniken helfen, ein Eindringen zu verhindern. Für Privatnutzer empfehlen wir die folgenden bewährten Methoden:
- Installieren Sie eine Sicherheitssoftware zur Malware-Erkennung.
- Wählen Sie starke Kennwörter und ändern sie diese regelmäßig.
- Aktivieren Sie Multifaktor-Authentifizierung.
- Meiden Sie offene WLAN-Netzwerke bzw. unzureichend geschützte öffentliche Netzwerke.
- Achten Sie darauf, immer nur sichere Webseiten zu nutzen (erkennbar am https:// in der URL).