Was ist Session-Hijacking und wie funktioniert es?
Das Einloggen in Websites oder Portale gehört für die meisten Menschen zum Alltag der Internetnutzung. Jedes Mal, wenn Sie sich bei einer Website anmelden, wird eine Session erstellt. Eine Session ist die Kommunikation zwischen zwei Systemen, die solange aktiv bleibt, bis der Benutzer die Kommunikation beendet. Der Beginn einer Session ist für die Kommunikation über das Internet unerlässlich, birgt aber auch die Gefahr des Session-Hijacking. Lesen Sie weiter, um mehr über Session-Hijacking zu erfahren, wie es funktioniert und wie Sie sich schützen können.
Was ist Session-Hijacking?
Session-Hijacking – auch Cookie-Hijacking, Cookie-Side-Jacking oder TCP-Session-Hijacking genannt – liegt vor, wenn ein Angreifer Ihre Internetsitzung übernimmt. Das kann passieren, wenn Sie online einkaufen, eine Rechnung bezahlen oder Ihren Kontostand überprüfen. Session-Hijackers zielen in der Regel auf Browser oder Webanwendungen ab. Ihr Ziel ist es, die Kontrolle über Ihre Browsersitzung zu übernehmen, um Zugriff auf Ihre persönlichen Daten und Passwörter zu erhalten.
Session-Hijacker gaukeln Websites vor, dass sie Sie sind. Diese Art von Angriffen kann schwerwiegende Folgen für die Anwendungssicherheit haben, da sie es Angreifern ermöglicht, sich unbefugten Zugriff auf geschützte Konten (und die darin enthaltenen Daten) zu verschaffen, indem sie sich als legitimer Benutzer ausgeben.
Was ist eine Session?
Jedes Mal, wenn ein Benutzer über eine HTTP-Verbindung auf eine Website oder eine Anwendung zugreift, authentifiziert der Dienst den Benutzer (z. B. über einen Benutzernamen und ein Kennwort), bevor er die Kommunikationsleitung öffnet und den Zugang ermöglicht. HTTP-Verbindungen an sich sind jedoch „zustandslos“, was bedeutet, dass jede Aktion eines Benutzers unabhängig betrachtet wird. Würden wir uns ausschließlich auf HTTP verlassen, müssten sich die Benutzer für jede Aktion oder Seite, die sie aufrufen, neu authentifizieren.
Die Sessions überwinden diese Herausforderung. Eine Session wird auf dem Server, der die Website oder Anwendung hostet, erstellt, sobald sich ein Benutzer anmeldet, und dient dann als Referenz für die erste Authentifizierung. Die Benutzer können so lange authentifiziert bleiben, wie eine Sitzung auf dem Server geöffnet ist, und sie können eine Sitzung beenden, indem sie sich beim Dienst abmelden. Einige Dienste beenden eine Sitzung nach einer bestimmten Zeit der Inaktivität.
Viele Dienste erstellen diese Sitzungen, indem sie eine Session-ID vergeben, eine Zeichenfolge aus Zahlen und Buchstaben, die in temporären Session-Cookies, URLs oder versteckten Feldern auf der Website gespeichert wird. In einigen, aber nicht in allen Fällen, sind diese Sessions-Kennungen verschlüsselt. Häufig basieren Sessions-Kennungen auf vorhersehbaren Informationen, wie z. B. der IP-Adresse eines Benutzers.
Wie funktioniert Session-Hijacking?
Hier ein hypothetisches Beispiel dafür, wie Session Hijacking funktionieren könnte:
Schritt 1: Ein Internetnutzer meldet sich wie gewohnt in einem Konto an.
Dabei kann es sich um ihr Online-Bank- oder Kreditkartenkonto, einen Online-Shop, eine Anwendung oder ein Portal handeln. Die Anwendung oder Website installiert ein temporäres Session-Cookie im Browser des Nutzers. Dieses Cookie enthält Informationen über den Nutzer, die es der Website ermöglichen, ihn authentifiziert und angemeldet zu halten und seine Aktivitäten während der Sitzung zu verfolgen. Der Session-Cookie bleibt im Browser gespeichert, bis sich der Nutzer abmeldet (oder nach einer bestimmten Zeit der Inaktivität automatisch abgemeldet wird).
