Was ist Session Hijacking und Möglichkeiten zur Vorbeugung

von

Wussten Sie, dass ein Hacker in Ihrem Namen Banküberweisungen oder Online-Einkäufe tätigen kann, ohne Ihre Registrierungsdaten zu stehlen?

Wir verbinden Cookies mit Tracking und störender Online-Werbung, aber sie speichern auch Suchanfragen, sodass wir Websites besuchen können, ohne einen Benutzernamen und ein Passwort einzugeben.

Wenn jedoch jemand das Cookie abfängt, kann dies zu einem katastrophalen Cyberangriff namens Session-Hijacking führen, der Ihre sensiblen Daten durch Angreifer gefährden und großen Schaden anrichten kann, bevor Sie überhaupt wissen, was passiert ist.

Lassen Sie uns herausfinden, was es ist und wie Sie es verhindern können!

Was ist Sitzungsentführung?

Beim Session-Hijacking fängt ein Angreifer eine etablierte Sitzung zwischen einem Benutzer und einem Host ab und übernimmt diese, beispielsweise einen Webserver, eine Telnet-Sitzung oder eine andere TCP-basierte Verbindung. Eine Sitzung beginnt, sobald Sie sich bei einer Website oder Anwendung anmelden, z. B. bei einer Website eines sozialen Netzwerks.

Es wird fortgesetzt, während Sie sich im Konto befinden, Ihr Profil überprüfen oder an einem Thread teilnehmen, und endet, wenn Sie sich vom System abmelden. Aber woher weiß der Webserver, dass jede Anfrage, die Sie stellen, tatsächlich von Ihnen stammt?

Hier kommen Cookies ins Spiel. Nach dem Einloggen übermitteln Sie Ihre Zugangsdaten an den Webserver. Es bestätigt, wer Sie sind, und gibt Ihnen mithilfe eines Cookies, das für die Dauer der Sitzung an Sie angehängt wird, eine Sitzungs-ID. Aus diesem Grund melden Sie sich nicht jedes Mal von einer Anwendung ab, wenn Sie das Profil einer anderen Person besuchen, und der Online-Shop merkt sich, was Sie in Ihren Einkaufswagen gelegt haben, selbst wenn Sie die Seite aktualisieren.

Aber Angreifer können die Sitzung kapern, wenn sie spezielle Sitzungsverwaltungstechniken verwenden oder Ihr Cookie stehlen. Daher kann es dem Webserver vorgaukeln, dass die Anfragen von Ihnen, dem autorisierten Benutzer, stammen.

Das Phänomen des Session-Hijacking wurde in den frühen 2000er Jahren berühmt, ist aber immer noch eine der häufigsten Methoden von Hackern.

Ein aktuelles Beispiel ist die Lapsus$ Group, die dieses Jahr Teil der Most Wanted-Liste des FBI wurde. Es verwendet InfoStealer Maleware-Infektion, um die Sitzung zu entführen.

In ähnlicher Weise ist GenesisStore ein Laden nur auf Einladung, der von einer gleichnamigen Gruppe betrieben wird, die kompromittierte Cookie-Daten verkauft, und seine Auflistung umfasst mehr als 400.000 Bots.

Sitzungserfassungstypen

Session Hijacking kann je nach den Wünschen des Täters in zwei Hauptkategorien unterteilt werden.

Aktiv: Bei einem aktiven Angriff übernimmt der Angreifer Ihre Sitzung und damit die Verbindung des legitimen Clients zur Ressource. Abhängig von der Website der Sitzung kann der Hacker Online-Einkäufe tätigen, Passwörter ändern oder Konten wiederherstellen. Ein gängiges Beispiel für einen aktiven Angriff ist ein Brute-Force-Angriff, XSS oder sogar DDoS.

  Beheben Sie das Problem mit dem schwarzen Bildschirm von Microsoft Teams

Quelle: OSWAP

Passiv: Bei einem passiven Angriff übernimmt oder verändert der Angreifer die Sitzung nicht. Stattdessen überwachen sie im Stillen den Datenverkehr zwischen Ihrem Gerät und dem Server und sammeln alle sensiblen Informationen. Normalerweise werden IP-Spoofing und Malware-Injection verwendet, um passive Injection-Angriffe durchzuführen.

Quelle: OSWAP

Wie funktioniert Session-Hijacking?

HTTP ist ein zustandsloses Protokoll, was bedeutet, dass der Server keine Erinnerung an den Betrieb des Clients hat. Jede neue HTTP-Anforderung fällt mit einer neuen Arbeitseinheit zusammen, oder einfacher ausgedrückt, der Server stellt dem Client Seiten bereit, ohne sich an die vorherigen Anforderungen des Clients zu erinnern.

