„In meinem WLAN wohnt ein kleiner Mann“, schrie die alte Dame immer wieder, als zwei Männer in weißen Anzügen sie in einen Krankenwagen luden. Plot-Twist: Sie hatte Recht.

Was ist ein Man-in-the-Middle-Angriff?

„Man-in-the-Middle-Angriff“ ist ein Sammelname für Cyber-Angriffe aller Art, bei denen sich jemand zwischen Ihnen und dem, was Sie gerade online tun, einklinkt:zwischen Ihnen und Ihrem Online-Banking, zwischen Ihnen und Ihrem Chat mit Ihrer Mutter, zwischen Ihren geschäftlichen E-Mails und dem Absender/Empfänger oder zwischen Ihnen und dem Feld, in das Sie Ihre Zahlungsdaten eingeben – oder oder oder.

Bei einem Man-in-the-Middle-Angriff schalten sich Hacker zwischen Ihnen und Ihrem Online-Banking, Ihrem Chat mit Ihrer Mutter, Ihren geschäftlichen E-Mails, Ihren Zahlungsdaten ein...

Stellen Sie sich vor, Ihr Postbote wirft einen Blick auf Ihre Briefe, bevor er sie Ihnen zustellt. Er schnappt sich die nagelneue Kreditkarte mit Ihrem Namen, die mit der Post kommt. Er ändert ein paar Sätze in einem Brief, den Sie gerade an Ihre Ex geschrieben haben. Er gibt Ihre intimsten Details an den Meistbietenden unter Ihren Nachbarn weiter.

Genau das passiert bei einem Man-in-the-Middle-Angriff (von jetzt an: MITM der Kürze halber), nur dass es online geschieht. MITM-Angriffe ermöglichen es Hackern, Daten von und zu Ihrem Gerät unbemerkt abzufangen, zu senden und zu empfangen, bis die Transaktion abgeschlossen ist.

Beliebte Ziele für MITM-Angriffe (Tipp: Es geht immer ums Geld)

Besonders häufig ins Visier genommen werden bei MITM-Angriffen:

  • Online-Shopping-Websites
  • Online-Banking-Websites
  • Beliebige andere Websites, auf denen Sie sich anmelden müssen, bevor Sie auf Ihre Konten- und Kreditkartendaten zugreifen können

Kriminelle gehen dorthin, wo Ihr Geld ist, das ist nicht weiter überraschend.

Arten von Man-in-the-Middle-Angriffen

E-Mail-Hijacks (oder wie man mit einer einzigen kleinen E-Mail 500.000 Dollar verliert)

Wenn die Vorstellung, dass jemand Ihre E-Mails abfangen und sogar E-Mails von Ihrem eigenen Konto aus senden könnte, für Sie wie Science-Fiction klingt, stellen wir Ihnen hier die Luptons vor.

Die Luptons sind ein britisches Paar, das sich entschieden hat, seine Wohnung zu verkaufen. Als der Verkauf abgeschlossen war, schickte ihnen ihr Anwalt eine E-Mail, um nach ihrer Kontonummer zu fragen, damit er ihnen das Geld überweisen konnte. Das taten die Luptons – mit Freuden.

Was sie nicht wussten, war, dass eine Gruppe von Cyberkriminellen sowohl die E-Mail ihres Anwalts als auch ihre Antwort gelesen hatte. Diese Kriminellen schickten dem Anwalt über das E-Mail-Konto der Luptons eine E-Mail, in der sie ihn anwiesen, die bisherige Kontonummer zu ignorieren und das Geld stattdessen auf ein anderes Konto zu schicken. Auf diese Weise haben diese Kriminellen Paul und Ann Lupton £ 333.000 (fast $ 500.000) gestohlen.

Die Luptons wurden nicht durch blinden Zufall ins Visier genommen. Hacking-Tools können ungeschützte E-Mails massenhaft nach der richtigen Wortkombination durchsuchen

Jetzt denken Sie vielleicht: „Moment mal, es ist doch ein außerordentlich unglücklicher Zufall, dass jemand gerade in diesem Moment die E-Mail-Kommunikation ausspioniert hat. Das Risiko, dass das passiert, muss astronomisch gering sein.“

So funktioniert das nicht.

