Verteidigung gegen einen Man-in-the-Middle-Angriff
Mit einer Latte in der Hand loggen Sie sich in Ihrem Lieblings-Café über Ihren Laptop beim kostenlosen WLAN-Hotspot ein. Sie möchten im Internet surfen, chatten oder vielleicht sogar etwas arbeiten – dabei haben Sie aber eine unsichtbare Begleitung. Sie können Ihren Begleiter nicht sehen, aber dieser unerwünschte Türhüter hält Sie von einer sicheren Nutzung des Internets, von Social Media oder E-Mail ab. Er sieht alles, was Sie sehen, und wartet ab, bis sich ein günstiger Zeitpunkt für einen Angriff bietet.
Klingt unheimlich, oder? Der Man-in-the-Middle-Angriff wird durch Hacker initiiert, die E-Mails, Browserverlauf und Social Media abfangen, um Ihre vertraulichen Daten zu stehlen und kriminelle Handlungen zu begehen. Im Gegensatz zum Phishing-Betrug, bei dem Sie Ihre Wachsamkeit aktiv – wenn auch unbewusst – senken und nicht so abwehrbereit sind, wissen Sie bei einem Man-in-the-Middle-Angriff überhaupt nicht, dass ein solcher Angriff stattgefunden hat.
Phishing-Betrug betrifft Einzelpersonen und Unternehmen jeder Größenordnung. Keiner kann ihm entkommen. 2015 gingen bei einer größeren von Europol durchgeführten Aktion 49 Mitglieder einer Hacker-Gruppe in die Falle, die es auf Opfer in ganz Europa abgesehen hatten. Sie profitierten von einer Mischung aus Hacking und Social Engineering-Techniken, um sich in die vertrauenswürdige Kommunikation zwischen Unternehmen und deren Kunden einzubringen. Als Mitglieder der Kommunikationsschleife konnten sie den Informationsaustausch überwachen und ahnungslose Opfer dazu bringen, Zahlungen an die Bankkonten der Verbrecher zu leisten.
Angriffsmethoden
Zwar sind wir aufgrund der rasant steigenden Anzahl von WLAN-Hotspots und der schnelleren Breitbandgeschwindigkeiten viel mehr als früher mit anderen verbunden, aber diese Tatsache bedeutet auch eine potentielle Goldgrube für Gauner, die uns belauschen oder unsere Online-Aktivitäten ausspionieren wollen.
Eine beliebte Angriffsmethode von Hackern besteht darin, eine spezielle WLAN-Verbindung einrichten. Beispielsweise sitzen Sie in Ihrem Lieblings-Buchladen und öffnen Ihre WLAN-Einstellungen, um eine Verbindung mit dem kostenlosen Netzwerk herzustellen. Sind alle verfügbaren Netzwerke auf der Liste wirklich legitime betriebliche WLAN-Netzwerke, oder könnte manche einem Hacker gehören?
Diese wichtige Frage müssen Sie sich unbedingt stellen. Wenn Sie nämlich eine Verbindung zu einem gefälschten Netzwerk herstellen, erhält ein Hacker sofortigen Zugriff auf Ihr Gerät. Hacker können problemlos betrügerische WLAN-Zugangspunkte erstellen, mit denen sie sich Zugriff auf die persönlichen Daten aller Personen verschaffen, die eine Verbindung herstellen.
E-Mail-Hijacking bedeutet, dass Hacker E-Mail-Konten knacken und die Kommunikation einsehen. Wenn es ihnen gelingt, in dieses geschlossene System einzudringen, können sie Spoof-E-Mails senden, die legitim aussehen und den Empfänger anweisen, Geldtransaktionen vorzunehmen oder Finanzdaten und Passwörter preiszugeben. Besonders problematisch wird dies, wenn hohe Führungskräfte eines Unternehmens gefälschte, aber anscheinend authentische Anfragen erhalten, Überweisungen an ein bestimmten Konto zu tätigen.
