{"id":22140,"date":"2022-11-01T11:32:00","date_gmt":"2022-11-01T10:32:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22140"},"modified":"2022-10-24T10:14:22","modified_gmt":"2022-10-24T08:14:22","slug":"gefahr-ueber-wifi-wie-evil-twin-angriffe-funktionieren-und-wie-man-sich-vor-ihnen-schuetzen-kann","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22140","title":{"rendered":"Gefahr \u00fcber WiFi: Wie Evil-Twin-Angriffe funktionieren und wie man sich vor ihnen sch\u00fctzen kann"},"content":{"rendered":"\n

Autor\/Redakteur: Michael Scheffler, Country Manager DACH bei Varonis Systems<\/a>\/gg<\/p>\n\n\n\n

Die Arbeitswelt hat sich in den letzten Jahren komplett ver\u00e4ndert. Remote Work ist f\u00fcr viele Mitarbeitende l\u00e4ngst zum Standard geworden und damit auch die Nutzung von WiFi-Netzen. Dies blieb nat\u00fcrlich auch bei Cyberkriminellen nicht unbemerkt, die diesen Trend zunehmend ausnutzen. Eine M\u00f6glichkeit besteht in sogenannten \u201eEvil-Twin\u201c-Angriffen, bei denen sich \u201eb\u00f6sartige Zwillinge\u201c als legitime Access Points ausgeben und es so den Angreifern erm\u00f6glichen, Informationen zu stehlen oder ein sich verbindendes Ger\u00e4t zu infiltrieren.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Jorgen Haland auf Unsplash<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Evil-Twin-Attacken fallen in die Kategorie der Man-in-the-Middle (MitM)-Angriffe. Cyberkriminelle richten hierzu ein gef\u00e4lschtes WiFi-Netzwerk ein, \u00fcber das sich die arglosen User mit dem Internet verbinden. Dies geschieht h\u00e4ufig in \u00f6ffentlichen Umgebungen, in denen Menschen am ehesten nach frei verf\u00fcgbarem WiFi suchen oder sich mit diesem verbinden, etwa auf Flugh\u00e4fen und Bahnh\u00f6fen oder auch in Caf\u00e9s. Dabei weisen die gef\u00e4lschten Netzwerke dieselben Namen wie ihre legitimen Zwillinge auf. Verbinden sich die User dann mit diesem Netz, k\u00f6nnen die Angreifer die Internetverbindung abfangen und sich \u201ein die Mitte\u201c zwischen den Usern und dem Internet setzen. Auf diese Weise k\u00f6nnen sie Anmeldedaten stehlen, sensible Details und Informationen von den besuchten Websites einsehen und sogar bestimmte Befehle und Aufgaben umleiten.<\/p>\n\n\n\n

Ablauf des Angriffs<\/strong><\/p>\n\n\n\n

Evil-Twin-Angriffe sind relativ einfach einzurichten und gleichzeitig aufgrund der Art und Weise, wie sich Ger\u00e4te mit dem WLAN verbinden, schwer zu erkennen. In aller Regel laufen sie in vier Schritten ab.<\/p>\n\n\n\n

Schritt 1: Zwillings-Netzwerk einrichten<\/strong><\/p>\n\n\n\n

Zun\u00e4chst suchen sich die Angreifer einen geeigneten Ort f\u00fcr ihre Aktivit\u00e4ten. Idealerweise handelt es sich dabei um einen Bereich, an dem viele Menschen eine Verbindung zu kostenlosen WiFi-Netzwerken suchen. Mit einem Hotspot k\u00f6nnen sie ihr eigenes WiFi-Netzwerk einrichten und dieses durch Tools wie hostapd-wpe<\/a> als ein beliebiges Netzwerk ausgeben. Um die T\u00e4uschung perfekt zu machen, verwenden sie dieselbe SSID (Netzwerk-Name) wie das bereits bestehende Netzwerk. Je nachdem, wie raffiniert sie sind, k\u00f6nnen sie sogar die MAC-Adresse replizieren. Da Ger\u00e4te bei der Netzwerk-Wahl oft nur die SSID anzeigen, ist es schwierig, das echte Ger\u00e4t vom gef\u00e4lschten zu unterscheiden, ohne nach bestimmten Details zu suchen, die auf einen Angriff hindeuten k\u00f6nnten.<\/p>\n\n\n\n