Schritt 2: Ein Krimineller verschafft sich Zugang zu der gültigen Session des Internetnutzers.
Cyber-Kriminelle verwenden verschiedene Methoden, um Sessions zu stehlen. Beim Session-Hijacking wird häufig das Session-Cookie des Benutzers gestohlen, die Session-ID im Cookie ausfindig gemacht und diese Information verwendet, um die Session zu übernehmen. Die Session-ID wird auch als Session-Schlüssel bezeichnet. Wenn der Kriminelle die Session-ID in Erfahrung bringt, kann er die Session unbemerkt übernehmen.
Schritt 3: Der Session-Entführer erhält eine Entschädigung für seinen Diebstahl.
Sobald der ursprüngliche Internetnutzer seine Online-Reise fortgesetzt hat, kann der Hijacker die laufende Session nutzen, um verschiedene bösartige Handlungen zu begehen. Dazu kann es gehören, Geld vom Bankkonto des Benutzers zu stehlen, Gegenstände zu kaufen, personenbezogene Daten abzugreifen, um Identitätsdiebstahl zu begehen, oder wichtige Daten zu verschlüsseln und dann ein Lösegeld für deren Rückgabe zu verlangen.
Session-Hijack-Angriffe werden in der Regel gegen stark ausgelastete Netzwerke mit einer hohen Anzahl aktiver Kommunikations-Sessions durchgeführt. Dies verschafft dem Angreifer eine große Anzahl von Sessions, die er ausnutzen kann, und gibt ihm ein gewisses Maß an Schutz, denn die Anzahl der aktiven Sessions auf dem Server macht es weniger wahrscheinlich, dass er entdeckt wird.
Arten des Session-Hijacking
Cross-Site-Scripting
Bei einem Cross-Site-Scripting-Angriff nutzen Cyberkriminelle Sicherheitsschwachstellen in einem Webserver oder einer Anwendung aus. Beim Cross-Site-Scripting
schleust ein Angreifer Skripte in Webseiten ein. Diese veranlassen Ihren Webbrowser, dem Angreifer Ihren Sessions-Schlüssel zu verraten, damit dieser die Session übernehmen kann.
Session-Side-Jacking (auch bekannt als Session-Sniffing)
Bei dieser Art von Angriff benötigt ein Krimineller Zugriff auf den Netzwerkverkehr eines Benutzers. Sie können sich Zugang verschaffen, wenn der Benutzer ein ungesichertes WLAN benutzt oder indem sie Man-in-the-Middle-Angriffe durchführen. Beim Session-Side-Jacking überwacht ein Krimineller den Netzwerkverkehr eines Internetnutzers mittels „Packet Sniffing“, um nach Sessions zu suchen. Auf diese Weise kann der Angreifer ein Session-Cookie erlangen und es dazu verwenden,
die Session zu übernehmen.
Session-Fixierung
Bei einem Session-Fixierungs-Angriff erstellt der Kriminelle eine Session-ID und bringt den Benutzer dazu, eine Session mit dieser ID zu starten. Dies kann durch das Senden einer E-Mail an den Benutzer mit einem Link zu einem Anmeldeformular für die Website, auf die der Angreifer zugreifen möchte, erreicht werden. Der Benutzer meldet sich mit der gefälschten Session-ID an, wodurch der Angreifer einen Fuß in die Tür bekommt.
Man-in-the-Browser-Angriff
Dieser Angriff ähnelt einem Man-in-the-Middle-Angriff, aber der Angreifer muss den Computer des Opfers zunächst mit einem Trojaner infizieren. Sobald das Opfer dazu verleitet wurde, die Malware auf dem System zu installieren, wartet die Malware darauf, dass das Opfer eine bestimmte Website besucht. Die Man-in-the-Browser-Malware kann Transaktionsinformationen unsichtbar verändern und auch zusätzliche Transaktionen erstellen, ohne dass der Benutzer dies bemerkt. Da die Anfragen vom Computer des Opfers initiiert werden, ist es für den Webdienst sehr schwierig zu erkennen, dass die Anfragen gefälscht sind.
