Een man-in-the-middle-aanval is moeilijk te identificeren en te verdedigen. MITM-aanvallen zijn afhankelijk van het controleren van de communicatielijnen tussen mensen, computers of servers. Man-in-the-middle-aanvallen vereisen niet altijd een geïnfecteerde computer, wat betekent dat er meerdere aanvalsmogelijkheden zijn.
Dus, wat is een man-in-the-middle-aanval en hoe kun je voorkomen dat je er ten prooi aan valt?
Wat is een man-in-the-middle-aanval?
Man-in-the-middle (MITM) -aanvallen waren er vóór computers. Dit type aanval houdt in dat een aanvaller zichzelf tussen twee partijen plaatst die met elkaar communiceren. Man-in-the-middle-aanvallen zijn in wezen afluisteraanvallen.
Bekijk de volgende twee voorbeelden om beter te begrijpen hoe een man-in-the-middle-aanval werkt.
Offline man-in-the-middle-aanval
Een offline MITM-aanval klinkt eenvoudig, maar wordt nog steeds wereldwijd gebruikt.
Iemand onderschept bijvoorbeeld uw bericht, leest het, verpakt het opnieuw en stuurt het vervolgens naar u of uw oorspronkelijke ontvanger. Vervolgens gebeurt hetzelfde in omgekeerde volgorde wanneer de persoon op u reageert, waarbij de man-in-the-middle uw e-mail in elke richting onderschept en leest.
Als het goed is uitgevoerd, weet u niet dat er een MITM-aanval plaatsvindt, aangezien de onderschepping en gegevensdiefstal voor u onzichtbaar zijn.
Het overnemen van een communicatiekanaal tussen twee deelnemers vormt de kern van een man-in-the-middle-aanval.
Het opent ook andere wegen van misleiding voor de aanvaller. Als de aanvaller de communicatiemiddelen beheert, kunnen ze de berichten tijdens de overdracht wijzigen. In ons voorbeeld onderschept en leest iemand de post. Dezelfde persoon kan de inhoud van uw bericht wijzigen om iets specifieks te vragen of een verzoek doen als onderdeel van zijn aanval.
Aangezien de MITM uw communicatie beheert, kunnen ze eventuele latere verwijzingen naar de vraag of het verzoek verwijderen, zodat u niets wijzer wordt.
Online man-in-the-middle-aanval
Een online man-in-the-middle-aanval werkt vrijwel op dezelfde manier, zij het met computers of andere digitale hardware in plaats van de oude snail mail.
Een MITM-aanvalsvariant draait om het maken van verbinding met de gratis openbare wifi in een café. Eenmaal verbonden, probeert u verbinding te maken met de website van uw bank.
Omwille van ons voorbeeld komt u dan een certificaatfout tegen die u informeert dat de website van de bank niet het juiste versleutelingscertificaat heeft. Dit maakt u erop attent dat er iets mis is met de configuratie van de bankwebsite en dat er een MITM-aanval gaande is.
Verwant: Wat is een websitebeveiligingscertificaat?
Websitebeveiligingscertificaten helpen het internet veiliger en veiliger te maken voor online transacties. Hier is hoe beveiligingscertificaten werken.
Veel mensen klikken echter gewoon door dit foutbericht en gaan hoe dan ook naar de bankwebsite. U logt in op het bankportaal, stuurt wat geld, betaalt wat rekeningen en alles lijkt in orde.
In werkelijkheid kan een aanvaller een nep-server en website hebben opgezet die uw bank nabootsen. Wanneer u verbinding maakt met de nep-bankserver, haalt deze de webpagina van de bank op, past deze een beetje aan en presenteert deze aan u. U voert uw inloggegevens normaal in, en deze gegevens worden naar de man-in-the-middle-server gestuurd.
De MITM-server logt u nog steeds in bij de bank en presenteert de pagina zoals normaal. Maar de man-in-the-middle-server van de aanvaller heeft uw inloggegevens vastgelegd, klaar voor misbruik.
In dit scenario was het vroege waarschuwingsbericht de versleutelingscertificaatfout die erop wees dat de websiteconfiguratie niet correct is. De man-in-the-middle-server heeft niet hetzelfde beveiligingscertificaat als uw bank, hoewel het mogelijk een beveiligingscertificaat van elders heeft.