Eine der häufigsten Angriffsarten ist das Sitzungs-Hijacking. Dabei verschaffen sich Hacker Kontrolle über Ihre Browser-Cookies, kleine Datenpakete, in denen Ihre Webseiten-Informationen während des Surfens im Internet gespeichert werden. Dadurch erhält der Hacker Zugriff auf eine Reihe von Daten, angefangen bei Ihren Anmeldeinformationen bis hin zu persönlichen Angaben in vorausgefüllten Web-Formularen.
So schützen Sie sich
Am wichtigsten ist, immer dafür zu sorgen, dass Sie sicher surfen. Durch die Verschlüsselung des Datenverkehrs zwischen dem Netzwerk und Ihrem Gerät mithilfe von Software zur Browser-Verschlüsselung können Sie potentielle Man-in-the-Middle-Angriffe abwehren.
Überzeugen Sie sich immer davon, dass die von Ihnen besuchten Webseiten sicher sind. In den meisten Browsern wird bei sicheren Webseiten ein Schlosssymbol neben der URL angezeigt. Wenn Sie dieses Symbol sehen, überprüfen Sie, ob der Internetadresse „https.“ vorangestellt ist. Das „s“ bedeutet „sicher“, was heißt, dass Ihre Daten nicht von Hackern abgefangen werden können.
Der Einsatz einer Firewall ist ebenfalls eine zuverlässige Möglichkeit, um Ihre Browserdaten zu schützen. Dies ist zwar keine absolut sichere Methode, aber eine Firewall bietet eine zusätzliche Sicherheitsebene, wenn Sie WLAN in öffentlichen Bereichen nutzen. Wenn Sie häufig im öffentlichen WLAN surfen, ist es sinnvoll, ein virtuelles geschütztes Netzwerk (VPN) einzurichten. Diese Art von Netzwerk fungiert als Schutz für den Datenverkehr und erschwert es Hackern erheblich, Ihre Informationen abzufangen.
Halten Sie die Sicherheitssoftware auf Ihrem Computer auf dem neuesten Stand. Die Bösen entwickeln ihr Handwerk immer weiter, und das sollte auch bei den Guten der Fall sein. Wenn Sie dafür sorgen, dass Ihre Sicherheitslösung immer auf dem neuesten Stand ist, haben Sie stets Zugang zu aktuellen Tools und können Ihre Online-Aktivitäten voll im Blick behalten. So ist das Surfen im Internet sicher und macht Spaß.
Verwandte Artikel:
Akute IT-Sicherheitsvorfälle lösen
Wir verfügen über die führende Expertise und langjährige Erfahrung in der Erfassung und forensischer Auswertung von Netzwerk- und Hostdaten.
Die Netzwerkforensik liefert ein effizientes Werkzeug zur Analyse von Angreiferaktivitäten und der Detektion kompromittierter Systeme in IT-Infrastrukturen von nahezu beliebiger Größe. Zu unserem Team gehören international anerkannte Experten auf dem Gebiet der Netzwerkforensik, die über umfassendes Wissen im Umgang mit sensiblen und hoch vertraulichen Daten in kritischen Netzwerkumgebungen verfügen.
Host- und Logforensik sind Standardwerkzeuge der detaillierten Aufarbeitung des Vorgehens eines Angreifers. Neben Windows-Umgebungen decken wir auch Linux-Systeme und relevante Appliances ab. Sie profitieren von unserer langjährigen Erfahrung und großen Sorgfalt. Werden Angreiferwerkzeuge gefunden, sind wir zudem in der Lage, eine tiefgehende Analyse bis hin zum vollständigen Reverse Engineering durchzuführen.