Vorhersagbare Session-Token-ID
Viele Webserver verwenden einen benutzerdefinierten Algorithmus oder ein vordefiniertes Muster, um Session-IDs zu erzeugen. Je vorhersehbarer ein Session-Token ist, desto schwächer ist er. Wenn Angreifer mehrere IDs erfassen und das Muster analysieren können, sind sie möglicherweise in der Lage, eine gültige Session-ID vorherzusagen. (Dieser Ansatz kann mit einem Brute-Force-Angriff verglichen werden.)
Wie unterscheidet sich Session-Hijacking vom Session-Spoofing?
Session-Hijacking und Session-Spoofing haben Ähnlichkeiten, sind aber nicht dieselbe Art von Angriff. Der Hauptunterschied zwischen den beiden besteht darin, dass Session-Hijacking stattfindet, wenn ein legitimer Benutzer bereits bei einer Web-Session angemeldet ist. Im Gegensatz dazu gibt sich ein Angreifer beim Session-Spoofing als Benutzer aus, um eine neue Web-Session zu starten (was bedeutet, dass der Benutzer zu diesem Zeitpunkt nicht angemeldet sein muss).
Diese Unterscheidung bedeutet, dass legitime Nutzer die Angriffe unterschiedlich erleben. Beim Session-Hijacking unterbricht ein Angreifer die Session, was dazu führen kann, dass sich die Website oder die Anwendung ungewöhnlich verhält oder das Opfer sogar abstürzt. Da der Benutzer jedoch während eines Session-Spoofing-Angriffs nicht aktiv angemeldet ist, wird er bei seiner nächsten Session nicht gestört.
Auswirkungen von Session-Hijacking-Angriffen
Es birgt viele Risiken, wenn keine Maßnahmen zur Verhinderung von Session-Hijacking getroffen werden. Einige dieser Gefahren sind:
Identitätsdiebstahl
Durch den unbefugten Zugriff auf sensible persönliche Daten, die in Konten gespeichert sind, können Angreifer die Identität eines Opfers über die Grenzen der gehackten Website oder Anwendung hinaus stehlen.
Finanzieller Diebstahl
Durch das Session-Hijacking können Angreifer die Möglichkeit erlangen, finanzielle Transaktionen im Namen des Benutzers durchzuführen. Dabei kann es sich um Überweisungen von einem Bankkonto oder um Einkäufe mit gespeicherten Zahlungsinformationen handeln.
Infektion mit Malware
Wenn ein Hacker die Session-ID eines Benutzers stehlen kann, ist er möglicherweise auch in der Lage, den Computer des Benutzers mit Malware zu infizieren. Dadurch können sie die Kontrolle über den Computer des Ziels erlangen und dessen Daten stehlen.
Denial-of-Service (DoS)-Angriffe
Ein Hacker, der die Kontrolle über die Sitzung eines Benutzers erlangt, könnte einen DoS-Angriff auf die Website oder den Server, mit dem der Benutzer verbunden ist, starten und so den Dienst unterbrechen oder die Website zum Absturz bringen.
Zugang zu weiteren Systemen über SSO
SSO steht für „Single Sign On“. Angreifer können sich auch unbefugten Zugriff auf weitere Systeme verschaffen, wenn SSO aktiviert ist, wodurch sich das potenzielle Risiko eines Session-Hijacking-Angriffs weiter erhöht. Dieses Risiko ist besonders wichtig für Unternehmen, von denen viele jetzt SSO für Mitarbeiter ermöglichen. Letztlich bedeutet dies, dass selbst hochgradig geschützte Systeme mit stärkeren Authentifizierungsprotokollen und weniger vorhersehbaren Session-Cookies, z. B. solche, die Finanz- oder Kundendaten enthalten, nur so gut geschützt sind wie das schwächste Glied im gesamten System.
Beispiele für Session-Hijacking-Angriffe
Zoom-Bombing
Während der Covid-19-Pandemie wandte sich die Welt Videokonferenz-Apps wie Zoom zu. Diese Anwendungen wurden zu einem beliebten Ziel von Session-Entführern, was ihnen sogar den Spitznamen „Zoom-Bombing“ einbrachte. In den Nachrichten wurde von Session-Entführern berichtet, die sich in private Videositzungen einschalteten und in einigen Fällen Schimpfwörter und hasserfüllte Sprache riefen und pornografische Bilder austauschten. Als Reaktion darauf hat Zoom den Schutz der Privatsphäre verbessert, um das Risiko zu minimieren.
