Bei einem Man-in-the-Middle-Angriff gibt der Angreifer vor, selbst der Server zu sein, den der Anwender zu erreichen versucht, etwa durch IP-Spoofing. Er handelt mit dem Client eine TLS-Session aus und führt gleichzeitig eine TLS-Verbindung mit dem echten Server, etwa dem einer Bank.
Dabei kann der Angreifer zwischen dem echten Server und dem Client rein vermittelnd tätig werden. Das heißt, er nutzt seinen Angriff nur, um den Datenverkehr auszuspionieren, etwa um die PIN oder das Passwort für den Homebanking-Zugang des Benutzers herauszufinden. Er kann aber auch eigene Aktionen auf dem Server der Bank ausführen. Wenn Transaktionen mit einer TAN geschützt sind, kann er nur Informationen abgreifen, beispielsweise Kontostand und Kontobewegungen. Bei Bezahlsystemen wie PayPal oder Click & Buy, die keine TAN verlangen, kann er jedoch auch Geld transferieren.
Um diese einfache Möglichkeit des Man-in-the-Middle-Angriff zu verhindern, verwenden TLS-Verbindungen Zertifikate. Über das Serverzertifikat kann der Client sicherstellen, dass er tatsächlich mit dem echten Server kommuniziert und nicht mit dem des Angreifers. Die gängigen Browser nutzen eine Vertrauensliste, in der anerkannte Zertifikataussteller wie Verisign bereits vorinstalliert sind. Besitzt der Server ein solches Zertifikat, dann gibt der Browser keine Warnung aus.
Viele Websites stellen sich für HTTPS-Verbindungen das Zertifikat aus Kostengründen selbst aus, beispielweise mit OpenSSL. In diesem Fall warnt der Browser, dass die Site nicht überprüft werden konnte. Der Benutzer muss eine Ausnahme zulassen. Diese Ausnahme kann er temporär oder dauerhaft einrichten.
Wenn der Browser bei einer Verbindung zur Bank nicht warnt, dann bedeutet das jedoch nicht, dass sich niemand in die Verbindung eingeklinkt hat. Schließlich kann jedermann ein "gültiges" SSL-Zertifikat erwerben, das heißt ein Zertifikat, das der Browser nicht moniert.
RapidSSL wirbt etwa mit dem Slogan „issued in minutes, installed in seconds„. Der Identitätsnachweis geschieht ausschließlich über die Kreditkarte. RapidSSL vertraut dabei darauf, dass der Aussteller der Kreditkarte die Identität überprüft hat. Wer im Besitz von gestohlenen Kreditkartendaten ist, bekommt auch ein SSL-Zertifikat mit falschem Namen.
Es ist daher wichtig, bei jeder Verbindung zu einer Bank das Zertifikat anzusehen. Wenn man beispielsweise auf die Homebankingsite der Hypovereinsbank surft und feststellt, dass das Zertifikat auf einen anderen Namen ausgestellt ist, dann ist man Opfer eines Man-in-the-Middle-Angriffs. Ebenso ist darauf zu achten, dass das Zertifikat nicht auf eine Abkürzung wie "HVB" ausgestellt ist – einen Firmennamen, den jeder anmelden kann.
Neueste Kommentare
Noch keine Kommentare zu Gefahr beim Homebanking: So arbeitet die neue SSL-Attacke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.