Schritt 2: Captive Portal einrichten<\/strong><\/p>\n\n\n\n

W\u00e4hlt man sich in ein (\u00f6ffentliches) WiFi ein, erscheint oft zun\u00e4chst eine separate Website oder ein Pop-up-Fenster (Captive Portal<\/a>), um den Zugriff auf das Drahtlos-Netzwerk zu erhalten. Hier wird man meist zur Eingabe einiger Daten aufgefordert, bevor man auf das Internet zugreifen kann. Angreifer richten eigene Portale ein, um vertrauliche Informationen (wie Anmeldedaten) zu stehlen. Dadurch k\u00f6nnen sie sich mit dem urspr\u00fcnglichen WiFi-Netzwerk verbinden und weiterhin vorgeben, dass die WiFi-Verbindung legitim ist. Auch hierf\u00fcr gibt es Tools wie dnsmasq, mit deren Hilfe sich Portale einrichten und DNS-Server f\u00e4lschen lassen, um den Anschein von Legitimit\u00e4t zu erwecken.<\/p>\n\n\n\n\n\n\n\n

Schritt 3: Die Opfer in die gef\u00e4lschten WiFi-Netzwerke locken<\/strong><\/p>\n\n\n\n

Logischerweise erscheinen bei der Netzwerk-Auswahl zwei verschiedene Verbindungen mit demselben Namen. Die wenigsten User werden sich hier gr\u00f6\u00dfere Gedanken machen, wodurch die Chancen f\u00fcr Angreifer bereits bei 50:50 stehen. Um ihre Erfolgsaussichten zu erh\u00f6hen, k\u00f6nnen sie ihren Hotspot oder das WiFi-Ger\u00e4t physisch n\u00e4her an das Opfer heranbringen, so dass die Verbindung zuerst erscheint und st\u00e4rker ist als das legitime Netzwerk. Dar\u00fcber hinaus k\u00f6nnen sie das \u201eechte\u201c Netzwerk mit einem Denial-of-Service (DoS)-Angriff au\u00dfer Gefecht setzen. Dadurch verlieren nicht nur die User, die das \u201eechte\u201c Netzwerk nutzen, ihre Verbindung, sondern es werden auch neue User daran gehindert, eine Verbindung herzustellen. Somit wird es wesentlich wahrscheinlicher, dass sich User mit dem \u201eEvil Twin\u201c verbinden.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Joseph Frank auf Unsplash<\/figcaption><\/figure>\n\n\n\n

Schritt 4: Personen, Ger\u00e4te und Unternehmen kompromittieren<\/strong><\/p>\n\n\n\n

Sobald das Opfer eine Verbindung zum Netzwerk hergestellt hat, wird ihm das gef\u00e4lschte Portal angezeigt, was bereits den Beginn des Datendiebstahls markieren kann. Da die Angreifer nun die Verbindung \u00fcberwachen, sind sie in der Lage, Tastenanschl\u00e4ge zu protokollieren und die Aktivit\u00e4ten beim Surfen im Internet zu sehen. Auf diese Weise k\u00f6nnen sie Anmeldedaten stehlen, vertrauliche Informationen einsehen und m\u00f6glicherweise das Ger\u00e4t weiter gef\u00e4hrden. Je nachdem, wie raffiniert die Cyberkriminellen vorgehen, k\u00f6nnen sie Malware einschleusen, die ihnen Fernzugriff und Kontrolle \u00fcber das Ger\u00e4t erm\u00f6glichen, selbst wenn sich die Opfer abgemeldet haben. F\u00fcr Unternehmen ist dies \u00e4u\u00dferst besorgniserregend, wenn das Opfer ein Unternehmensger\u00e4t verwendet oder das Ger\u00e4t eine Verbindung zu einer App herstellt, die es den Angreifern erm\u00f6glichen k\u00f6nnte, das Unternehmen zu infiltrieren.<\/p>\n\n\n\n

Angriffe erkennen und verhindern<\/strong><\/p>\n\n\n\n

Ohne entsprechende Sensibilisierung und spezielle Sniffing-Tools sind Evil-Twin-Angriffe relativ schwer zu erkennen. Es gibt jedoch einige Punkte, die dabei helfen k\u00f6nnen, sich weiterhin sicher drahtlos zu verbinden.<\/p>\n\n\n\n