Slack
Im Jahr 2019 entdeckte ein Forscher auf einer Bug-Bounty-Plattform eine Schwachstelle in Slack, die es Angreifern ermöglichte, Benutzer zu gefälschten Sessions-Umleitungen zu zwingen, um ihre Session-Cookies zu stehlen. Dadurch erhielten die Angreifer Zugriff auf alle in Slack freigegebenen Daten (was für viele Unternehmen von Bedeutung sein kann). Slack hat schnell reagiert und die Schwachstelle innerhalb von 24 Stunden nach dem Hinweis des Forschers behoben.
GitLab
Im Jahr 2017 identifizierte ein Sicherheitsforscher eine Schwachstelle in GitLab, bei der die Session-Token der Benutzer direkt in der URL verfügbar waren. Weitere Untersuchungen ergaben, dass GitLab auch dauerhafte Session-Tokens verwendete, die nie abliefen, was bedeutete, dass ein Angreifer, sobald er ein Session-Token erhalten hatte, dieses ohne Bedenken wegen des Ablaufs verwenden konnte. Diese Kombination aus offener Offenlegung und dauerhaften Token stellte ein ernsthaftes Risiko dar, da sie die Benutzer für verschiedene schwerwiegende Angriffe durch Session-Hijacking über einen Brute-Force-Angriff öffnete. GitLab hat die Sicherheitslücke behoben, indem es die Verwendung und Speicherung dieser Token geändert hat.
Das Verhindern von Session-Hijacking
Befolgen Sie diese Tipps zur Verhinderung von Session-Hijacking, um Ihre Online-Sicherheit zu erhöhen:
Vermeiden Sie öffentliches WLAN
und führen Sie wichtige Transaktionen wie Bankgeschäfte, Online-Shopping oder das Einloggen in Ihre E-Mail- oder Social-Media-Konten nicht über öffentliches WLAN durch. Möglicherweise befindet sich ein Cyberkrimineller in der Nähe, der mit Hilfe von Packet Sniffing versucht, Session-Cookies und andere Informationen auszuspähen.
Verwenden Sie ein VPN
Wenn Sie ein öffentliches WLAN nutzen müssen, verwenden Sie ein virtuelles privates Netzwerk (VPN), um Ihre Sicherheit zu maximieren und Session-Hijacker von Ihren Sitzungen fernzuhalten. Ein VPN verschleiert Ihre IP-Adresse und schützt Ihre Online-Aktivitäten, indem es einen privaten Tunnel schafft, durch den alle Ihre Online-Aktivitäten laufen. Ein VPN verschlüsselt die Daten, die Sie senden und empfangen.
Seien Sie wachsam gegenüber Phishing und anderen Online-Betrügereien
Vermeiden Sie es, auf einen Link in einer E-Mail zu klicken, wenn Sie nicht wissen, dass er von einem seriösen Absender stammt. Sitzungs-Hijacker können Ihnen eine E-Mail mit einem Link schicken, den Sie anklicken sollen. Der Link kann Malware auf Ihrem Gerät installieren oder Sie zu einer Anmeldeseite führen, die Sie mit einer vom Angreifer vorbereiteten Session-ID bei einer Website anmeldet.
Achten Sie auf die Sicherheit der Website
Sehr seriöse Banken, E-Mail-Anbieter, Online-Händler und Social-Media-Websites verfügen über Sicherheitsvorkehrungen, um Session-Hijacking zu verhindern. Achten Sie auf Websites, deren URL mit HTTPS beginnt – das S steht für „sicher“. Die Nutzung von fragwürdigen Online-Shops oder anderen Anbietern, die möglicherweise nicht über solide Sicherheitsvorkehrungen verfügen, kann dazu führen, dass Sie für einen Session-Hijacking-Angriff anfällig sind.
Verwenden Sie Antiviren-Software
Installieren Sie eine seriöse Antiviren-Software, die Viren leicht erkennen kann und Sie vor jeglicher Art von Malware schützt (einschließlich der Malware, die Angreifer für das Session-Hijacking verwenden). Halten Sie Ihre Systeme auf dem neuesten Stand, indem Sie automatische Updates für alle Ihre Geräte einrichten.
Weitere Produkte:
Weitere Artikel:
Was ist Session-Hijacking und wie funktioniert es?
Kaspersky
