Ein Man-in-the-Middle-Angriff (MiTM) ist ein Angriff, bei dem der Angreifer heimlich Nachrichten zwischen zwei Parteien abfängt und weiterleitet, die glauben, direkt miteinander zu kommunizieren. Der Angriff ist eine Art Lauschangriff, bei dem das gesamte Gespräch vom Angreifer kontrolliert wird. MiTM wird manchmal auch als “Session Hijacking”-Angriff bezeichnet und hat eine große Erfolgschance, wenn der Angreifer sich zur Zufriedenheit der anderen Partei ausgeben kann. MiTM-Angriffe stellen eine ernsthafte Bedrohung für die Online-Sicherheit dar, da sie es dem Angreifer ermöglichen, sensible Informationen in Echtzeit zu erfassen und zu manipulieren.
Eine gängige Methode zur Ausführung eines MiTM-Angriffs besteht in der Verteilung von Malware, die dem Angreifer Zugriff auf den Webbrowser eines Benutzers und die Daten gibt, die dieser während Transaktionen und Unterhaltungen sendet und empfängt. Sobald der Angreifer die Kontrolle hat, kann er den Benutzer auf eine gefälschte Seite umleiten, die wie die Seite aussieht, die der Benutzer zu erreichen erwartet. Der Angreifer kann sich dann mit der echten Seite verbinden und als Proxy fungieren, um den Datenverkehr zwischen dem Benutzer und der legitimen Seite zu lesen, einzufügen und zu verändern. Online-Banking- und E-Commerce-Websites sind häufig das Ziel von MITM-Angriffen, die es dem Angreifer ermöglichen, Anmeldeinformationen und andere sensible Daten zu erbeuten.
Die meisten kryptografischen Protokolle beinhalten eine Form der Endpunkt-Authentifizierung, um MITM-Angriffe zu verhindern. Das Transport Layer Security (TLS)-Protokoll erfordert beispielsweise die Authentifizierung einer oder beider Parteien mit einer gegenseitig vertrauenswürdigen Zertifizierungsstelle. Wenn Benutzer jedoch nicht auf Warnungen achten, wenn ein verdächtiges Zertifikat vorgelegt wird, kann immer noch ein MITM-Angriff mit gefälschten oder falschen Zertifikaten durchgeführt werden.
Ein Angreifer kann auch Schwachstellen in der Sicherheitskonfiguration eines WLAN-Routers ausnutzen, die durch schwache oder voreingestellte Passwörter verursacht werden. Beispielsweise kann ein bösartiger Router, auch böser Zwilling genannt, an einem öffentlichen Ort wie einem Café oder Hotel platziert werden, um Informationen abzufangen, die den Router passieren. Andere Möglichkeiten, mit denen Angreifer häufig Man-in-the-Middle-Angriffe durchführen, sind Address Resolution Protocol (ARP)-Spoofing, Domain Name System (DNS)-Spoofing, Spanning Tree Protocol (STP)-Mangling, Port-Stealing, Dynamic Host Configuration Protocol (DHCP)-Spoofing, Internet Control Message Protocol (ICMP)-Umleitung, Traffic Tunneling und Route Mangling.