Man-in-the-Middle: Tipps zur Erkennung und Prävention

Ein Man-in-the-Middle-Angriff ist eine Form des Cyberangriffs, bei dem Methoden zum Abfangen von Daten verwendet werden, um einen vorhandenen Verbindungs- oder Kommunikationsprozess zu infiltrieren. Ein Angreifer kann ein passiver Zuhörer in Ihrer Konversation sein, der heimlich Informationen stiehlt, oder ein aktiver Teilnehmer, der den Inhalt Ihrer Nachrichten ändert oder sich als die Person oder das System ausgibt, mit denen Sie zu sprechen glauben.



Denken Sie an das 20. Jahrhundert zurück, als viele Festnetzanschlüsse mit mehreren Mobilteilen hatten und ein Familienmitglied abheben konnte, während ein anderes sprach. Sie können nicht einmal vermuten, dass jemand anderes Ihnen zuhört, bis er anfängt, sich in das Gespräch einzumischen. Dies ist das Prinzip eines Man-in-the-Middle-Angriffs.

Wie funktioniert ein Man-in-the-Middle-Angriff?

Die meisten Man-in-the-Middle-Angriffe haben unabhängig von den verwendeten Methoden eine einfache Abfolge von Aktionen. Betrachten wir es am Beispiel von drei Charakteren: Alice, Bob und Chuck (der Angreifer).

1. Chuck hört heimlich den Kanal mit, auf dem Alice und Bob kommunizieren
2. Alice sendet eine Nachricht an Bob
3. Chuck fängt Alices Nachricht ab und liest sie ohne Alice oder Bobs Wissen.
4. Chuck verändert Nachrichten zwischen Alice und Bob und erzeugt unerwünschte oder gefährliche Antworten

Man-in-the-Middle-Angriffe werden normalerweise früh in der Tötungskette eingesetzt - während Aufklärung, Invasion und Infektion. Angreifer verwenden häufig Man-in-the-Middle-Angriffe, um Anmeldeinformationen und Informationen zu ihren Zielen zu sammeln.



Die Multi-Faktor-Authentifizierung kann eine wirksame Abwehr gegen Diebstahl von Anmeldeinformationen sein. Selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort herausfindet, benötigt er Ihren zweiten Authentifizierungsfaktor, um sie verwenden zu können. Leider kann in einigen Fällen der Multi-Faktor-Schutz umgangen werden .



Hier ist ein praktisches Beispiel für einen realen Man-in-the-Middle-Angriff auf Microsoft Office 365, bei dem ein Angreifer die Multi-Faktor-Authentifizierung umgangen hat:

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

Sie können eine Live-Demo dieses Angriffs während unserer wöchentlichen Cyber-Angriffsseminare sehen .

Methoden und Arten von Man-in-the-Middle-Angriffen

Hier sind einige gängige Taktiken, mit denen Angreifer zum „Mann in der Mitte“ werden.

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

Wie häufig sind Man-in-the-Middle-Angriffe?

Man-in-the-Middle-Angriffe gibt es schon seit langer Zeit, und obwohl sie nicht so häufig sind wie Phishing, Malware oder sogar Ransomware, sind sie normalerweise Teil eines komplexen gezielten Angriffs, bei dem der Angreifer klare Absichten hat. Zum Beispiel kann ein Angreifer, der eine Bankkartennummer stehlen möchte, diese Daten finden, indem er den WLAN-Verkehr in einem Café abfängt. Ein anderer Angreifer könnte Man-in-the-Middle-Angriffe als Teil eines größeren Plans verwenden, um in das Netzwerk eines großen Unternehmens einzudringen. Unser Man-in-the-Middle-Angriffslabor zeigt, wie ein Angreifer Malware verwenden kann, um den Netzwerkverkehr abzufangen und Unternehmens-E-Mails zu infiltrieren.

So erkennen Sie einen Man-in-the-Middle-Angriff

Man-in-the-Middle-Angriffe sind subtil, aber ihre Anwesenheit hinterlässt immer noch Spuren in der normalen Netzwerkaktivität, und Cybersicherheitsfachleute und Endbenutzer können diese Spuren finden. Es ist allgemein anerkannt, dass Prävention besser ist als Erkennung.

Anzeichen eines Man-in-the-Middle-Angriffs

Hier sind einige Anzeichen dafür, dass Sie möglicherweise ungebetene Hörer in Ihren Netzwerken haben:

• Unerwartete oder wiederholte Trennung: Angreifer zwingen Benutzer, die Verbindung zu trennen, um den Benutzernamen und das Kennwort abzufangen, wenn sie versuchen, die Verbindung wiederherzustellen. Durch die Überwachung unerwarteter oder wiederkehrender Fahrten können Sie ein derart gefährliches Verhalten im Voraus antizipieren.
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

Hier finden Sie einige Richtlinien zum Schutz von Ihnen und Ihren Netzwerken vor Man-in-the-Middle-Angriffen. Keiner von ihnen garantiert jedoch eine 100% ige Zuverlässigkeit.