Wenn wir jedoch im Internet surfen, stellen wir fest, dass Anwendungen im Idealfall wissen, wer der Client ist (sogar zu gut!). Dank dieses „Gedächtnisses“ des Servers „ist es möglich, moderne reservierte Bereiche von Websites, Online-Banken, Webmail-Diensten usw. zu erstellen.

Dazu wurde ein Anhang geboren, der ein zustandsloses Protokoll wie HTTP zustandsbehaftet macht: Cookies.

Zustandsbehaftete Sitzungen

Nach der Anmeldung legen Webanwendungen, die die zustandsbehaftete Sitzung verwenden, ein Sitzungscookie ab. Das bedeutet, dass sie sich auf dieses Cookie verlassen, um den Client zu verfolgen. Innerhalb des Cookies wird ein eindeutiger Code gespeichert, der die Wiedererkennung des Kunden ermöglicht, zum Beispiel:

SESSIONID=ACF3D35F216AAEFC

Jeder mit der oben erwähnten eindeutigen Sitzungs-ID oder dem Code wäre der authentifizierte Client für den Server. Wenn ein Angreifer diese Kennung erhalten könnte, wie im Bild unten zu sehen, könnte er die ursprünglich für sein Opfer validierte Sitzung ausnutzen, indem er entweder eine legitime Sitzung ausspioniert oder sogar die Sitzung vollständig übernimmt. Diese Kennung ist normalerweise in die URL, in das verborgene Feld eines Formulars oder in Cookies eingebettet.

OSWAP

Staatenlose Sitzungen

Mit der Entwicklung des Internets sind Lösungen entstanden, um den „Speicher“ des Servers ohne die Verwendung von Session-Cookies zu verwalten. In einer Webanwendung, in der Frontend und Backend gut getrennt sind und nur über API kommunizieren, könnte die beste Lösung ein JWT (JSON Web Token) sein, ein signiertes Token, das es dem Frontend ermöglicht, die vom Backend bereitgestellten APIs zu nutzen.

Normalerweise wird das JWT im sessionStorage des Browsers gespeichert, einem Speicherbereich, den der Client aktiv hält, bis der Tab geschlossen wird. Folglich wird beim Öffnen eines neuen Tabs eine neue Sitzung erstellt (im Gegensatz zu dem, was mit Cookies passiert).

  So erhalten Sie neuere Software auf Debian Stable

Das Stehlen des Identifikationstokens des Clients ermöglicht es Ihnen, die Sitzung des Benutzers zu stehlen und somit einen Session-Hijacking-Angriff durchzuführen. Aber wie kann man dieses Token stehlen?

Derzeit sind die von Hackern am häufigsten verwendeten Methoden:

#1. Session-Seitenaufbock

Diese Methode verwendet unsichere Netzwerke, um Ihre Sitzungs-ID herauszufinden. Der Angreifer verwendet Sniffing (spezielle Software) und zielt normalerweise auf öffentliche WLANs oder Websites ohne SSL-Zertifikat ab, die für schlechte Sicherheit bekannt sind.

#2. Sitzungsfixierung

Das Opfer verwendet die vom Angreifer erstellte Sitzungs-ID. Dies kann mit einem Phishing-Angriff (über einen schädlichen Link) geschehen, der Ihre Sitzungs-ID „repariert“.

#3. Rohe Gewalt

Die zeitaufwändigste und ineffizienteste Methode. Während dieses Angriffs stiehlt der Hacker Ihre Cookies nicht. Stattdessen versucht es jede mögliche Kombination, um Ihre Sitzungs-ID zu erraten.

#4. XSS oder Cross-Site-Scripting

Ein Hacker nutzt Schwachstellen in Websites oder Anwendungen aus, um bösartigen Code einzuschleusen. Wenn ein Benutzer die Website besucht, wird das Skript aktiviert, stiehlt die Cookies des Benutzers und sendet sie an den Angreifer.

#5. Malware-Injektion

Schädliche Software kann unbefugte Aktionen auf Ihrem Gerät ausführen, um persönliche Informationen zu stehlen. Es wird auch oft verwendet, um Cookies abzufangen und Informationen an einen Angreifer zu senden.

#6. IP-Spoofing

Ein Cyberkrimineller ändert die Quell-IP-Adresse seines Pakets, damit es so aussieht, als käme es von Ihnen. Aufgrund der gefälschten IP glaubt der Webserver, dass Sie es sind, und die Sitzung wird gekapert.

Wie kann man Session-Hijacking verhindern?

Die Möglichkeit des Session-Hijacking hängt normalerweise mit der Sicherheit der von Ihnen verwendeten Websites oder Anwendungen zusammen. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um sich zu schützen:

  • Vermeiden Sie öffentliches WLAN, da kostenlose Hotspots ideal für Cyberkriminelle sind. Sie haben normalerweise eine schlechte Sicherheit und können leicht von Hackern gefälscht werden. Ganz zu schweigen davon, dass sie immer voller potenzieller Opfer sind, deren Datenverkehr ständig kompromittiert wird.
  • Jede Website, die kein SSL-Zertifikat verwendet, macht Sie angreifbar, da sie den Datenverkehr nicht verschlüsseln kann. Überprüfen Sie, ob die Website sicher ist, indem Sie nach einem kleinen Vorhängeschloss neben der URL suchen.

  • Installieren Sie eine Anti-Malware-Anwendung, um Ihr Gerät zu erkennen und vor Malware und Ratten zu schützen, die persönliche Informationen stehlen können.
  • Vermeiden Sie das Herunterladen von Malware, indem Sie offizielle App-Stores oder Websites zum Herunterladen von Apps verwenden.
  • Wenn Sie eine Nachricht erhalten, in der Sie aufgefordert werden, auf einen unbekannten Link zu klicken, tun Sie es nicht. Dies könnte ein Phishing-Angriff sein, der Ihr Gerät infizieren und persönliche Informationen stehlen kann.
  Warum Sie diese Software benötigen, um Daten auf ein neues iPhone zu migrieren [Sponsored Post]

Gegen einen Session-Hijacking-Angriff kann der Nutzer wenig ausrichten. Im Gegenteil, die Anwendung kann jedoch feststellen, dass sich ein anderes Gerät mit derselben Sitzungskennung verbunden hat. Darauf aufbauend können Sie Minderungsstrategien entwickeln wie:

  • Ordnen Sie jeder Sitzung einen technischen Fingerabdruck oder Merkmale des verbundenen Geräts zu, um Änderungen in den registrierten Parametern zu erkennen. Diese Informationen müssen im Cookie (für Stateful Sessions) oder im JWT (für Stateless Sessions) absolut verschlüsselt gespeichert werden.
  • Wenn die Sitzung Cookie-basiert ist, löschen Sie das Cookie mit dem HTTPOnly-Attribut, damit es im Falle eines XSS-Angriffs nicht erreichbar ist.
  • Konfigurieren Sie ein Intrusion Detection System (IDS), Intrusion Prevention System (IPS) oder eine Netzwerküberwachungslösung.
  • Einige Dienste führen sekundäre Überprüfungen der Identität des Benutzers durch. Beispielsweise könnte ein Webserver bei jeder Anfrage überprüfen, ob die IP-Adresse des Benutzers mit der zuletzt während dieser Sitzung verwendeten übereinstimmt. Dies verhindert jedoch nicht Angriffe von jemandem, der dieselbe IP-Adresse verwendet, und könnte für Benutzer frustrierend sein, deren IP-Adresse sich während einer Browsersitzung ändern kann.
  • Alternativ ändern einige Dienste den Cookie-Wert bei jeder einzelnen Anfrage. Dies reduziert das Fenster, in dem ein Angreifer agieren kann, drastisch und erleichtert die Identifizierung, ob ein Angriff stattgefunden hat, aber andere technische Probleme verursachen kann.
  • Verwenden Sie für jede Benutzersitzung unterschiedliche Multifaktor-Authentifizierungslösungen (MFA).
  • Halten Sie alle Systeme mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand.

FAQ

Wie unterscheidet sich Session-Hijacking von Session-Spoofing?

Beim Session-Hijacking gibt man vor, der Benutzer zu sein, während beim Spoofing der Benutzer ersetzt wird. In den letzten Jahren haben einige Sicherheitsanalysten begonnen, letzteres als eine Art Session-Hijacking zu charakterisieren.

Letzte Worte

Die Häufigkeit von Session-Hijacking-Angriffen hat in den letzten Jahren zugenommen; Daher wird es immer wichtiger, solche Angriffe zu verstehen und vorbeugende Maßnahmen zu ergreifen. Mit der Entwicklung der Technologie werden jedoch auch die Angriffe immer ausgefeilter; Daher ist es wichtig, aktive Minderungsstrategien gegen Session-Hijacking zu entwickeln.

Vielleicht interessiert Sie auch, wie viel Ihre Daten im Dark Web wert sind.