Site icon Emsisoft | Sicherheitsblog

Was ist Session Hijacking und wie lässt es sich verhindern?

Session hijacking

Session hijacking

Session Hijacking (Kapern einer Sitzung) wird von Kriminellen eingesetzt, um Ihre Internetsitzung zu übernehmen, damit sie dieselben Aktionen wie Sie durchführen können. Dabei könnte es sich um alles mögliche handeln: Zugriff auf Ihr Bankkonto oder das Netzwerk Ihres Arbeitgebers oder auch das Ausführen von Ransomware.

Bei YouTuber Linus Sebastian endete das Session Hijacking darin, dass sein nach ihm benannter Kanal Linus Tech Tips für Krypto-Betrug ausgenutzt wurde. Seine Erklärung zu dem Angriff finden Sie hier.

Es gibt einige Vorkehrungen, die Website-Besitzer unternehmen können, um die Risiken eines Angriffs auf ihre Nutzer zu minimieren. In diesem Artikel schauen wir uns jedoch das ganze aus Sicht der Endbenutzer an. Wir erläutern im Detail, wie Session Hijacking funktioniert und was Sie selbst tun können, um sich vor dieser Art von Cyberangriff zu schützen.

Was ist eine Sitzung?

Bevor wir näher auf das Session Hijacking eingehen, lassen Sie uns zunächst die Frage klären, was eine Sitzung (engl. Session) ist.

In aller Kürze: Es handelt sich dabei um den Zeitraum, innerhalb dessen Sie auf einer Website eingeloggt bleiben dürfen, nachdem Sie Ihren Benutzernamen und Ihr Kennwort eingegeben haben.

Etwas ausführlicher: Ihr Computer nutzt zur Kommunikation mit Websites HTTP. Dabei handelt es sich um einen zustandsloses Protokoll und folglich wird jede Anfrage an die Website unabhängig voneinander behandelt. Oder anders ausgedrückt, der Kommunikationsaustausch über HTTP teilt der Website nicht mit, was zuvor abgelaufen ist. Wenn Sie also zum Beispiel eine Website aufrufen, auf der Sie sich bereits angemeldet haben, stellt HTTP diese Information der Website nicht zur Verfügung und Sie müssten sich erneut anmelden. Und bei jeder neu aufgerufenen Seite geht das Spiel von vorne los. Das wäre folglich ein furchtbares Benutzererlebnis.

Sitzungen lösen dieses Problem. Eine Sitzung bezieht sich auf alle Interaktionen zwischen einem Benutzer und einer Website innerhalb eines bestimmten Zeitfensters. In der Regel beginnt dieses mit der Authentifizierung und bis zu dem Zeitpunkt, an dem sich der Benutzer wieder abmeldet oder die Sitzung aufgrund von Inaktivität abläuft. Anders gesagt, wenn Sie sich auf einer Website anmelden, wird auf dem Host-Server eine Sitzung erstellt, die als Referenz für die ursprüngliche Authentifizierung dient. Solange diese Sitzung aktiv ist, können Sie sich frei innerhalb der Website bewegen, ohne sich erneut anmelden zu müssen. Die Sitzung wird erst beendet, wenn Sie sich ausloggen oder ein vorgegebener Zeitraum an Inaktivität abgelaufen ist. Ist die Sitzung einmal abgelaufen, müssen Sie sich wieder einloggen, um erneut auf Ihr Konto zugreifen zu können.

Was ist ein Sitzungsbezeichner bzw. eine Session ID?

Jeder Sitzung wird eine einzigartige Kennung zugewiesen, die auch als Sitzungsbezeichner, Sitzungs-ID oder Session ID bezeichnet wird. Diese Session ID wird dann verwendet, um Folgeanfragen zu identifizieren und zuzuordnen, die Sie während der laufenden Sitzung machen.

Die Session ID wird in der Regel in einem Cookie oder in der URL als ein Anfrageparameter gespeichert. Auf diese Weise kann der Server Sie erkennen und den Sitzungsstatus aufrechterhalten, unabhängig von den von Ihnen gemachten Anfragen oder den von Ihnen auf dieser Website besuchten Seiten. Während einer Sitzung kann ein Server relevante Benutzerdaten oder sitzungsspezifische Informationen speichern, wie Ihre Voreinstellungen, die Inhalte Ihres Warenkorbs, Ihre vorübergehenden Zugangsdaten und vieles mehr. Diese Daten werden häufig serverseitig gespeichert und der Session ID zugeordnet.

Während die Session ID eindeutig für einen sehr nützlichen Zweck konzipiert wurde, ist sie doch auch ausnutzbar, wenn sie nicht ordentlich abgesichert wird. Sollte es Angreifern gelingen, die Session ID abzufangen, können sie sich als deren Benutzer ausgeben und folglich auf dieselben Informationen zugreifen und dieselben Aktionen durchführen wie der Benutzer selbst.

Wie funktioniert Session Hijacking?

Angreifer können die unterschiedlichsten Methoden einsetzen, um eine Session ID abzufangen und sich unerlaubten Zugriff auf Benutzersitzungen zu verschaffen. Sobald die Kriminellen Kontrolle über die Sitzung haben, können sie alle Arten von bösartigen Aktivitäten durchführen. Dazu gehört unter anderem das Stehlen vertraulicher Daten, das Durchführen nicht genehmigter Geschäfte, das Ändern der Kontoeinstellungen oder sogar das Ausweiten ihrer Berechtigungen innerhalb des Systems.

Hier einige gängige Methoden, die beim Session Hijacking eingesetzt werden:

Wie lässt sich Session Hijacking vermeiden?

Die folgenden Tipps sollen Ihnen helfen, nicht selbst Opfer eines derartigen Angriffs zu werden.

Noch eine Anmerkung zur mehrstufigen Authentisierung (MFA): Session Hijacking mag zwar MFA umgehen, sie ist ist aber dennoch unerlässlich und sollte wann immer möglich eingesetzt werden. Indem Sie diese Option aktivieren, können Sie das Risiko einer Kompromittierung Ihrer Konten minimieren.

Fazit

Bei Session Hijacking verschaffen sich Angreifer Kontrolle über eine gültige Session ID, um sich dann als deren Benutzer auszugeben und unberechtigte Aktionen durchzuführen. Es gibt unterschiedliche Methoden, um diesen Angriff durchzuführen, wie Session Sniffing, Cross-Site-Scripting, Sitzungsvorhersage und Session Fixation. Indem Sie die vorgenannten Tipps befolgen, können Sie Ihre Sitzungen sicherer gestalten und das Risiko senken, Opfer eines derartigen Angriffs zu werden.

 

Übersetzung: Doreen Schäfer

Exit mobile version