Soorten man-in-the-middle-aanvallen
Er zijn verschillende soorten MITM-aanvallen:
- Wi-Fi-spoofing: Een aanvaller kan een nep-wifi-toegangspunt maken met dezelfde naam als een lokale gratis wifi-optie. In een café kan de aanvaller bijvoorbeeld de wifi-naam nabootsen of een nepoptie maken met de naam 'Wifi voor gasten' of iets dergelijks. Zodra u verbinding hebt gemaakt met het malafide toegangspunt, kan de aanvaller uw online activiteiten volgen.
- HTTPS-spoofing: De aanvaller laat uw browser geloven dat u een vertrouwde website gebruikt en leidt uw verkeer om naar een onveilige website. Wanneer u uw inloggegevens invoert, steelt de aanvaller deze.
- SSL-kaping: Wanneer u probeert verbinding te maken met een onveilige HTTP-site, kan uw browser u omleiden naar de beveiligde HTTPS-optie. Aanvallers kunnen de omleidingsprocedure echter kapen door een link naar hun server in het midden te plaatsen en uw gegevens en alle inloggegevens die u invoert te stelen.
- DNS-spoofing: Het Domain Name System helpt u bij het navigeren op internet, door de URL's in uw adresbalk om te zetten van voor mensen leesbare tekst in computerleesbare IP-adressen. Een DNS-spoof dwingt uw browser dan om een specifiek adres te bezoeken dat onder controle staat van een aanvaller.
- E-mailkaping: Als een aanvaller toegang krijgt tot de mailbox, of zelfs een e-mailserver, van een vertrouwde instelling (zoals een bank), kan e-mails van klanten met gevoelige informatie onderscheppen of zelfs beginnen met het verzenden van e-mail als de instelling zelf.
Dit zijn niet de enige MITM-aanvallen. Er zijn talloze varianten die verschillende aspecten van deze aanvallen combineren.
Verwant: De redenen waarom uw website een SSL-certificaat nodig heeft
Stopt HTTPS man-in-the-middle-aanvallen?
Het bovenstaande scenario speelt zich af op een bankwebsite die gebruikmaakt van HTTPS, de beveiligde versie van HTTP. Als zodanig komt de gebruiker een scherm tegen met de mededeling dat het versleutelingscertificaat onjuist is. Bijna elke website maakt nu gebruik van HTTPS, dat u naast de URL kunt zien als een hangslotpictogram in de adresbalk.
Lange tijd kregen alleen sites met gevoelige informatie het advies HTTPS te gebruiken. De norm is nu omgeschakeld, vooral sinds Google aankondigde HTTPS te gebruiken als SEO-ranking-signaal. In 2014, toen de overstap voor het eerst werd aangekondigd, gebruikte 1-2 procent van de top één miljoen sites wereldwijd HTTPS. In 2018 was dat aantal explosief gestegen, met meer dan 50 procent van de top één miljoen die HTTPS implementeerde.
Als u een standaard HTTP-verbinding op een niet-versleutelde website gebruikt, zou u de waarschuwing uit ons voorbeeld niet ontvangen. De man-in-the-middle-aanval zou plaatsvinden zonder enige waarschuwing.
Dus, beschermt HTTPS tegen MITM-aanvallen?
MITM en SSLStrip
Ja, HTTPS beschermt tegen man-in-the-middle-aanvallen. Maar er zijn manieren waarop aanvallers HTTPS kunnen verslaan, waardoor de extra beveiliging die via codering aan uw verbinding wordt geboden, wordt verwijderd.
SSLStrip is een man-in-the-middle-aanval die de browser dwingt om in de HTTP-modus te blijven in plaats van HTTPS te gaan gebruiken waar beschikbaar. In plaats van HTTPS te gebruiken, "verwijdert" SSLStrip de beveiliging, waardoor u met gewoon oude HTTP blijft.
U merkt misschien niet eens dat er iets mis is. In de dagen voordat Google Chrome en andere browsers het grote rode kruis in uw adresbalk implementeerden om u te laten weten dat u een onveilige verbinding gebruikt, eiste SSLStrip veel slachtoffers. De introductie van het gigantische HTTPS-hangslot maakt het zeker gemakkelijker om te zien of je HTTPS gebruikt of niet.
Een andere beveiligingsupgrade deed ook de efficiëntie van SSLStrip achteruitgaan: HTTP Strict Transport Security.
