Wolltest Du Dich schon mal in ein fremdes Konto hacken?
z. B. das Online-Banking, Facebook, Amazon Warenkorb Deiner Freunde?
Hacker können das und nennt dies Session Hijacking – ohne Passwort des Nutzers stehlen die Kriminellen Geld und Sachen.
Wie Session Hijacking funktioniert und wie Du Dich effektiv davor schützen kannst, verrate ich Dir in diesem Post.
Aufgabe: APT verstehen + (hoffentlich) erkennen!
Um was geht’s? – Ins Online-Banking ohne Passwort hacken
Dieser Post soll Dir Aufschluss darüber geben, wie Hacker die Logins aktiver Opfer übernehmen können. Die Hacker können sich, ohne das Passwort des Opfers zu kennen, in ein beliebiges Konto hacken.
Die Cyber-Profis stehlen Dir Deinen virtuelle Identität und nutzen die Schwachstellen des Internets aus, um Dein Geld zu stehlen oder in bekannten Online-Shops auf Deine Rechnung Sachen zu bestellen.
Knappe Einordnung
Session Hijacking gehört zu der Man-In-The-Middle Attacke. Diese Form der Attacke kann in Verbindung stehen mit Cross-Site-Scripting, CSRF oder ARP-Attacks.
Je nach Qualität der Programmierung der Online-Apps kann der Hacker 0-day-Exploits oder Browser-Bugs nutzen.
Grundlagen: Protokolle verstehen
Ist TCP / IP an Session Hijacking Schuld?
Das TCP (Transmission Control Protokoll) in Verbindung mit HTTP, UDP und ICMP sorgt dafür, dass die Internet-Nachricht am richtigen Empfänger schnell und vollständig ankommt.
Das große Sicherheitsproblem bei TCP ist, dass diese verbindungslos ist. Damit Du verstehst, warum TCP das Internet unsicherer macht, erkläre ich Dir TCP Funktion anhand einer Metapher:
TCP Metapher: Umkleideraum eines Schwimmbads
Heute ist das große Wasserball-Match Mannheim gegen Frankfurt.
Der Frankfurter Torwart Hans und sein Kapitän Peter ziehen Sich in der Umkleide um. Die Kabinen sind voneinander getrennt und Sie können sich nicht sehen.
Sie können nur über Zurufen miteinander reden. Als coolen Gag (und für die Sicherheit) nutzen Sie den Code „Ente 42“, um sich gegenseitig zu bestätigen.
Hans: „Ente 42 – Bleibst Du beim Macht mehr rechten Seite heute?“
Peter: „Heute, aber nur in der 1. Hälfte – dann möchte ich meine Strategie ändern.“
Hans ist schnell umgezogen – Peter braucht etwas länger, weil er seine Badekappe sucht. Hans verlässt die Umkleide und der Mannheimer Phil betritt die Umkleidehalle. Er hatte von der Tür aus mitgehört, wie die beiden Frankfurter geredet haben.
Peter kämpft mit seiner Badekappe, als er eine Stimme hört
(Phil): „Ente 42 – Wie sieht heute unsere Strategie aus. Ich habs‘ vergessen.“
Peter: (…antwortet sehr ausführlich…)
Das Geheimnis ist raus. Die besiegen Mannheimer die ahnungslosen Frankfurter mit 6:1.
Hack IT: Cookies Diebstahl
Wasserball-Match und Hacking? – TCP erschwert die Sicherheit im Netz
TCP arbeitet mit einer verbindungslosen Kommunikation.
Der Sender (Peter) weis nicht mit wem (Phil oder Hans) er redet, da die Verbindung nicht dauerhaft besteht (getrennte Kabinen). Der Empfänger bestätigt seine Identität mit einem Einmal-Passwort (Ente 42).
Phil war der Man-In-The-Middle und hat den Traffic (das Gespräch zwischen Peter und Hans) abgehört. Mit dem Wissen, wie die Frankfurter kommunizieren, kann er unbemerkt Peter ausfragen, ohne das er etwas merkt.
Der Computer und Server bauen eine „virtuelle“ Sitzung mit den Cookies auf. Cookies sind kleine Information in Form von Texten, die Dein Browser für Dich verwaltet. Der Cookie in unserm Fall war ein Einmal-Passwort „Ente 42“, die die Mannheimer heute genutzt haben.
Cookies überall – Segen und Fluch
Mit einem Cookie kann der Server einen Nutzer wiedererkennen, sobald er die nächste Nachricht sendet. Über die kleine Textdatei will der Server sichergehen, dass die geheime Nachricht nur der richtigen Nutzer erreicht. Um TCP sicher zu nutzen, müsst bei jedem eingehenden IP-Paket, der Nutzer sein Passwort eingeben, um seine Identität zu testen. Das ist nicht praktikabel.
Die Cookies können des Weiteren die Warenkorb-Inhalte abspeichern und das Online-Verhalten des Nutzers tracken.
Eine virtuelle Sitzung läuft ab, wenn das Ablaufdatum des Cookies erreicht ist. Peter wäre sehr misstrauisch, wenn nächste Woche den Code „Ente 42“ hört, weil die Mannschaft die Code-Wörter jede Woche anpasst.