Die Luptons wurden nicht durch blinden Zufall ins Visier genommen, und es war auch nichts Persönliches – Hacking-Tools ermöglichen es Kriminellen heutzutage, ungeschützte E-Mail-Kommunikation im Prinzip massenhaft zu scannen und nach der richtigen Wortkombination zu suchen, bis sie finden, wonach sie suchen. Und wie das Beispiel der Luptons zeigt, kann das jedem zustoßen.

WLAN-MITM (a.k.a. OMG WTH)

WLAN-Lauschangriffe sind eine große Sache. Bei WLAN-Man-In-The-Middle-Angriffen kommt üblicherweise ein bösartiges Netzwerk oder ein „Evil Twin“ (genau das, wonach es klingt, wenn Sie je Soaps angeschaut haben) zum Einsatz.

  • Bösartige Netzwerke sind einfach öffentliche WLAN-Netzwerke, die von Hackern eingerichtet wurden, komplett mit verlockenden Namen wie „Gratis WLAN“ oder „Sieht aus wie Starbucks WLAN, ist aber keins“.
  • Bei Evil-Twin-Angriffen richten Hacker öffentliche WLAN-Netzwerke ein, die die legitimen Netzwerke, die Sie früher schon verwendet haben, vollkommen imitieren. Dies kann dazu führen, dass Ihre Geräte darauf hereinfallen und sich automatisch verbinden, da sie so konzipiert sind, Ihnen das Leben zu erleichtern, sodass Sie nicht wiederholt Passwörter eingeben müssen.

In beiden Fällen sind die Hacker uneingeschränkt im Besitz dieser Verbindungen und wenn die Leute Verbindung aufnehmen, läuft alles, was sie dann tun, über die Hacker. Der Hacker kann dann ihre Passwörter, Anmelde- und Zahlungsdaten sowie andere sensible persönliche Daten stehlen.

Evil Twins können genauso aussehen wie ihr unbescholtenes Gegenstück: das WLAN-Netzwerk des Hotels, in dem Sie wohnen, oder das Café, das Sie besuchen, oder der Flughafen, in dem Sie einen Zwischenstopp einlegen.


„Woher soll ich dann wissen, ob das kostenlose WLAN, mit dem ich mich gerade verbunden habe, echt oder gefälscht ist? Wie kann ich mich schützen?“ denken Sie jetzt vielleicht. Keine Sorge: es gibt Hoffnung, und es ist relativ einfach. Dazu kommen wir gleich.

Aber werfen wir zunächst einen Blick auf...

Session-Hijacks (oder Cookie-Diebstahl – Hacken für Fortgeschrittene)

Bei einer weiteren Art von MITM-Angriff fangen Kriminelle die Codeschnipsel ab, die Ihr Browser generiert, um eine Verbindung zu verschiedenen Websites herzustellen. Dies ist bekannt als Cookie-Hijacking, und es ist bei weitem nicht so lustig, wie es klingt.

Diese Codeschnipsel oder Session-Cookies können tonnenweise wichtige persönliche Informationen enthalten, von Benutzernamen und Passwörtern bis hin zu vorgefertigten Formularen, Ihren Online-Aktivitäten – sogar Ihrer Postadresse. Und sobald ein Hacker all diese Informationen in die Finger bekommen hat, kann er alles Mögliche damit anstellen, nur nichts Gutes: Er kann sich online als Sie ausgeben, bei Finanzseiten anmelden, Ihre Identität stehlen, Betrug begehen usw.

Man-In-The-Browser-Angriff

Sie erledigen Ihr Online-Banking und sehen Ihren üblichen Bildschirm – aber das ist eine Tarnung, um Sie zu täuschen, während Hacker Ihr Geld aus Ihrem Konto abbuchen.

Man-In-The-Browser. MITB. MIB. Es läuft alles darauf hinaus: Ein Trojaner infiziert Ihr Gerät und ermöglicht es Kriminellen, sich in Ihre Online-Transaktionen einzuklinken (E-Mails, Zahlungen, Bankgeschäfte, was auch immer), sodass sie sie für ihre Zwecke verfälschen können – alles ohne dass Sie es merken, denn was Sie zu sehen bekommen, ist das, was die Hacker Ihnen zeigen.

