Was ist eine Adversary-in-the-Middle-Attack (AiTM)?

Eine Adversary-in-the-Middle-Attack (AiTM) ist eine Form des Abhörens und des Diebstahls von Daten, bei der ein Angreifer Daten auf dem Weg von einem Absender zum Empfänger und zurück abfängt.

Es heißt „Adversary in the Middle“, weil das Gerät des Angreifers zwischen Sender und Empfänger sitzt und Nachrichten still weiterleitet, ohne dass eine der beiden Parteien auf das Abhören aufmerksam wird. Der Angreifer befindet sich normalerweise im selben Netzwerk wie der Zielnutzer, aber das Abhören kann auch über ein Remote-Netzwerk erfolgen, wenn Daten den Pfad des Angreifers kreuzen.

Mithilfe eines AiTM kann ein Angreifer an Kennwörter, personenbezogene Daten (PII), geistiges Eigentum, private Nachrichten und Geschäftsgeheimnisse gelangen. Bei fortgeschrittenen Angriffen kann der Angreifer möglicherweise Malware auf dem Gerät eines Zielnutzers installieren.

Jede Methode, die es einem Angreifer ermöglicht, die Kommunikation zwischen zwei anderen Personen mitzulesen, wird als AiTM betrachtet. Angreifer wollen unbedingt unentdeckt bleiben, weshalb sie nichts tun, was auf ihre Aktivitäten aufmerksam macht, während sie in ein Netzwerk oder ein persönliches Konto eindringen und die Kommunikation zwischen zwei Parteien mitlesen. Eine gute AiTM-Attacke gibt einem Angreifer mehrere Monate Zeit, Informationen zu lesen, bevor er entdeckt wird.

Die häufigste Methode ist das Address-Resolution-Protocol-(ARP)-Poisoning, normalerweise in einem öffentlichen WLAN-Netzwerk. Während er sich im Netzwerk befindet, sendet der Angreifer eine Nachricht an das Gerät des Zielnutzers, die ihn anweist, das Gerät des Angreifers als Standard-Gateway zu verwenden. Der Angreifer sendet dann eine ARP-Poisoning-Nachricht an den Standard-Gateway (was normalerweise der WLAN-Router ist) mit der Aufforderung, dass die IP-Adresse des Zielnutzers dem Gerät des Angreifers und nicht dem Gerät des Zielnutzers zugeordnet werden soll. Dadurch wird das Gerät des Angreifers in die „Mitte“ der Kommunikation zwischen dem Zielnutzer und dem Standard-Gateway gesetzt, wodurch der Angreifer Daten abfangen kann. In anderen Worten fungiert das Gerät des Angreifers als Proxy, ähnlich wie ein Proxy-Server.

Wenn die Daten im Klartext vorliegen (ohne HTTPS-Verbindung), hat der Angreifer Zugriff auf alles, was zwischen den beiden Parteien ausgetauscht wird. Wenn sich ein Nutzer über HTTP bei einer Anwendung authentifiziert, werden der Nutzername und das Kennwort abgefangen und sind für den Angreifer sichtbar.

Selbst HTTPS-Verbindungen sind vor Adversary-in-the-Middle-Attacken nicht vollständig sicher. Wenn der Server veraltete kryptografische Verbindungen mit Bibliotheken wie TLS 1.0 akzeptiert, werden die abgefangenen verschlüsselten Daten anfällig für Brute-Force-Angriffe, mit denen ein Angreifer sie in Klartext umwandeln kann. Bei dieser Methode sendet der Angreifer ARP-Poisoning-Nachrichten an den Absender- und Empfängerserver, stuft die HTTPS-Verbindung auf eine unsichere Bibliothek herunter und bringt das Gerät des Nutzers ebenfalls dazu, den Verschlüsselungsalgorithmus herunterzustufen. Das Downgrade ist für den Nutzer unsichtbar, sodass er sich nicht bewusst ist, dass die HTTPS-Verbindung unsicher ist. Obwohl Daten über HTTPS übertragen werden, ist der Angreifer auf diese Weise immer noch in der Lage, sie zu entschlüsseln und die Kommunikation mitzulesen.

Obwohl ARP-Poisoning als die häufigste Form eines AiTM-Angriffs bekannt ist, gibt es noch weitere Methoden, mithilfe derer Angreifer Daten abfangen und private Kommunikation zwischen zwei Parteien lesen können.