Unsere Fähigkeiten setzen wir in erster Linie im Rahmen der Abwehr und Aufarbeitung von Cyberangriffen ein. Sowohl im Bereich der APT-Response, der Abwehr von gezielten Angriffen, als auch bei der Absicherung von Unternehmen während und nach Ransomware-Angriffen agieren unsere IT-Sicherheitsexperten auf höchstem Niveau. Dabei wählen wir den zielführendsten Analyseansatz – ob Live-Forensik oder Post-Mortem-Analyse. Auf Wunsch dokumentieren wir unser Vorgehen und die Ergebnisse gerichtsverwertbar.
Jetzt beraten lassen
Botnet - Was ist ein Botnetz & wie schützen Sie sich?
Um die Kontrolle über mehrere Geräte zu erlangen, müssen Angreifer Nutzer zunächst dazu bringen, Malware zu installieren. Es gibt mehrere Entwickler, die potentiellen Angreifern Botnet-Malware zur Verfügung stellen. Der Zugang zu solcher Software ist relativ leicht. Auf diese Weise müssen Angreifer, die Schäden und Ausfälle verursachen wollen, nicht ihre eigene Software entwickeln.
Das Mirai-Botnet
Ein Beispiel für eine weit verbreitete Botnet-Malware ist Mirai. Mirai greift Linux-IoT (Internet of Things)-Systeme wie Router, IP-Kameras und Produkte für die Automatisierung von Vorgängen im Haushalt an. Die Botnet-Schadsoftware gibt Angreifern die Möglichkeit, IoT-Systeme basierend auf Linux aus der Ferne zu kontrollieren, um ein Zielobjekt mit Traffic zu überfluten. Dieses Botnet hat bisher schon weitreichende Ausfälle verursacht und dabei bis zu 1 Tbit an Daten pro Sekunde produziert. Die Angreifer nahmen mehrere Unternehmen ins Visier, darunter Krebs on Security, den französischen Web Host OVH und – vielleicht am bekanntesten – Dyn, einen Domain Name Service (DNS)-Provider, dessen Dienste essentiell wichtig sind für die normale Internetkommunikation. Mirai gilt als erstes Botnet seiner Art, jedoch wurden seine Entwickler letztendlich gefasst. Dennoch stehen Angreifern weiterhin viele Varianten von Mirai zur Verfügung, inklusive Okiru, Satori, Masuta und PureMasuta.
Wie ein Gerät Teil eines Botnets wird
Entweder ein Nutzer wird getäuscht und installiert versehentlich Botnet-Malware auf seinem lokalen Gerät, oder die Malware installiert sich durch das Ausnutzen von Sicherheitslücken von selbst. Auf Geräten ohne einen Mechanismus, der automatisch Sicherheitspatches einspielt, laufen mit großer Wahrscheinlichkeit unsichere Firmware-Dienste, was Angreifern eine Angriffsfläche eröffnet. Die Geräte werden so die perfekten Angriffsziele für Botnet-Malware.
Sobald genügend Geräte mit Botnet-Malware infiziert sind, kann ein Angreifer sie jederzeit dazu bringen, ein Zielobjekt mit Traffic zu überfluten. Das Netzwerk an infizierten Geräten wird auch manchmal als „Zombie-Netzwerk“ oder „Zombienet“ bezeichnet, weil die Geräte so lange inaktiv bleiben, bis der Angreifer einen zentralen Befehl an alle gehijackten Geräte schickt. Die Malware ist so programmiert, dass sie still und unbemerkt auf dem Gerät verbleibt, bis sie einen Befehl erhält.
Botnet-Malware bietet oft ein zentrales Dashboard, über das ein Angreifer das Botnet verwalten kann. Dort ist die Zahl an insgesamt infizierten Geräten sichtbar. Über einen Befehl können alle Geräte dazu gebracht werden, gleichzeitig DoS (denial-of-service)-Traffic zu einem Zielserver zu senden. Falls ein Gerät nicht mehr mit dem zentralen Kontrollserver kommunizieren kann, ist es automatisch nicht mehr Teil des Angriffs.
