Der ICQ Chat ist oft unverschlüsselt. Somit kann ein Chat eines anderen beispielsweise in einem Internet-Cafe leicht mitgeschnitten werden. Hierzu muss der Angreifer lediglich den Traffic zum Gateway durch sich selbst umleiten, um den ganzen, ins Internet laufenden, Traffic sehen zu können. Ettercap kann dazu verwendet werden. Natürlich können auch einfach WLAN Pakete einfach so mitgeschnitten werden (airodump-ng). Sind sie, wie oft in Cafés oder Restaurants unverschlüsselt (oder man hat den Schlüssel), so können die Daten in Klartext als PCAP Datei abgespeichert werden. Natürlich befindet sich alles Mögliche in diesen Dateien, unter anderem vielleicht ein Chat. Jedoch ist das Aufbrechen einer SSL Verbindung nicht ganz so einfach. Ein einfach mitgeschnittener Datenstrom beinhaltet oft die Kennwörter (ICQ etc.) geschützt mit einer SSL Verbindung. Nachlaufender Traffic wird oft nicht verschlüsselt übertragen, um Performance zu sparen.
Das Aufbrechen einer SSL Verbindung kann versucht werden, indem der Angreifer sich zwischen das Opfer und das Gateway stellt. Er erzeugt eine Art transparenter Proxy, der so tut, als wäre er das Gateway. Die Opfermaschine kann dies zuerst einmal nicht auseinanderhalten. Eine SSL Verbindung wird angenommen. An dieser Stelle wird die Opferseite eine Warnmeldung bekommen, dass etwas mit dem Zertifikat nicht stimmt. Meist baut der einfache Angreifer ein selbstsigniertes Zertifikat und hofft, dass das Opfer, wie immer, alles mit Ja bestätigt. Das klappt auch immer wieder. Wenn das Programm selbst nicht die Verbindung verweigert kann so live das Kennwort mitgelesen werden und alles andere, was über die aufgebrochende SSL Verbindung kam. Der Angreifer leitet die Daten entsprechend als transparenter Proxy über eine weitere SSL Verbindung zum eigentlichen Ziel weiter.
Somit kann gesagt werden, dass ohne einen gewissen Aufwand das ICQ Passwort einem einfachen Angreifer verborgen bleibt, wenn SSL im Spiel ist. Sollte die ICQ App kein SSL unterstützen, vielleicht kann das ggf. durch den Benutzer abgeschaltet werden, hat man leichtes Spiel. Auch ohne Spoofing des Gateways. Natürlich kann der Angreifer versuchen simpel SSL zu blockieren, um das Opfer dazu zu bringen unverschlüsselt zu kommunizieren. Bestimmt erinnert sich der ein oder andere an die Einstellung im Outlook Mailclient, das SSL „automatisch“ umgesetzt wird. Das heißt aber auch: Wenn nicht explizit verlangt durch den Benutzer, was bei „Automatisch“ nicht der Fall ist, greift der Client auf eine unverschlüsselte Übertragung des Kennwortes zurück, wenn SSL nicht klappt. Blockiertes SSL führt zu unverschlüsselten Kennwörtern. Und dass kann der einfache Angreifer wiederum leicht mitlesen. Es kann gut sein, dass einige ICQ Clients ein ähnliches Verhalten zeigen. Hier gilt: Ausprobieren.