Man-in-the-middle-aanvallen zijn zeer gemeen. Ze zijn nauwelijks te detecteren, maar omdat cybercriminelen meekijken met al jouw online communicatie en transacties kunnen ze grote schade aanrichten. Gelukkig kun je als bedrijf wel een hoop doen om dit soort aanvallen tegen te gaan. We leggen uit wat een man-in-the-middle-aanval is, wat voor soorten er zijn, hoe je ze kunt herkennen en wat je kunt doen om ze te voorkomen.
Het onderscheppen en eventueel manipuleren van communicatieboodschappen is al zo oud als communicatie zelf. De moderne variant noemen we een man-in-the-middle-aanval (MITM-aanval). Het detecteren van zo’n aanval is lastig, onder andere omdat een deel van het internetverkeer zonder versleuteling via openbare netwerken verloopt, waarbij datapakketjes meerdere – niet altijd even goed beveiligde – tussenstations passeren. Soms kan het juist misgaan bij de beveiliging: de beruchte hack van de Nederlandse certificatenverstrekker DigiNotar in 2011 leidde bijvoorbeeld tot het verstrekken van frauduleuze certificaten die werden gebruikt om MITM-attacks uit te voeren.
Wat is een man-in-the-middle-aanval?
Bij een man-in-the-middle-aanval nestelt iemand zich stiekem in de communicatie tussen twee partijen, die denken dat ze direct contact met elkaar hebben. Hackers kunnen de gegevens daarbij ontvangen, versturen én manipuleren.
Bij MITM-aanvallen, die ook wel person-in-the-middle-aanvallen worden genoemd, kan het gaan om directe communicatie tussen bedrijven of personen via onder meer chat en e-mail. Zo wist een cybercrimineel het e-mailverkeer tussen een Brits stel en een makelaar te manipuleren, waardoor het geld van de verkoop van een appartement naar het rekeningnummer van de crimineel werd overgemaakt. Daarnaast kan het gaan om de communicatie met bijvoorbeeld banken of webshops.
Cyber Security Checklist
Wil jij weten hoe het met de cybersecurity van jouw bedrijf gesteld is? Download de checklist en ontdek wat je (nog meer) kunt doen!
DownloadWat voor soorten zijn er?
De volgende vier soorten MITM-aanvallen komen het meest voor:
1. E-mailkapingen
Bij een e-mailkaping, in goed Engels ook wel e-mail hijacking genoemd, hebben hackers toegang tot iemands mailbox. Hiervan was sprake bij het hiervoor genoemde Britse stel. Niet alleen zijn aanvallers zo in staat om communicatie over te nemen, maar ze kunnen ook grasduinen in alle e-mails én allerlei wachtwoorden laten resetten.
2. Via wifi
Cybercriminelen kunnen een wifinetwerk opzetten dat ze inzage geeft in alle gegevens die via het netwerk worden uitgewisseld. Dat kan via een zogeheten rogue access point, oftewel een apparaat dat een wifinetwerk uitzendt met een naam als ‘Gratis wifi’ of ‘Wifi in de trein’. Een evil twin lijkt in alle opzichten – zelfs qua netwerknaam (SSID) – op een vertrouwd draadloos netwerk, maar dan gaat het om een kwaadaardige namaakversie. In beide situaties is het doel van zo’n netwerk om gevoelige gegevens buit te maken. Gebruikers komen er vaak pas achter dat ze op zo’n netwerk hebben gezeten zodra ze slachtoffer zijn geworden van fraude.
3. Man-in-the-browser
Bij man-in-the-browser is je gekraakte browser de spil van de aanval. Webpagina’s zijn achter de schermen veranderd, waardoor bijvoorbeeld andere instructies naar de bank worden verstuurd – bijvoorbeeld met het rekeningnummer van de cybercrimineel als begunstigde. In tegenstelling tot bij phishing, dat gebruikmaakt van namaaksites, zit je op de échte site: je ziet geen verschil en bent correct ingelogd. Man-in-the-browser-aanvallen vinden plaats door het installeren van malware, die in de regel via phishing bij de slachtoffers binnenkomt.
4. Session Hijacking
Bij session (ofwel cookie) hijacking worden sessiecookies onderschept, met als gevolg dat hackers volledig toegang kunnen krijgen tot online accounts. Dit werkt als volgt. Inloggegevens worden opgeslagen in een cookie, oftewel een bestandje op je computer dat door je browser is aangemaakt. Wanneer er wordt uitgelogd, verloopt de sessie en moet de gebruiker opnieuw inloggen om gebruik te kunnen maken van de dienst. Bij session hijacking steelt de hacker (bijvoorbeeld via malware of cross-site scripting) de zogeheten ‘session token’ en gebruikt deze om zelf in te loggen.
Hoe kun je man-in-the-middle herkennen?
Helaas is een man-in-the-middle-aanval bijna niet te herkennen. Toch kunnen er signalen zijn dat je er slachtoffer van bent. Zo kan het zijn dat URL’s veranderen van https naar http. Een ander mogelijk teken is dat webpagina’s van bijvoorbeeld je bank of e-mailprovider onverwacht lang laden, terwijl ze normaal gesproken zeer snel zijn. Gaat de communicatie eerst langs een aanvaller, dan ontstaat er immers vertraging.
Zo kun je een MITM-aanval voorkomen
Omdat het detecteren van een MITM-aanval bijna onmogelijk is, is het voorkomen ervan van het grootste belang. Dankzij de volgende negen tips minimaliseer je de kans dat je er als bedrijf slachtoffer van wordt:
- Gebruik antivirus om malware-besmettingen, de bron van veel MITM-aanvallen, te voorkomen of in ieder geval snel in de kiem te smoren.
- Maak geen gebruik van openbare netwerken, zet liever een hotspot op via je telefoon als er geen beveiligd wifinetwerk voorhanden is. Maak je toch gebruik van een openbaar netwerk? Vermijd dan het versturen van gevoelige informatie zoals bankgegevens en wachtwoorden, download niets en gebruik een VPN.
- Verbind met het internet via een VPN. Zo’n virtual private network is een soort beveiligde tunnel waar aanvallers niet in kunnen. Laat gratis VPN’s liever links liggen, aangezien die het risico op een MITM-aanval juist vergroten.
- Kijk of websites veilig zijn. Dat kan door de URL te controleren via Google Safe Browsing of VirusTotal. Die laatste website analyseert sites op basis van ruim 70 antivirusdiensten. Check ook de URL goed: phishing-sites hebben vaak URL’s die bijvoorbeeld één letter afwijken van het origineel.
- Daarop aansluitend: maakt de website gebruik van een geldig SSL-certificaat? Zo ja, dan is de verbinding beveiligd. Je kunt dit controleren via het slotje in de adresbalk.
- Gebruik overal sterke en – vooral – verschillende wachtwoorden. Wordt bij een MITM-aanval je algemene wachtwoord buitgemaakt, dan kunnen aanvallers overal inloggen.
- Train je personeel op het herkennen van phishing.
- Voer software-updates uit zodra ze beschikbaar zijn, met name van je browser en het besturingssysteem. Zo voorkom je dat er malware binnenkomt via kwetsbaarheden in de software.
- Zorg dat klantdata die worden opgeslagen via je bedrijfswebsite veilig zijn. Daarbij is in ieder geval belangrijk dat de gegevens zijn beveiligd door een geldig SSL-certificaat. Gaat het om een website waarop je klanten kunnen inloggen? Bied dan, indien mogelijk, inloggen via tweefactorauthenticatie aan.