HTTP Strict Transport Security (HSTS) is ontwikkeld om te beschermen tegen man-in-the-middle-aanvallen, met name protocol-downgrade-aanvallen zoals SSLStrip. HSTS is een speciale functie waarmee een webserver alle gebruikers kan dwingen om alleen met HTTPS te communiceren.
Dat wil niet zeggen dat het altijd werkt, aangezien HSTS pas na het eerste bezoek met de gebruiker configureert. Als zodanig is er een heel klein venster waar een aanvaller in theorie een MITM-aanval zoals SSLStrip zou kunnen gebruiken voordat HSTS op zijn plaats is.
Dat is niet alles. De lichte ondergang van SSLStrip maakte plaats voor andere moderne tools die veel MITM-aanvalstypen in één pakket combineren.
MITM-malware
Gebruikers hebben ook te maken met malwarevarianten die gebruikmaken van MITM-aanvallen of met man-in-the-middle-modules. Sommige malwaretypen die zich richten op Android-gebruikers, zoals SpyEye en ZeuS, stellen een aanvaller bijvoorbeeld in staat om inkomende en uitgaande smartphonecommunicatie af te luisteren.
Eenmaal geïnstalleerd op een Android-apparaat, kan een aanvaller de malware gebruiken om allerlei soorten communicatie te onderscheppen. Van bijzonder belang zijn tweefactorauthenticatiecodes. Een aanvaller kan de tweefactorauthenticatiecode opvragen op een beveiligde website en deze vervolgens onderscheppen voordat de gebruiker kan reageren of zelfs maar kan begrijpen wat er aan de hand is.
Zoals je zou verwachten, zijn desktops ook niet vrij van bedreigingen. Er zijn talloze soorten malware en exploitkits die zijn ontworpen voor man-in-the-middle-aanvallen. En dat is zonder die tijd te noemen Lenovo heeft SSLStrip-compatibele malware op hun laptops geïnstalleerd voor verzending.
Hoe te beschermen tegen een man-in-the-middle-aanval?
Een man-in-the-middle-aanval is moeilijk te verdedigen. Een aanvaller heeft zo veel opties, wat betekent dat bescherming tegen een MITM-aanval meervoudig is.
- HTTPS gebruiken: Zorg ervoor dat elke website die u bezoekt HTTPS gebruikt. We hebben het gehad over SSLStrip en MITM-malware, maar ervoor zorgen dat HTTPS aanwezig is, is nog steeds een van de beste verdedigingsopties. Overweeg om voor een extra beschermingslaag de Electronic Frontier Foundation te downloaden en te installeren HTTPS overal browserextensie, een van de beste privacy-extensies voor Google Chrome.
- Negeer geen waarschuwingen: Als uw browser u informeert dat er iets mis is met de website die u bezoekt, geloof het. Een waarschuwing voor een beveiligingscertificaat kan het verschil zijn tussen het schenken van uw inloggegevens aan een aanvaller en veilig blijven.
- Gebruik geen openbare wifi: Als u er iets aan kunt doen, gebruik dan geen openbare wifi. Soms kan het gebruik van openbare Wi-Fi gewoon niet worden vermeden. Als u een openbare Wi-Fi-verbinding moet gebruiken, u moet een VPN downloaden en installeren om uw verbinding wat beveiliging te geven. Let bovendien op de beveiligingswaarschuwingen van de browser wanneer u een openbare Wi-Fi-verbinding gebruikt. Als het aantal browserwaarschuwingen plotseling toeneemt, kan dit duiden op een MITM-aanval of kwetsbaarheid.
- Antivirussoftware uitvoeren en bijwerken: Zorg ervoor dat uw antivirussoftware up-to-date is. Overweeg bovendien een extra beveiligingstool, zoals Malwarebytes. Voordat je het vraagt, ja, Malwarebytes Premium is het geld waard.
Man-in-the-middle-aanvallen, afhankelijk van het compromitteren van uw communicatie. Als u weet wat u kunt verwachten en waar u op moet letten, heeft u een veel grotere kans om MITM-aanvallen te vermijden. Op hun beurt blijven uw gegevens veilig en stevig in uw greep.
Afbeelding tegoed: Andy Rennie op Flickr
Dit is waarom WEP-codering gewoon niet goed genoeg is en waarom u het thuis niet op uw draadloze routers zou moeten gebruiken.
- Veiligheid
- Wifi
- Online beveiliging
Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.