Sie erledigen Ihr Online-Banking und sehen Ihren üblichen Bildschirm mit dem Guthaben, das Sie erwarten – aber das ist eine Tarnung, um Sie zu täuschen: Ihre Bank erhält Anfragen von Kriminellen, die sich als Sie ausgeben, um Geld von Ihrem Konto abzubuchen usw. Sie sehen es nur nicht. Wenn Sie merken, was passiert, ist es zu spät.

Diese MITB-Trojaner gelangen typischerweise über Phishing-Betrügereien auf Ihren Computer, weshalb wir Ihnen hier immer wieder ans Herz legen, wie wichtig es ist, zweifelhafte E-Mails nicht zu öffnen und beim Surfen die richtigen Vorsichtsmaßnahmen zu treffen

Wie funktionieren Man In The Middle-Angriffe?

Ein MITM-Angriff läuft in zwei Schritten ab:

Schritt 1: Abfangen

Der erste Streich für Man-In-The-Middle-Angreifer besteht darin, Ihren Internet-Datenverkehr abzufangen, bevor er sein Ziel erreicht. Dafür gibt es eine Reihe von Methoden:

  • IP-Spoofing: Wie eine Bande von Bankräubern, die gefälschte Nummernschilder an ihrem Fluchtauto anbringt, so fälschen Hacker beim IP-Spoofing die tatsächliche Quelle der Daten, die sie an Ihren Computer senden, und geben sie dadurch als freundliche, vertrauenswürdige Quelle aus. Die Daten werden online in kleinen Datenpaketen übertragen, die jeweils mit einem eigenen Identifizierungs-Tag versehen sind. IP-Spoofer ändern diese Tags in etwas, das Ihr Computer oder Smartphone als legitime Website oder Dienstleistung erkennt. Fazit: Ihr Gerät kommuniziert schließlich mit einem Betrüger, der sich als echt ausgibt.
  • ARP-Spoofing: Bei dieser auch als ARP-Cache-Poisoning oder ARP-Poison-Routing bekannten MITM-Methode senden Hacker ein falsches ARP (Address Resolution Protocol) über ein LAN (ein Local Area Network), sodass die MAC-Adresse (Media Access Control) des Hackers mit Ihrer IP-Adresse (Internet Protocol) verknüpft wird und alle Daten empfängt, die eigentlich für Sie bestimmt sind. Sie haben genug von all den Abkürzungen?
  • DNS-Spoofing: Hier ist noch eine. DNS steht für Domain Name System, und ist ein System zur Übersetzung von Internet-Domänennmen von langen, unaussprechlichen numerischen IP-Adressen in einprägsame, menschenfreundliche Titel wie https://omfgdogs.com (nur zu, klicken Sie darauf – es ist fantastisch) und umgekehrt. Damit online alles schneller geht, „erinnern“ Server sich an diese Übersetzungen und speichern sie in einem Cache. In einem DNS-Spoofing- oder DNS-Cache-Poisoning-Angriff (dasselbe unter einem anderen Namen) verschaffen Hacker sich Zugriff auf diesen Cache und ändern die Übersetzungen, sodass Sie automatisch auf eine gefälschte Website umgeleitet werden, anstatt auf die echte, zu der Sie wollten.

Schritt 2: Entschlüsselung

Sobald Hacker Ihren Internet-Datenverkehr abgefangen haben, müssen sie ihn entschlüsseln. Hier beschreiben wir einige gängige Entschlüsselungsmethoden, die bei MITM-Angriffen verwendet werden:

