What is a Man in the Middle (MitM) Attack?

Ein Man-in-the-Middle-Angriff (MitM) ist eine führende Cyber-Bedrohung , deren Name darauf zurückzuführen ist, dass sich ein Angreifer zwischen zwei Kommunikationsparteien einfügt. Wenn die gesamte Kommunikation auf dem Weg zum Ziel über den Angreifer läuft, besteht für den Angreifer die Möglichkeit, Nachrichten zu löschen, zu lesen oder zu ändern, bevor sie den beabsichtigten Empfänger erreichen.

Lesen Sie den Sicherheitsbericht Kostenloser Sicherheitscheck

What is a Man in the Middle (MitM) Attack?

So funktioniert ein Man-in-the-Middle-Angriff (MitM).

Um einen MitM-Angriff durchzuführen, muss der Angreifer zwei Ziele erreichen. Zunächst müssen sie sich so in die Kommunikation einbinden, dass sie den Verkehr auf dem Weg zu seinem Ziel abfangen können. Ein Angreifer könnte dies unter anderem wie folgt erreichen:

  • Schädliches WLAN: Der gesamte WLAN-Verkehr fließt über einen drahtlosen Zugangspunkt (AP), sodass ein Angreifer, der einen drahtlosen AP kontrolliert und Benutzer dazu verleiten kann, eine Verbindung zu ihm herzustellen, den gesamten Datenverkehr abfangen kann.
  • ARP-Spoofing: Das Address Resolution Protocol (ARP) wird verwendet, um IP-Adressen MAC-Adressen zuzuordnen. Durch die Verwendung gefälschter ARP-Nachrichten ordnet ein Angreifer die IP-Adresse des Ziels seiner MAC-Adresse zu, sodass der Datenverkehr des Ziels stattdessen an dieses Ziel gesendet wird.
  • DNS-Spoofing: Das Domain Name System (DNS) ordnet Domänennamen IP-Adressen zu. Das Vergiften eines DNS-Caches mit gefälschten DNS-Einträgen kann dazu führen, dass der Datenverkehr zur Zieldomäne an die IP-Adresse des Angreifers weitergeleitet wird.
  • BGP-Hijacking: Das Border Gateway Protocol (BGP) wird verwendet, um das autonome System (AS) mit der besten Route zu einer bestimmten IP-Adresse zu identifizieren. Beim BGP-Hijacking wird eine gefälschte Route angekündigt, um bestimmten Datenverkehr durch die Systeme des Angreifers fließen zu lassen.

Sobald der Angreifer mitten in einer Kommunikation ist, muss er in der Lage sein, die Nachrichten zu lesen; Allerdings wird ein erheblicher Prozentsatz des Internetverkehrs mit SSL/TLS verschlüsselt. Wenn der Datenverkehr verschlüsselt ist, erfordert das Lesen und Ändern der Nachrichten die Möglichkeit, die SSL/TLS-Verbindung zu fälschen oder zu unterbrechen.

Dies kann auf verschiedene Arten erreicht werden. Wenn ein Angreifer den Benutzer dazu verleiten kann, ein gefälschtes digitales Zertifikat für eine Site zu akzeptieren, könnte der Angreifer den Datenverkehr des Clients entschlüsseln und ihn lesen oder ändern, bevor er ihn an den Server weiterleitet. Alternativ kann ein Angreifer die Sicherheit der SSL/TLS-Sitzung durch SSL-Stripping- oder Downgrade-Angriffe beeinträchtigen.

Beispiele für Man-in-the-Middle-Angriffe

MitM-Angriffe können auf verschiedene Arten durchgeführt werden, die vom angegriffenen Protokoll und dem Ziel des Angreifers abhängen. Beispielsweise ist die Durchführung eines MitM-Angriffs einfacher, wenn der Kommunikationsstrom unverschlüsselt ist und sich der Angreifer natürlich auf der Route befindet, die der Zielverkehr nehmen wird.

