Was ist eine Adversary-in-the-middle-Attacke? | AITM
In der Welt der Cybersicherheit wird immer wieder betont, wie wichtig Multi-Faktor-Authentifizierung (MFA) ist. Doch leider reicht selbst dieser Schutzmechanismus nicht mehr aus, um vor allen Bedrohungen sicher zu sein. Dieser Blog erklärt, wie MFA ausgehebelt werden kann und wie Sie sich dennoch schützen können.
Mit welcher Methode wird MFA ausgehebelt?
Eine neue Angriffsmethode, bekannt als AITM («Adversary In The Middle Attack»), zielt darauf ab, nicht nur Zugangsdaten, sondern auch die sogenannten «Session Cookies» von Nutzer:innen zu stehlen, um die volle Kontrolle über das jeweilige Benutzerkonto der Benutzer:innen zu erhalten. MFA wurde sehr lange als sicher angesehen. Aktuell ist das leider nicht mehr der Fall. MFA kann mit einem AITM-Angriff ausgehebelt und anschliessend ausgenutzt werden.
«AITM» Ist eine perfide Phishing Attacke, welche nebst dem Passwort und der E-Mail-Adresse auch den zweiten Sicherheitsfaktor in Form eines sogenannten Session Cookies entwendet. Auch wenn das soeben gephishte Opfer sein Passwort wechselt, kann der Angreifer mit dem abgegriffenen Session Cookie für eine bestimmte Zeit auf das Benutzerkonto des Opfers zugreifen und potenziell grossen Schaden anrichten.
Welche Akteure respektive Komponenten spielen bei einer AITM-Attacke eine Rolle?
Bei einer Adversary-in-the-middle-Attacke sind vier Komponenten betroffen. Die erste Komponente ist der Angreifer. Der Angreifer hat das Ziel, Zugangsdaten zu stehlen und anschliessend die Kontrolle über das Benutzerkonto zu erhalten. Die zweite Komponente sind die Hilfsmittel. Damit der Angreifer sein Ziel erreichen kann, benötigt er Hilfsmittel wie beispielsweise Software. Die Dritte Komponente ist das Opfer des Angriffs. Die vierte und letzte Komponente ist der Service, von dem man die Zugangsdaten erhalten möchte.
Wie läuft die AITM-Attacke ab?
Um den Ablauf einer Adversary-in-the-middle-Attacke vollständig zu verstehen, empfehle ich Ihnen das Demo-Video von Martin Schmidli, wo er anhand von selbst erstellten Hilfsmitteln eine AITM-Attacke durchführt - ausschliesslich zu Demozwecken natürlich.
Sie haben gerade zu wenig Zeit für das Video? Im PDF können Sie den Ablauf einer AITM-Attacke ebenfalls detailliert nachverfolgen.
Wie können Sie restistenter werden gegen Phishing-Attacken?
Es gibt Sicherheitsmassnahmen auf mehreren Ebenen, die eingesetzt werden können, um die Wahrscheinlichkeit einer Adversary-in-the-middle-Attacke zu verringern.
Conditional Access
Conditional Access ermöglicht uns als IT-Dienstleister - und auch der angegriffenen Firma - anhand von Signalen (Benutzer, Standort, Geräte-Zustand & Gruppen-Zugehörigkeit) die Zugriffe zu kontrollieren.
Das bietet die Möglichkeit für tiefgreifende Sicherheitsrichtlinien. Beispielsweise könnte der Zugriff nur innerhalb der Schweiz erlaubt sein und Zugriffe aus dem Ausland eingeschränkt werden. Wenn sich der Angreifer ausserhalb der Schweiz befindet, ist ein Login nicht möglich.
Oder eine Richtlinie, welche nur «vertrauenswürdigen Geräten» den Zugriff auf Microsoft-Dienste erlaubt. Wenn ein Gerät nicht als «konform» markiert ist, wird der Zugriff blockiert. Das würde in diesem Fall aber auch Privatgeräte der Mitarbeitenden betreffen, die nicht für Zugriffe authorisiert worden sind.
Phishing-resistente Authentifizierungsmethoden
Passwort und MFA sind leider nicht Phishing-resistent. Es gibt aber durchaus Authentifizierungsmethoden, welche «nicht-phishbar» sind.
- FIDO Key
Hierbei handelt es sich um ein physisches Sicherheitsgerät, welches für die Multi-Faktor-Authentifizierung genutzt wird. Der Einsatz dieses Geräts ermöglicht ebenfalls eine Passwortlose Authentifizierung durchzuführen. Im Blogbeitrag von Martin Schmidli erfahren Sie ausführlichere Informationen zu FIDO.
- Windows Hello For Business
Diese Authentifizierungsmethode ersetzt die herkömmliche Anmeldung via Passwort durch die biometrische (Gesichtserkennung oder Fingerabdruck) und Pin-basierte Anmeldung.
Diese Authentifizierungsmethode ist Gerätegebunden und kann nicht für die Authentifizierung bei einem Microsoft Dienst wie Beispielsweise «portal.office.com» verwendet werden. - EntraID Certifiacte Based Authentication (CBA)
Dies ermöglicht Benutzern, sich über digitale Zertifikate zu authentifizieren, anstatt traditionelle Passwörter zu verwenden. Der Benutzer erhält ein digitales Zertifikat, welches von einer CA - einer sogenannten Certificate Authority - ausgestellt wurde. Wenn sich der Benutzer bei einem Microsoft Dienst authentifiziert, präsentiert er sein digitales Zertifikat. Sobald das Zertifikat erfolgreich geprüft wurde, erhält der Benutzer Zugriff auf den entsprechenden Dienst.
Schulung der Mitarbeitenden
Regelmässige Schulungen und interne Phishing-Simulationen sind sehr empfehlenswert. Sie können den Erfolg von Angriffen verringern, da die Endbenutzer:innen sich nach einer oder mehreren Schulungen bewusst sind, welche Eigenschaften Sie punkto Sicherheit beachten müssen.
Mithilfe von Phishing Simulationen können Personen identifiziert werden, welche auf einen Phishing-Angriff reingefallen wären. Fällt eine Person mehrmals auf die Angriffe rein, können entsprechende Massnahmen ergriffen werden.
Eine weitere Möglichkeit, Phishing-Attacken frühzeitig zu erkennen und wirksame Massnahmen zu ergreifen, stellt das Security Operations Center der SmartIT speziell für KMU dar.
Glossar
Die wichtigsten Begrifflichkeiten aus dem Blog im Überblick.
Begriff | Erklärung |
Session Cookie |
Es wird im Browser als Cookie gespeichert und dient dazu, den Benutzer während seiner Sitzung zu identifizieren, ohne dass er sich bei jedem Zugriff erneut authentifizieren muss. Der Session Cookie enthaltet das Session Token. |
Session Token |
Ein Authentifizierungstoken, das eine Benutzersitzung repräsentiert. |
SSO |
Eine Authentifizierungsmethode, bei der sich Benutzer einmalig anmelden, um auf mehrere Anwendungen und Dienste zugreifen zu können, ohne sich erneut einloggen zu müssen. |
AitM-Angriff |
Angriff, bei dem ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und manipuliert. |
Proxy-Server |
Ein Server, der als Vermittler zwischen einem Benutzer und einem Zielserver fungiert, um Anfragen weiterzuleiten und Antworten zu empfangen. |
Phishing Resistente Authentifizierungs-Methoden |
Auth. Methoden, welche durch einen Phishing-Angriff nicht abgefangen werden können. |