Man-in-the-Middle (MITM)-aanvallen

Leer hoe supply chain-softwareaanvallen werken, hoe u ze detecteert en hoe u zich ertegen beschermt

Wat is een Man-in-the-Middle-aanval?

Een Man-in-the-Middle (MITM)-aanval is een cyberaanval waarbij een cybercrimineel gegevens onderschept die tussen twee bedrijven of mensen worden verstuurd. Het doel van de onderschepping is om de gegevens te stelen, af te luisteren of aan te passen voor kwaadwillende doeleinden, zoals geld afpersen.

Hoe werkt een Man-in-the-Middle-aanval?

MITM-aanvallen zijn afhankelijk van de manipulatie van bestaande netwerken of de creatie van kwaadwillende netwerken die de cybercrimineel controleert. De cybercrimineel onderschept verkeer en laat het door (ondertussen informatie verzamelend) of stuurt het door naar een andere plek.

Cybercriminelen functioneren in essentie als 'tussenpersonen' (middlemen) tussen de persoon die informatie verstuurt en degene die deze ontvangt, vandaar ook de naam 'man-in-the-middle-aanval'. Deze aanvallen komen verrassend genoeg vaak voor, vooral op openbare wifi. Openbare wifi is vaak onbeveiligd, zodat je niet kunt weten wie het webverkeer monitort of onderschept, aangezien iedereen kan inloggen.

Soorten MITM-aanvallen

Er zijn verschillende soorten MITM-aanvallen, waardoor het een van de meest veelzijdige cyberdreigingen is vandaag de dag.

Openbare wifi

Openbare wifi

Een van de meestvoorkomende MITM-aanvalsmethoden is via openbare wifi. Openbare wifi is vaak onbeveiligd, zodat cybercriminelen het webverkeer van alle verbonden apparaten met het netwerk kunnen zien en naar believen informatie eruit halen.

Rogue Access Point

Rogue Access Point

Een rogue toegangspunt is een draadloos toegangspunt dat in een legitiem netwerk is geïnstalleerd. Hierdoor kan de cybercrimineel inkomend verkeer onderscheppen of monitoren, vaak door het door te sluizen naar een compleet ander netwerk om malware-downloads te stimuleren of de gebruiker af te persen. Malware is een soort kwaadwillende software die wordt geïnstalleerd op het apparaat van een slachtoffer en wordt gebruikt om te spioneren en gegevens te roven.

IP-spoofing

IP-spoofing

IP-spoofing heeft betrekking op het aanpassen van een IP-adres om verkeer door te sturen naar de website van een aanvaller. De aanvaller 'spooft' het adres door packetheaders te veranderen om zichzelf te vermommen als een legitieme app of website.

ARP-spoofing

ARP-spoofing

Via deze aanval wordt het MAC-adres van de aanvaller gekoppeld aan het IP-adres van het slachtoffer in een lokaal netwerk, waarbij gebruik wordt gemaakt van ARP-nepberichten. Alle gegevens die naar het lokale netwerk worden gestuurd door het slachtoffer worden in plaats daarvan omgeleid naar het MAC-adres van de cybercrimineel, waardoor de cybercrimineel de gegevens naar believen kan onderscheppen en manipuleren.

DNS-spoofing

DNS-spoofing

De cybercrimineel betreedt de DNS-server van een website en past de record van het webadres van een website aan. De aangepaste DNS-record leidt het inkomende verkeer door naar de website van de cybercrimineel.

HTTPS-spoofing

HTTPS-spoofing

Wanneer een gebruiker verbinding maakt met een veilige site met het voorvoegsel https://, stuurt de cybercrimineel een nep-beveiligingscertificaat naar de browser. Hiermee 'spooft' de cybercrimineel de website, die denkt dat de verbinding veilig is. Maar het tegendeel is waar, want de cybercrimineel onderschept gegevens en stuurt deze mogelijk ergens anders naartoe.

Sessiehijacking

Sessiehijacking

Cybercriminelen gebruiken sessiehijacking om de controle over een web- of app-sessie over te nemen. Bij hijacking wordt de legitieme gebruiker uit de sessie verwijderd. De cybercrimineel sluit zich als het ware op in de app of in het website-account tot hij/zij de informatie heeft verzameld waarnaar hij/zij op zoek is.

Packet-injectie

Packet-injectie

De cybercriminineel creëert packets die normaal lijken en injecteert ze in een gevestigd netwerk voor toegang en monitoring van verkeer of initiatie van DDoS-aanvallen. Een Distributed Denial-of-Service (DDoS)-aanval is een poging om het normale verkeer van een server te verstoren door het te overstelpen met een vloedgolf aan internetverkeer.

SSL-stripping

SSL-stripping

De cybercrimineel onderschept het TLS-signaal van een app of een website, en past het aan zodat de site een onbeveiligde verbinding laadt als HTTP in plaats van HTTPS. Daardoor wordt de gebruikerssessie zichtbaar voor de cybercrimineel en komt er vertrouwelijke informatie vrij.