  • HTTPS-Spoofing: Lange Zeit konnte man sicher sein, sich in guten Händen zu befinden, wenn die Buchstaben HTTPS (HTTP Secure) vor einer Internetadresse standen. HTTPS ist ein Website-Zertifikatsschlüssel, der anzeigt, dass Ihre Transaktionen auf dieser Website verschlüsselt werden und Ihre Daten daher sicher sind. Aber bei einem HTTPS-MITM-Angriff installiert ein Hacker ein gefälschtes Root-Sicherheitszertifikat, sodass Ihr Browser denkt, dass es sich um ein Zertifikat handelt, dem er vertraut. Da der Browser ihm vertraut, stellt er ihm den Verschlüsselungscode zur Verfügung, der benötigt wird, um die von Ihnen gesendeten Daten zu entschlüsseln – und jetzt kann der Hacker alles empfangen und entschlüsseln, lesen, neu verschlüsseln und an sein Ziel senden, ohne dass Sie oder der eigentliche Empfänger wissen, dass die Kommunikation abgefangen wurde. Hinterlistig und gefährlich: Auf diese Weise könnten beispielsweise Ihre hin und her gesendeten E-Mails und Online-Chats gelesen werden.
  • SSL Beast: Die Abkürzungsparty geht weiter! „Beast“ in diesem Ausdruck steht für „Browser Exploit Against SSL/TLS“. SSL ist das Secure Sockets Layer-Protokoll (es ist das „Secure“ in „HTTP Secure“). Das bedeutet, dass Hacker Schwachstellen im CBC (Cipher Block Chaining, tut mir Leid, aber das ist noch nicht das letzte) ausnutzen können, um die Daten zu erfassen und zu entschlüsseln, die zwischen Ihrem Browser und einem Webserver ausgetauscht werden. Auf Deutsch gesagt; Dies ist eine andere Methode, unseren Datenverkehr im Internet böswillig zu entschlüsseln und sie ist absolut widerwärtig für uns Internetnutzer.
  • SSL-Hijacking: Ein SSL-Man-In-The-Middle-Angriff funktioniert so: Wenn Sie sich mit einer Website verbinden, stellt Ihr Browser zuerst eine Verbindung mit der (unsicheren) HTTP-Version der Website her. Der HTTP-Server leitet Sie zur (sicheren) HTTPS-Version der Website weiter, und der neue Secure Server stellt Ihrem Browser ein Sicherheitszertifikat zur Verfügung. Ping! Damit sind Sie verbunden. SSL-Hijacking erfolgt unmittelbar vor der Verbindung mit dem sicheren Server. Hacker leiten Ihren gesamten Datenverkehr an ihren Computer weiter, so dass Ihre Informationen (E-Mails, Passwörter, Zahlungsdetails usw.) zuerst dorthin gelangen.
  • SSL-Stripping: Beim SSL-Stripping wird eine Website von (sicherem) HTTPS auf (nicht sicheres) HTTP herabgestuft. Ein Hacker klinkt sich mithilfe eines Proxy-Servers oder eines der oben beschriebenen ARP-Spoofing-Tricks zwischen Ihnen und einer sicheren Verbindung ein und stellt Ihnen eine ungeschützte Version (HTTP) davon bereit. Und damit landen alle Ihre Daten, Passwörter, Zahlungen usw. in unverschlüsseltem Klartext beim Hacker. Ohne ihr Wissen, natürlich.

Verhindern von Man-in-the-Middle-Angriffen

MITM-Angriffe sind potenziell hochgradig gefährlich, aber es gibt viele Möglichkeiten, sie zu verhindern und die Risiken zu minimieren – und für die Sicherheit Ihrer Daten, Ihres Geldes und Ihrer Würde zu sorgen.

Nutzen Sie immer ein VPN

Einfach ausgedrückt: Ein VPN ist ein Programm oder eine App, das/die alles, was Sie online tun, verbirgt, verschlüsselt und verschleiert – Ihre E-Mails, Chats, Suchvorgänge, Zahlungen, sogar Ihren Standort. VPNs helfen Ihnen, sich vor MITM-Angriffen zu schützen und jedes WLAN zu sichern, indem sie Ihren gesamten Internetverkehr verschlüsseln und ihn für jeden Lauscher in nicht entzifferbares Kauderwelsch verwandeln.

AVG Secure VPN kostenlos Testen

 

Es werden viele VPNs angeboten, und viele davon taugen nichts: Sie sind zu langsam oder unvorsichtig mit Ihren Daten oder nicht so privat, wie sie behaupten. Glücklicherweise gibt es bei Ihrem bevorzugten Online-Sicherheitsunternehmen ein fantastisches VPN, dem Sie vertrauen können – und Sie können es sogar kostenlos ausprobieren.

Denken Sie an die wichtigsten Sicherheitstipps zu Websites

Hier ist eine nützliche Kurzanleitung, um zu prüfen, ob eine Website sicher ist. Sie benötigen wirklich nicht viel technisches Know-how, um diese Tipps in die Praxis umzusetzen, und sie können Ihnen ernsthafte Probleme ersparen – online und offline.