Allgemeine Best Practices

Die Einhaltung der allgemeinen Cybersicherheitsregeln hilft Ihnen, sich gegen Man-in-the-Middle-Angriffe zu verteidigen:

• Stellen Sie nur eine Verbindung zu gesicherten WLAN-Routern her oder verwenden Sie die verschlüsselte Verbindung Ihres Mobilfunkanbieters. Stellen Sie eine Verbindung zu Routern her, die das WPA2-Sicherheitsprotokoll verwenden. Es bietet keine absolute Sicherheit, ist aber immer noch besser als nichts.
• Verwenden Sie ein VPN , um den Datenverkehr zwischen Endpunkten und dem VPN-Server (in Ihrem Unternehmensnetzwerk oder im Internet) zu verschlüsseln. Wenn der Verkehr verschlüsselt ist, ist es für den „Mann in der Mitte“ schwieriger, ihn abzufangen oder zu ändern.
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

Durch die End-to-End-Verschlüsselung wird verhindert, dass ein Angreifer Ihre Netzwerknachrichten liest, selbst wenn er Ihren Datenverkehr abhört. Bei der Verschlüsselung verwenden Absender und Empfänger einen gemeinsamen Schlüssel, um die übertragenen Nachrichten zu verschlüsseln und zu entschlüsseln. Ohne diesen Schlüssel sehen Ihre Nachrichten wie ein Haufen zufälliger Zeichen aus, und der "Mann in der Mitte" kann nicht davon profitieren.



Die Verschlüsselung erschwert es einem Angreifer, Netzwerkdaten abzufangen und zu lesen, ist jedoch weiterhin möglich und bietet keinen vollständigen Schutz gegen die Offenlegung Ihrer Informationen, da Angreifer Methoden zur Umgehung der Verschlüsselung entwickelt haben.



Zum Beispiel in unserem Labor, das Man-in-the-Middle-Angriffe untersuchtWir zeigen, wie ein Angreifer ein Authentifizierungstoken stehlen kann, das einen Benutzernamen, ein Kennwort und Informationen zur Multi-Faktor-Authentifizierung enthält, um sich bei einem E-Mail-Konto anzumelden. Sobald das Sitzungscookie entführt wurde, spielt es keine Rolle, ob die Kommunikation zwischen dem Client und dem Server verschlüsselt ist. Der Hacker meldet sich einfach als Endbenutzer an und kann auf dieselben Informationen wie dieser Benutzer zugreifen.

Die Zukunft der Man-in-the-Middle-Angriffe

Man-in-the-Middle-Angriffe bleiben ein wirksames Instrument im Arsenal der Angreifer, solange sie sensible Daten wie Passwörter und Bankkartennummern abfangen können. Es gibt ein andauerndes Wettrüsten zwischen Softwareentwicklern und Netzwerkdienstanbietern einerseits und Cyberkriminellen andererseits, um Schwachstellen zu beseitigen, die Angreifer zum Starten ihrer Angriffe verwenden.



Nehmen wir zum Beispiel die massive Erweiterung des Internet der Dinge (IoT)für die letzten Jahre s. IoT-Geräte erfüllen noch nicht die Sicherheitsstandards und verfügen nicht über dieselben Funktionen wie andere Geräte. Dadurch sind sie anfälliger für Man-in-the-Middle-Angriffe. Angreifer verwenden sie, um in das Netzwerk einer Organisation einzutreten und dann zu anderen Methoden überzugehen. Wer hätte gedacht, dass ein Kühlschrank mit Internetzugang nicht nur ein neues modisches Gerät ist, sondern auch ein Loch im Sicherheitssystem? Cyberkriminelle wissen das!



Weit verbreitete drahtlose Netzwerke wie 5GIst eine weitere Möglichkeit für Angreifer, Man-in-the-Middle-Angriffe zu verwenden, um Daten zu stehlen und Organisationen zu infiltrieren. Dies wurde auf der Computersicherheitskonferenz BlackHat 2019 ausführlich demonstriert. Unternehmen der drahtlosen Technologie sind dafür verantwortlich, Schwachstellen wie die auf BlackHat gezeigten zu beheben und Benutzern und Geräten ein sicheres Rückgrat zu bieten.



Aktuelle Trends sind derart, dass die Anzahl der mit ihnen verbundenen Netzwerke und Geräte zunimmt, was bedeutet, dass Angreifer mehr Möglichkeiten haben, Man-in-the-Middle-Methoden anzuwenden. Wenn Sie die verräterischen Anzeichen eines Man-in-the-Middle-Angriffs kennen und Erkennungstechniken anwenden, können Sie Angriffe erkennen, bevor sie Schaden verursachen.



Besuchen Sie unserLive Cyber ​​Attack Workshop , in dem wir zeigen, wie ein Man-in-the-Middle-Angreifer das Authentifizierungstoken eines Benutzers abfangen kann, um vertrauliche Daten zu infiltrieren und zu stehlen. Wir werden auch zeigen, wie Varonis diese Art von Angriff erkennen kann.