Der Nutzer vor dem Browser bemerkt eine abgelaufenes Cookie, wenn der Browser sich aus dem Konto vollständig abmeldet.
Die Cookies verwenden Online-Shops für Warenkörbe, Banken für Online-Banking, Blogger für Google Analytics und Zeitungsverlage zum Tracken der Nutzer.
Die Top 100 Webseiten nutzen 5675 Cookie nach einer Studie der Universität Berkeley in 2011.
So geht Session Hijacking
Stelle Dir zwei Laptops und einen Server vor:
Einen armen Dell-Laptop (Du), ein kräftiges Power-Gamer-Notebook (Hacker) und die 30 Jahre alter Cobolt-Server (Bank).
Der Hacker möchte Dich ausspähen, den größtmöglichen Schaden produzieren und Deine Konten ausrauben.
- Du loggst Dich bei Deiner Bank ins Online-Banking ein.
- Der Hacker versucht mit Sniffing oder Malware, in Besitzt des Cookies zu kommen und auf sein Power-Gamer-Notebook zu kopieren.
- Der Hacker kann die Nachrichten sehen, die Du aus dem Internet auf Deinen armen Dell-Laptop empfängst. Das Sniffing funktioniert erfolgreich nur, wenn die Verbindung unverschlüsselt (HTTP) ist.
- Eine andere Methode ist der Einsatz einer Malware. Der Hacker hat unbemerkt (über Mail, Downloads, USB-Stick) die Malware auf Deinen Rechner installiert.
Die Malware scannt den Cookie-Cache des Browsers und sendet diesen an das Hacker-Power-Notebook.
- Sobald der Hacker das Cookie hat, tauscht der Hacker mit Dir die IP und MAC-Adresse.
- Der Server hat nichts vom dem Geräte-Wechsel und Nutzerwechsel mitbekommen, weil der Server immer noch mit der gleichen IP und MAC kommuniziert. Das Cookie auf dem Notebook des Hackers gaukelt dem Cobolt-Server vor, dass der Hacker der gerade authentifizierte Nutzer ist.
- Der Hacker kann jetzt beliebig Geld überweisen, Einstellungen vornehmen und Daten herunterladen.
Warum Session-Hijacking funktioniert
Der Bank-Server kontrolliert die IP-Adresse, MAC-Adresse und das Cookie. Sind diese gleich, nimmt der Server an, dass Power-Gamer-Notebook der arme Dell-Laptop ist.
Je nach „Intelligenz“ checkt der Server die Browser-Version, die Bildschirm-Auflösung und das Betriebssystem. Stellt der Server einen Unterschied fest, schließt der Server sofort die Session.
Sicherung: Online-Banking aber sicher!
Sicherungsmaßnahme
Verwende HTTPS und VPN – Wenn die Verbindung verschlüsselt ist, sieht der Hacker nur kryptische Texte und kann nicht mit Sniffing den Cookie sehen.
Intrusion Detection Systeme – Diese Systeme erkennen jegliche Veränderung in einem Netzwerk (Nutzen meist große Unternehmen) und alarmiert Dich bei Bedrohungen.
JavaScript aus – Wenn Du auf Nummer sichergehen möchtest, schaltet JavaScript aus. Möglicherweise funktioniert nicht die Banking-App nicht mehr, weil diese auf JavaScript basiert.
Antivirus mit aktuellen Signaturen – Ein Antivirus findet nur die Malware, die Dir Deine Cookies stehlen können, wenn Antivirus regelmäßig updaten kann. Ein aktueller Antivirus findet nur 45 % der Malware, kann aber verhindern, dass die bekannte Malware keinen Schaden mehr anrichten kann.
Hallo Herr Lippke,
funktioniert das Umleiten des Cookies auch bei einer 2FA/MFA Anmeldung?
Aus meiner Erfahrung gibt es heute keine HTTP Verbindung mehr zu Banken, stimmen Sie dem zu?
Vielen Dank für Ihre Infos und den Tutorials, bin ein begeisterter Leser 😉
LG
Peter
Hallo Peter,
2FA / MFA helfen nicht bei der Cookie-Umleitung. Ein Cookie ist wie ein temporärer Besucherausweis, welchen Du nach 2FA bekommst. Dein Browser muss diesen regelmäßig vorzeigen, damit die Bank sicher gehen kann, dass Du noch am Computer bist.
Ja, HTTPS sollte bei allen Banken in Deutschland Standard per Gesetz sein. Aber man weiß ja nie, ob die Bank das auch richtig umgesetzt hat. HTTPS-Weiterleitung sind vielleicht defekt … und wir leben in total digitalisierten Deutschland. Selbst wenn Du Deine Bank es vergeigt, muss die Bank Dir das Geld zurückerstatten, wenn ein Krimineller Dein Konto leerräumt (in der Regel). Die Bank muss dafür Sorge tragen, dass der Zugang geschützt ist.