Szenario 1: Anfällige IoT-/Mobile-Anwendung

Der durchschnittliche Benutzer wurde darüber informiert, wie er anhand des https- und Schlosssymbols in der URL-Leiste feststellen kann, ob seine Webbrowsersitzung verschlüsselt ist. Allerdings ist die Überprüfung, ob Datenströme verschlüsselt sind, bei mobilen Anwendungen und Internet der Dinge (IoT-Geräten) schwieriger. Es ist nicht ungewöhnlich, dass diese über eine geringe Sicherheit verfügen und für die Kommunikation unverschlüsselte Protokolle wie Telnet oder HTTP verwenden.

Wenn dies der Fall ist, kann ein Angreifer die zwischen der mobilen App oder dem IoT-Gerät und dem Server fließenden Daten leicht lesen und möglicherweise ändern. Durch die Verwendung eines drahtlosen Zugangspunkts oder eine Form von Spoofing kann sich der Angreifer in den Kommunikationsstrom einmischen, sodass der gesamte Datenverkehr über ihn fließt. Da diesen Protokollen integrierte Prüfungen auf Datenintegrität oder -authentizität fehlen, kann der Angreifer den Inhalt des Datenverkehrs nach Belieben ändern.

Szenario 2: Gefälschte digitale Zertifikate

SSL/TLS soll vor MitM-Angriffen schützen, indem es Vertraulichkeit, Integrität und Authentifizierung für den Netzwerkverkehr gewährleistet. Es setzt jedoch voraus, dass der Benutzer nur gültige digitale Zertifikate für eine bestimmte Domäne akzeptiert. Wenn der Angreifer den Benutzer dazu verleiten kann, eine Phishing-Seite zu besuchen, ihn davon zu überzeugen, ein gefälschtes Zertifikat zu akzeptieren oder das digitale Zertifikat zu kompromittieren, das ein Unternehmen für die SSL-Überprüfung verwendet, dann sind diese Schutzmaßnahmen gebrochen.

In diesem Szenario verwaltet der Angreifer zwei separate Sitzungen, die mit SSL/TLS verschlüsselt sind. In einem Fall stellt es eine Verbindung zum Client her, während es sich als Server ausgibt und sein gefälschtes SSL-Zertifikat verwendet. Im anderen Fall stellt es sich als Client dar, der eine Verbindung zum legitimen Server herstellt. Da der Angreifer beide Sitzungen kontrolliert, kann er Daten aus einer Sitzung entschlüsseln, sie überprüfen und ändern und sie für die andere Sitzung erneut verschlüsseln.

Vermeidung von Man-in-the-Middle-Angriffen

MitM-Angriffe setzen voraus, dass der Angreifer den Datenverkehr abfangen und lesen kann. Zu den Best Practices für die Internetsicherheit , um dies zu verhindern, gehören:

  • Vorsicht vor öffentlichem WLAN: Der gesamte Datenverkehr über öffentliches WLAN läuft über den AP, der möglicherweise unter der Kontrolle eines Angreifers steht. Stellen Sie nur eine Verbindung zu bekannten und vertrauenswürdigen WLAN-Netzwerken her.
  • Verwenden Sie ein VPN: Virtuelle private Netzwerke (VPNs) verschlüsseln den Datenverkehr zwischen einem Remote-Benutzer oder Standort und dem VPN-Endgerät. Dadurch wird verhindert, dass ein MitM-Angreifer abgefangenen Datenverkehr liest oder verändert.

Digitale Zertifikate validieren: Eine legitime Website sollte immer über ein digitales Zertifikat verfügen, das in einem Browser als gültig angezeigt wird. Das Vertrauen in ein verdächtiges Zertifikat könnte einen MitM-Angriff ermöglichen.

Schützen Sie sich mit Check Point vor MITM

Fernzugriffs-VPNs von Check Point können dazu beitragen, Remote-Mitarbeiter vor MitM-Angriffen und anderen Cyberangriffen zu schützen. Um mehr über die Cyberbedrohungen zu erfahren, denen Ihr Unternehmen ausgesetzt ist, lesen Sie den Cybersicherheit Report 2023. Nehmen Sie dann am kostenlosen Sicherheitscheck teil, um zu erfahren, wie Ihr Unternehmen seine Sicherheitslage verbessern kann.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK