BitM-Angriffe: Wenn Sitzungen in Sekundenschnelle gestohlen werden

24. Juni 2025

Ein neuer Trend in der Welt der Cyberangriffe sorgt für Aufsehen: Browser-in-the-Middle (BitM) heißt die Technik, mit der Angreifer in wenigen Sekunden Zugriff auf Websitzungen erhalten – selbst dann, wenn Nutzer eine Multi-Faktor-Authentifizierung (MFA) genutzt haben.

Angriffsziel: Sitzungstoken

Der Kern der BitM-Methode liegt im gezielten Diebstahl sogenannter Sitzungstoken. Diese Token werden nach erfolgreicher Authentifizierung im Browser des Nutzers gespeichert und ermöglichen es, sich innerhalb einer Sitzung als der jeweilige Nutzer auszugeben – ohne erneut ein Passwort oder einen MFA-Code eingeben zu müssen.

Sicherheitsforscher von Mandiant, einer Tochter von Google, warnen: Wird ein solches Token entwendet, kann die laufende Sitzung komplett übernommen werden – MFA bietet in diesem Fall keinen Schutz mehr. „Der Diebstahl des Sitzungstokens entspricht dem Diebstahl der authentifizierten Sitzung“, heißt es von den Experten.

MFA allein reicht nicht mehr

Obwohl die MFA nach wie vor als essenzieller Bestandteil moderner Sicherheitsstrategien gilt, sind Social-Engineering-Taktiken und BitM-Angriffe inzwischen so ausgeklügelt, dass sie diese Schutzmechanismen umgehen können. Besonders perfide: Die Angreifer platzieren sich virtuell „zwischen“ dem Nutzer und dem Zielserver – hence: Browser-in-the-Middle – und greifen das Sitzungstoken genau im richtigen Moment ab.

Unternehmen müssen nachrüsten

Angesichts dieser Bedrohungslage reicht es nicht mehr, allein auf klassische MFA zu setzen. Unternehmen müssen ihre Schutzmechanismen erweitern, etwa durch den Einsatz von hardwaregestützter MFA, Client-Zertifikaten oder modernen Authentifizierungsstandards wie FIDO2.

Nur durch robuste, mehrschichtige Sicherheitskonzepte lässt sich verhindern, dass Angreifer unbemerkt und blitzschnell die Kontrolle über Websitzungen übernehmen – mit potenziell gravierenden Folgen für Datenschutz, Unternehmenssicherheit und Reputation.

Wenn MFA nicht mehr reicht: Wie Social Engineering und Token-Diebstahl Sicherheitsmechanismen aushebeln

Social Engineering gehört nach wie vor zu den effektivsten Methoden, mit denen Angreifer in Unternehmensnetzwerke eindringen. Statt technische Schwachstellen ins Visier zu nehmen, setzen sie auf den Faktor Mensch – und nutzen psychologische Tricks sowie mangelndes Sicherheitsbewusstsein gezielt aus. Besonders gefährdet: Zugangsdaten wie Benutzernamen und Passwörter.

Multi-Faktor-Authentifizierung – ein wichtiges, aber nicht unüberwindbares Hindernis

Als Gegenmaßnahme hat sich in den letzten Jahren die Multi-Faktor-Authentifizierung (MFA) etabliert. Sie verlangt von Nutzerinnen und Nutzern, mindestens zwei unabhängige Identitätsnachweise anzugeben – etwa Passwort und Einmalcode. Selbst wenn Angreifer ein Passwort erbeuten, bleibt der Zugriff damit in vielen Fällen verwehrt.

Doch auch MFA ist nicht unangreifbar. Sicherheitsforscher und Red-Teamer – also IT-Spezialisten, die im Auftrag von Unternehmen reale Angriffe simulieren – zeigen, dass Sitzungstoken ein besonders verwundbarer Punkt sind. Diese Token werden nach erfolgreicher Authentifizierung im Browser gespeichert und dienen dazu, den eingeloggten Zustand des Nutzers aufrechtzuerhalten. Wird ein solches Token entwendet, ist die MFA-Prüfung faktisch ausgehebelt.

Token-Diebstahl per Evilginx2: Der Trick mit dem transparenten Proxy

Ein populäres Tool in diesem Kontext ist Evilginx2 – ein transparenter Proxy, der sich unauffällig zwischen Nutzer und legitimen Dienst schaltet. Die Methode: Der Server des Angreifers leitet alle Anfragen des Opfers an die echte Website weiter. Dabei werden jedoch Inhalte manipuliert – insbesondere die Domains –, um die Phishing-Webseite glaubhaft erscheinen zu lassen. Auf diese Weise lassen sich nicht nur Anmeldedaten, sondern auch Session-Cookies abgreifen – selbst nach erfolgreicher MFA.

Sobald das Opfer die Authentifizierung abgeschlossen hat, extrahiert der Proxy das Sitzungstoken aus den Antwort-Headern der echten Website. Für den Angreifer öffnet sich damit das Tor zu geschützten Ressourcen – ganz ohne weiteren MFA-Check.

Red-Teaming: Realitätsnahe Angriffe unter Zeitdruck

In professionellen Sicherheitsprüfungen, sogenannten Red-Team-Einsätzen, simulieren Experten reale Angriffsszenarien. Ziel ist es, Sicherheitslücken zu identifizieren – etwa durch den Zugriff auf sensible Personaldaten oder sogar durch die Übernahme von Active-Directory-Umgebungen.

Doch der Einsatz transparenter Proxys wie Evilginx2 ist in der Praxis nicht trivial. Jede Zielanwendung muss zunächst genau analysiert werden: Wie erfolgt die Authentifizierung? Wie werden Sessions verwaltet? Diese Vorarbeit ist oft aufwendig, fehleranfällig und zeitintensiv – ein Problem, wenn mehrere Systeme getestet werden sollen und die Zeit begrenzt ist. Zudem müssen für jede Anwendung maßgeschneiderte Proxy-Vorlagen erstellt und regelmäßig aktualisiert werden.

Fazit: MFA ist wichtig – aber keine Wunderwaffe

Social-Engineering-Kampagnen und Token-Angriffe zeigen, dass technische Schutzmaßnahmen allein nicht ausreichen. Unternehmen müssen nicht nur auf MFA setzen, sondern auch in Awareness-Trainings, Monitoring und technische Gegenmaßnahmen wie Token-Bindung oder hardwarebasierte Authentifizierung investieren. Nur ein mehrschichtiger Ansatz kann wirksam verhindern, dass Angreifer Schwachstellen im System – oder im Verhalten von Mitarbeitenden – ausnutzen.

Browser-in-the-Middle: Neue Angriffstechnik hebelt MFA aus

Die Angriffsmethode Browser-in-the-Middle (BitM) nutzt legitime Browserfunktionen, um Nutzer zu täuschen und ihre Anmeldedaten sowie Sitzungstokens abzugreifen – selbst wenn eine Multi-Faktor-Authentifizierung (MFA) im Einsatz ist. Dabei agiert der Angreifer wie ein unsichtbarer Mittelsmann: Das Opfer glaubt, sich sicher einzuloggen, tatsächlich laufen alle Aktionen über den vom Angreifer kontrollierten Browser.

Einmal erfolgreich, erhält der Angreifer vollständigen Zugriff auf die authentifizierte Sitzung – MFA-Schutz wird so ausgehebelt.

Mandiants BitM-Tool: Delusion

Die Sicherheitsfirma Mandiant hat mit Delusion ein internes Tool entwickelt, das BitM-Angriffe automatisiert und skalierbar macht. Zu den Funktionen zählen:

• Echtzeit-Überwachung aktiver Sitzungen

• Download von Firefox-Profilen inklusive Session-Tokens

• Unterstützung für groß angelegte Phishing-Kampagnen

• Angriffsmodi für Vishing und Phishing

BitM senkt die Einstiegshürde für hochwirksame Phishing-Angriffe und stellt Unternehmen vor neue Herausforderungen. Technischer Schutz allein reicht nicht mehr – gefordert sind ganzheitliche Sicherheitsstrategien und regelmäßige Red-Teaming-Übungen.

BitM-Sitzungsdiebstahl in Aktion

BitM eignet sich besonders für Anwendungen, die über eine virtuelle Desktop-Infrastruktur (VDI) einen ersten Zugriff auf privilegierte Netzwerke oder Umgebungen ermöglichen. Mit BitM lässt sich eine Infrastruktur zum Stehlen von Sitzungen ganz einfach für jede öffentlich zugängliche Infrastruktur bereitstellen. Das Anvisieren eines Anmeldeportals ist so einfach wie das Angeben der Portalinformationen und das Klicken auf „Bereitstellen“, wie in Abbildung 1 dargestellt. Abbildung 2 zeigt die Ansicht eines Operators während eines Einsatzes. Ein Operator kann alle auf der Phishing-Website durchgeführten Aktionen in Echtzeit verfolgen. Abbildung 3 zeigt die Ansicht eines Opfers, das sich über die Phishing-Website authentifiziert. Abbildung 4 zeigt ein Beispiel für eine erfasste Sitzung. Obwohl keine Cookies vorhanden sind, enthält das Browserprofil dennoch alle Informationen, die von der Anwendung zur Aufrechterhaltung des authentifizierten Zustands verwendet werden. Abbildung 5 zeigt, wie das heruntergeladene Browserprofil geöffnet und die Sitzung fortgesetzt wird.

Abbildung 1: Bereitstellung des Opfer-Containers

Abbildung 2: Überwachung des Opfer-Containers

Abbildung 3: Authentifizierung des Opfers bei der App

Abbildung 4: Aufgezeichnete Sitzung und Keylogger-Ausgabe

Abbildung 5: Verwendung der aufgezeichneten Firefox-Sitzung

Abbildung 6: Ablauf eines Browser-in-the-Middle-Angriffs

Abbildung 6 zeigt ein typisches Angriffsszenario, bei dem ein Opfer durch einen Anruf, eine SMS oder eine E-Mail auf eine bösartige Website gelockt wird (1). Beim Aufrufen der vom Betreiber angegebenen Website wird die Verbindung des Opfers über einen Load Balancer zu einem verfügbaren Proxy-Browser weitergeleitet (2). Das Opfer interagiert unwissentlich mit dem Proxy-Browser und gibt seine Anmeldedaten einschließlich etwaiger MFA-Token ein (3). Sobald der Angreifer eine erfolgreiche Anmeldung feststellt, wird die Verbindung des Opfers zum Proxy-Browser getrennt und seine Sitzung kompromittiert (4).

Überlegungen zur Verteidigung

Um sich gegen solche Angriffe zu schützen, können Unternehmen die folgenden Strategien anwenden. Die Anforderung von Client-Zertifikaten für die Authentifizierung kann BitM-Angriffe verhindern, da diese Zertifikate in der Regel an bestimmte Geräte gebunden sind und von Angreifern nicht ohne Weiteres manipuliert werden können. In ähnlicher Weise bieten hardwarebasierte MFA-Lösungen wie FIDO2-kompatible Sicherheitsschlüssel einen starken Schutz gegen BitM. Abbildung 7 zeigt einen typischen FIDO2-Authentifizierungsablauf.

Abbildung 7: FIDO2-Authentifizierungsablauf

FIDO2 und/oder zertifikatsbasierte Authentifizierung verhindern ein Angriffsszenario, wie in Abbildung 8 dargestellt. Der Browser des Angreifers versucht, eine Sitzung von der legitimen Website zu stehlen. Die Website des Angreifers fordert eine Seite von der Website an, von der sie eine Sitzung stehlen möchte. Die Website verlangt zur Authentifizierung einen FIDO2-Schlüssel oder ein Zertifikat, über das die Website des Angreifers nicht verfügt. Obwohl die Website des Angreifers den Bildschirm der legitimen Website spiegelt, um ein potenzielles Opfer zur Authentifizierung zu verleiten, verfügt der Angreifer nicht über einen Schlüssel oder ein Zertifikat, sodass er nicht fortfahren kann und die Authentifizierung fehlschlägt. Darüber hinaus stellt das FIDO2-Protokoll sicher, dass der BitM die FIDO2-Antwort des echten Benutzers nicht erfolgreich wiedergeben kann, da der Browser auf dem Computer des Benutzers sicherstellt, dass die Antworten unveränderlich an die Quelle der Anfrage gebunden sind (d. h. die Website des Angreifers kann keine FIDO2-Antwort an eine andere Zielwebsite anfordern).

Abbildung 8: FIDO2 und zertifikatsbasierte Authentifizierung mit BitM

Bei dem oben genannten Szenario gibt es einige wichtige Einschränkungen, auf die hingewiesen werden muss. Zertifikatsbasierte Authentifizierung und FIDO2-Sicherheitsschlüssel schützen Sitzungen nur, wenn das Gerät, auf dem sie gehostet werden, nicht kompromittiert ist. Es ist möglich, Sitzungen, die mit FIDO2-Sicherheitsschlüsseln und -Zertifikaten geschützt sind, zu kompromittieren und sogar zu phishen, wenn Sie das Gerät, mit dem sie verbunden sind, kompromittieren können. Dies unterstreicht die Bedeutung eines mehrschichtigen Sicherheitsansatzes für alle Anwendungen, die sensible Daten hosten oder Zugriff auf eingeschränkte Netzwerke gewähren.

Fazit

Die Gefahr von BitM-Angriffen unterstreicht die Bedeutung robuster Authentifizierungs- und Zugriffskontrollmechanismen. Durch die Einführung einer mehrschichtigen Verteidigungsstrategie, die Client-Zertifikate, hardwarebasierte MFA-Lösungen wie FIDO2-kompatible Sicherheitsschlüssel und kompensierende Kontrollen umfasst, können Unternehmen ihre Widerstandsfähigkeit gegenüber diesen raffinierten Bedrohungen erheblich verbessern. Die Integration von Sicherheitsschlüsseln in diese Verteidigungsstrategie bietet einen besonders wirksamen Schutz vor Session-Diebstahl und bietet Benutzern eine konkrete und zuverlässige Möglichkeit, ihre Online-Identitäten und sensiblen Daten zu schützen.

Quelle: Google Cloud-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html

 

---