SSL-spoofing

SSL-spoofing

Deze methode heeft betrekking op het 'spoofen' van een beveiligde site-adres, zodat het slachtoffer daarnaartoe gaat. Cybercriminelen hijacken de communicatie tussen het slachtoffer en de webserver van de site waar ze toegang tot willen hebben, waarbij ze een kwaadwillende site vermommen als de legitieme URL van de site.

SSL-BEEST

SSL-BEEST

De cybercrimineel infecteert de computer van een computer met kwaadwillend JavaScript. De malware onderschept vervolgens websitecookies en authenticeert tokens voor ontcijfering, waardoor de volledige sessie van het slachtoffer wordt blootgesteld aan de cybercrimineel.

SSL-stelende browsercookies

SSL-stelende browsercookies

Cookies zijn handige stukjes website-informatie die de sites die u bezoekt op uw apparaten opslaan. Ze zijn handig om webactiviteiten en aanmeldingsgegevens te onthouden, maar cybercriminelen kunnen ze stelen om die informatie te verzamelen en gebruiken voor kwaadwillende doeleinden.

Sniffing

Sniffing

Sniffing-aanvallen monitoren het verkeer om informatie te stelen. Sniffing wordt uitgevoerd met een app of hardware en stelt het webverkeer van het slachtoffer bloot aan de cybercrimineel.

Hoe kan ik Man-in-the-Middle-aanvallen detecteren?

Een MITM-aanval detecteren, kan een bedrijf of individu helpen om de mogelijke schade die een cybercrimineel kan veroorzaken te beperken. Hier zijn een een aantal detectiemethoden:

Analyseer vreemde webadressen

  • Monitor uw browsers op vreemde webadressen in de zoekbalk of URL-balk. Een DNS-kaping kan spoofs van veelvoorkomende adressen creëren, vaak met nauwelijks merkbare wijzigingen. Een aanvaller kan bijvoorbeeld 'www.facebook.com' vervangen met 'www.faceb00k.com'. Deze spoofing-methode werkt verrassend goed, en de meesten van ons missen eenvoudige wijzigingen als we niet goed opletten.

Onverwachte verbroken verbindingen en netwerkvertragingen

  • Bepaalde vormen van MITM-aanvallen veroorzaken plotselinge, onverwachte netwerkvertragingen of volledig verbroken verbindingen. Deze kunnen na verloop van tijd plaatsvinden en gaan over het algemeen niet gepaard met netwerkstoringen of andere voor de hand liggende symptomen.
  • Als u last hebt van regelmatige verbroken verbindingen of vertragingen in uw netwerk, kan het een goed idee zijn om een kijkje te nemen en te controleren of het meer is dan een netwerkprobleem.

Monitor openbare wifi

  • Aanvallers onderscheppen vaak informatie die via openbare netwerken wordt verstuurd, of creëren zelfs nepsites op openbare plekken. Via deze netwerken kan de cybercrimineel al uw webactiviteiten in de gaten houden, zonder dat u weet dat u wordt aangevallen. Vermijd openbare wifi waar mogelijk en gebruik een VPN als u verbinding moet maken. U moet ook het verbinden met onbekende websites met verdachte namen vermijden.
Hoe kan ik Man-in-the-Middle-aanvallen detecteren?

Zo voorkomt u Man-in-the-Middle-aanvallen

Man-in-the-middle-aanvallen voorkomen kan individuen en bedrijven duizenden aan schade schelen en hun web- en openbare identiteiten intact houden. Er zijn een paar essentiële tools om MITM-aanvallen te helpen voorkomen:

Wachtwoordbeheerder

  • Gebruik een wachtwoordbeheerder met goede netwerkbeveiligingsfuncties om ervoor te zorgen dat alle aanmeldingsgegevens veilig zijn opgeborgen. Een belangrijk anti-MITM-onderdeel is end-to-end versleuteling. Keeper heeft end-to-end versleuteling geïntegreerd met van kluis-naar-kluis delen, waarbij gebruik wordt gemaakt van Public Key Infrastructure (PKI). Dit betekent dat cybercriminelen geen wachtwoorden of andere gedeelde records tijdens de overdracht kunnen onderscheppen. Voor bedrijven biedt Keeper ook gedeelde teammappen aan, evenals op rollen gebaseerde controlefuncties waarmee beheerders de toegang binnen het team kunnen beperken en verdelen.

Virtual Private Network

  • Een Virtual Private Network, of VPN, stuurt al het internetverkeer door via verschillende servers, waarbij het IP-adres van de gebruiker wordt verborgen en de surfsessie meer privé en veiliger wordt gemaakt. VPN's zijn ook voorzien van versleuteling, waardoor berichten en andere gegevens beter worden beveiligd.

Bescherm uzelf en uw organisatie tegen Man-in-the-Middle-aanvallen

Nederlands (NL) Bel ons