Holen Sie sich ein gutes Antivirus-Programm

MITM-Angriffe nutzen oft Malware für ihre Zwecke. Daher benötigen Sie unbedingt eine gute Antivirus-Software, der Sie vertrauen können

Wenn das Geld knapp ist, können Sie mit diesem ausgezeichneten, dauerhaft kostenlosen Antivirenprogramm beginnen. Aber wenn Sie Man-In-the-Middle-Angriffen wirklich entwischen wollen, können Sie unseren Premium-Schutz kostenlos ausprobieren. Er enthält einen speziell entwickelten Fake-Website-Schutz, der verhindert, dass Sie auf Betrüger-Websites umgeleitet werden. Das sind tolle Sicherheitsfunktionen für jeden Geldbeutel. Es gibt also keine Ausrede.

AVG Internet Security kostenlos Testen

 

So verhindern Sie HTTPS-Man-in-the-Middle-Angriffe

Erinnern Sie sich an das oben beschriebene SSL? Das ist die Art von MITM-Angriff, die HTTPS-Sicherheitszertifikate wertlos macht, indem sie Websites auf das weniger sichere HTTP herunterstuft, ohne dass Sie es bemerken.

Die Lösung heißt HSTS (HTTP Strict Transport Security), eine Web-Sicherheitsrichtlinie, die Browser und Websites zwingt, sich über sichere HTTPS-Verbindungen zu verbinden, egal was passiert. HTTP-Verbindung? Nix da. HSTS wehrt nicht nur SSL-Stripping-Angriffe ab, sondern ist auch wirksam gegen Cookie-Diebstahl und Session-Hijacks – ein schöner Bonus.

Die gute Nachricht ist, dass HSTS mit der Zeit immer häufiger wird, wobei große Namen wie Google, Gmail, Twitter und Paypal sowie Browser wie Chrome, Firefox, Safari, Edge und IE es inzwischen seit Jahren unterstützen.

Es gibt keine einfache, zentrale Schaltfläche, auf die Sie klicken können, um alle Ihre Verbindungen in HSTS zu konvertieren, aber es hilft, einen der oben genannten HSTS-Browser zu verwenden. Und wenn Sie eine Website oder einen Server besitzen und die technische Herausforderung meistern möchten, finden Sie hier einige Anweisungen, um sie HSTS-freundlich zu machen.

So erkennen Sie einen Man-in-the-Middle-Angriff

MITM-Angriffe sind sehr schwer zu erkennen, während sie stattfinden, d. h., eine gute Vorbeugung ist der beste Schutz

Es gibt einige Hinweise, die darauf hindeuten können, dass Sie Opfer eines MITM-Angriffs geworden sind:

  • Plötzlich auftretende lange Ladezeiten für Webseiten ohne ersichtlichen Grund.
  • URLs, die von HTTPS auf HTTP wechseln.

Diese Liste ist sehr kurz.

Die Wahrheit ist, dass MITM-Angriffe sehr schwer zu erkennen sind, während sie stattfinden. Daher ist eine gute Vorbeugung das beste Mittel, um sicher zu bleiben. Wie schon gesagt: Besorgen und verwenden Sie ein VPN, vermeiden Sie eine direkte Verbindung mit öffentlichen WLANs, installieren Sie ein vertrauenswürdiges Antivirus-Programm und achten Sie auf Phishing-Betrug.  

Für technisch Interessierte gibt es vertrauenswürdige Tools, die helfen können, ARP-Spoofing zu erkennen, ein klares Zeichen für einen MITM-Angriff. Wireshark ist das weltweit am häufigsten verwendete Programm zur Netzwerkprotokollanalyse. Es ist kostenlos und Open-Source, und es hilft Ihnen bei genau dieser Aufgabe.

SSL Eye ist ein kostenloses Softwareprogramm für Windows, das die SSL-Anmeldeinformationen jeder Website, mit der Sie kommunizieren, ermittelt – und Sie so darüber informieren kann, ob Sie in einen MITM-Angriff verwickelt sind.

Checkliste zum Verhindern von Man-in-the-Middle-Angriffen

AVG AntiVirus FREE herunterladen

 

AVG AntiVirus FREE KOSTENLOSER Download