Die fünf Hauptkategorien von AiTM-Angriffen sind:

• E-Mail-Hijacking: Im Klartext gesendete E-Mail-Nachrichten können abgehört werden, aber ein Angreifer kann Nachrichten auch dann mitlesen, wenn er den Nutzernamen und das Passwort für das E-Mail-Konto der Zielperson erhält. Der Angreifer kann Nachrichten still mitlesen, bis vertrauliche Informationen wie eine Finanztransaktion zutage kommen. Dann kann er über die E-Mail-Adresse der Zielperson eine Nachricht senden, die Geldüberweisungen auf das Bankkonto des Angreifers umleitet.
• Abhören von WLAN: Eine schlecht gesicherte WLAN-Verbindung kann einer AiTM-Attacke mittels ARP-Poisoning zum Opfer fallen. Das Gerät des Angreifers wird als Standard-Gateway zwischen dem Absender und dem WLAN-Router eingesetzt, wodurch dann Daten abgefangen und gelesen werden können. Angreifer verwenden auch eigene bösartige Hotspots und versuchen, Nutzer dazu zu bringen, sich mit diesen zu verbinden. Da der Angreifer den Hotspot kontrolliert, kann er auch jegliche Kommunikation darüber abhören.
• Session-Hijacking: Wenn sich Nutzer mit einem Server verbinden, wird eine eindeutige Sitzung (Session) erstellt, die den Nutzer auf dem Server identifiziert. Angreifer mit Zugriff auf den Session-Token können sich als der Nutzer ausgeben und Daten in einer Webanwendung lesen.
• IP-Spoofing: Mithilfe einer betrügerischen IP-Adresse kann ein Angreifer Datenverkehr von einer offiziellen Website zu einem vom Angreifer kontrollierten Server umleiten.
• DNS-Spoofing: Ähnlich wie beim IP-Spoofing wird beim DNS-Spoofing der Adressdatensatz einer Website geändert, um den Datenverkehr auf einen von Angreifern kontrollierten Server umzuleiten. Alle an diesen Server gesendeten Informationen werden vom Angreifer abgefangen, ohne dass die betroffenen Nutzer etwas davon ahnen.

Da immer mehr Nutzer über ein Mobilgerät auf das Internet zugreifen, zielen AiTM-Angriffe häufig auf iOS oder Android ab. Angreifer können Code in eine Anwendung einschleusen, bösartige Apps verwenden, um Daten abzufangen, oder ihren eigenen Proxy installieren, um Daten zwischen dem Gerät und einer Remote-API zu lesen. Beispielsweise könnten bösartige Proxys Nachrichten auf Tinder oder Twitter lesen. Certificate Pinning sollte dieses Problem beheben, aber Angreifer können mithilfe von bösartigen Apps immer noch Daten lesen, bevor eine Remote-Verbindung hergestellt und noch bevor Daten verschlüsselt werden.

Der Banking-Trojaner Retefe wurde entwickelt, um Daten bei der Kommunikation mit Finanzservern abzufangen. Diese Malware betraf wichtige Browser wie Chrome, Firefox und Internet Explorer, d.h. diejenigen Browser, die Nutzer auf Desktop-Computern am meisten verwenden. Sie installiert ein gefälschtes Zertifikat und leitet den Datenverkehr an einen von Angreifern kontrollierten Server weiter, der in den Browsereinstellungen als Standard-Proxy festgelegt wird. Nutzerdaten werden auf dem Server des Angreifers gesammelt und entschlüsselt. Die Retefe-Malware betraf als Angriffsvektor für Banktransaktionen die meisten großen Finanzinstitute, aber ihre Hauptziele waren Banken in Japan, der Schweiz, Großbritannien und Schweden.

Da AiTM-Angriffe für den Zielnutzer unsichtbar und quasi lautlos sind, ist es wichtig, dass Nutzer schon im Vorfeld einer möglichen Infektion die richtigen Vorkehrungen treffen. In einigen Fällen können Nutzer einen Adversary-in-the-Middle-Angriff nicht verhindern, weil die Anwendung, die sie nutzen, auf eine bestimmte Art und Weise programmiert ist, die sie anfällig macht. In dem Fall liegt es in der Verantwortung des Anwendungsentwicklers, sicherzustellen, dass seine Software keine Einfallslöcher für AiTM-Angriffe enthält.

Einige Maßnahmen, um zu verhindern, Opfer eines AiTM-Angriffs zu werden, sind:

• Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für E-Mail-Konten. Sollte ein Angreifer an die Anmeldeinformationen für Ihr E-Mail-Konto kommen, wäre mit 2FA eine erfolgreiche Authentifizierung trotzdem nicht möglich, da der Angreifer immer noch keinen Zugriff auf die 2FA-PIN hätte.
• Nutzen Sie Traffic-Analyse-Tools im Netzwerk. Diese Tools helfen Administratoren dabei, verdächtigen Datenverkehr zu identifizieren und Analysen zur Port- und Protokollnutzung über Nutzer und Geräte hinweg bereitzustellen.
• Verwenden Sie Certificate Pinning in mobilen Apps. Dadurch werden genehmigte Zertifizierungen auf die Whitelist gesetzt, wodurch verhindert wird, dass die Anwendung Zertifikate verwendet, die vom Angreifer kontrolliert werden. Certificate Pinning liegt in der Verantwortung von Anwendungsentwicklern.
• Verwenden Sie einen VPN in öffentlichen WLAN-Netzwerken. Mit VPN kann ein Angreifer Daten zwar abfangen, aber nicht lesen oder auf ein schwächeres Verschlüsselungsprotokoll herunterstufen, da der VPN für das Verpacken und den Transfer von Daten seinen eigenen Verschlüsselungsalgorithmus verwendet.