Grüße
Steffen
Hallo, ich versuche gerade etwas rauszufinden und landete nun hier im Blog und vielleicht ist genau dies passiert:
Am Samstag wurde mein Facebook-Konto gehackt, trotz 2FA auf Facebook + 2FA beim E-Mail Postfach. Es gab keinerlei Benachrichtigungen über einen fremden Login, ich bemerkte nachmittags, dass ich mich nicht mehr einloggen konnte und bereits die Zugangs-E-Mail ersetzt sowie Handynummer etc entfernt wurde.
Im E-Mail Postfach sah ich dann angekommene E-Mails (ungeöffnet) mit je 4 Wiederherstellungscodes und dann eine Facebookmail mit dem Hinweis, dass die E-Mail ersetzt wurde.
Laut Provider gab es in der Historie keinen Fremdlogin, also ist dies auszuschließen.
Browserverlauf nochmals gecheckt und ich habe keinerlei Webseiten davor besucht, lediglich kurz selbst Ebay und Wikipedia aufgerufen.
Jetzt ein großes ABER:
zwei Tage vor dem Hack habe ich auf meiner Künstler-Facebookseite eine E-Mail Adresse ins Impressum geschrieben und dummerweise war das auch die gleiche, die ich zum einloggen verwende….
Könnte somit auch ein Cookie gefälscht werden, ohne diesen vorher durch Malware etc abgegriffen worden zu sein? Denn ich bin sicher, ich könnte dies tatsächlich ausschließen.
Ich bekam den Zugang letztendlich zurück, da ich via Ausweis den Rücksetzungslink bekam.
Nach dem Login wurde eine automatische Bereinigung gestartet und habe dann geprüft, was geändert wurde und was die Absicht des Hackers war, eventuell käme man so auf die Vorgehensweise?
Es wurde eine mir fremde Person als Freund hinzugefügt und diese dann als Admin in das Werbekonto eingeladen. Daraufhin eine Kreditkarte hinzugefügt und versucht Werbung zu schalten. Die Werbung ist professionell gestaltet mit Zielgruppe USA und Hawaii. Diese zielt auf einen Shop in den USA ab, der Link etc und all das ist noch gespeichert. Die URL beinhaltet aber keinerlei Kunden-ID, sondern geht direkt auf die Produktseite!!!
Da könnt man davon ausgehen, dass der Shop quasi Hacker anheuert, die eventuell mit geklauten Kreditkarten und europäischen Konten dann für Traffic sorgen? Als IP-Adresse spuckte Facebook NordVPN Berlin heraus, mit genauen Zeitangaben.
Bei mir ist zwar alles gerettet, aber mich würde nun echt interessieren, wie all das zustandekam. Ich kann mir absolut keinen Reim drauf machen und war davor überzeugt, sämtliche 2FAs wären Sicherheit genug. Jetzt bin ich etwas erschüttert, da dies nahezu jeden treffen kann.
Hab natürlich überall die E-Mails geändert und verwende keine ein zweites Mal, sodass es kein Angriffspunkt für den Login geben würde…
Sollte ich eine Anzeige erstatten, die aber letztendlich bei diesem Shopbetreiber in den USA landen würde und nach einiger Zeit ohnehin sicherlich aufgegeben wird, oder könnte eine größere Masche aufgedeckt werden? Die eingetragene Kreditkarte ist zwar gelöscht, aber was der Hacker nicht wusste: ich hatte noch einen Werberückstand seit 2 Jahren von 50 Cent und diese wurde sofort abgebucht und als Rechnung von Facebook mit VISA Transaktionsnummer etc gespeichert.
Viele Grüße
Hallo Alexander,
bei Deinem Szenario vermute ich, dass Du Dir eine Malware eingefangen hast oder auf ein Typosquatting Domain hereingefallen bist.
1. Die Malware kopiert Deinen gesamten Browser 1:1, sodass der Hacker ein exaktes Duplikat verwenden kann. Wenn Du Dich nicht aus Facebook nach jedem Besuch komplett ausloggst, bringt Dir 2FA und Passwort gar nichts. Dein Browser hat einen Cookie gespeichert, welcher der Kriminelle jetzt fröhlich verwenden kann. (ja das ist Session Hijacking). Ein anderer Typ von Malware loggt jeden Tastaturanschlag und sendet diese zum Kriminellen.
2. Ein Typosquatting Domain ist z. B. faacebook.com Diese falsch getippten Domain kann sich jeder Idiot auf der Welt anmieten und dann eine Facebook-Anmeldemaske drauf faken. Jetzt gibst Du brav Dein Passwort und dann Dein 2FA Token ein. Du merkst nichts. Der Kriminelle kann aber mitlesen, was du tippst.
Schütze Dich vor Malware wie hier beschrieben: https://lippke.li/was-ist-malware/
Typosquatting Domains kannst Du mit Passwort-Managern erkennen, weil diese in unbekannte Webseiten kein Passwort einfügen.
Du kannst gerne Anzeige erstatten, aber in Deutschland verläuft so etwas oft in den Sand. Selbst wenn Du den Verantwortlichen aus > Tropisches Land einsetzen < findest, reicht der deutsche Justiz-Arm nicht bis dort. Selbst Schutz, Redundanzen und Vorbereitung ist wichtiger als Nachsicht.