"Er woont een mannetje in m'n wifi!", bleef het oude dametje schreeuwen terwijl ze door twee mannen in witte jassen per ambulance werd afgevoerd. Plotwending: ze had gelijk.

Wat is een man-in-the-middle-aanval?

Man-in-the-middle-aanval is de algemene benaming voor cyberaanvallen waarbij iemand zich tussen u en uw onlineactiviteiten wringt: tussen u en uw onlinebank, tussen u en het chatgesprekje met uw moeder of tussen uw werkmail en de afzender/ontvanger ervan, of tussen u en het venster waarin u uw betalingsgegevens invoert, enzovoort.

Bij een man-in-the-middle-aanval wringt een hacker zich tussen u en uw onlinebank, de chat met uw moeder, uw werkmail, uw betalingsgegevens...

Stelt u zich voor dat uw postbode uw brieven inkijkt voordat hij ze aflevert. Dat hij zich de nieuwe creditcard toe-eigent die in de post zit met uw naam erop. Dat hij een paar zinnen verandert in de brief die u net naar uw ex hebt gestuurd. Dat hij de intiemste details deelt met de hoogste bieder onder uw buren.

Daar komt het in feite op neer bij een man-in-the-middle-aanval (of "MITM", dat scheelt weer), maar dan online. Via MITM-aanvallen kunnen hackers ongemerkt gegevens van uw apparaat onderscheppen, versturen en ontvangen totdat de transactie voltooid is.

Veelvoorkomende doelwitten van MITM-aanvallen (hint: geld, geld, geld)

De meest gangbare doelwitten van MITM-aanvallen zijn

  • websites van onlinewinkels
  • websites van banken
  • andere websites waarbij u zich moet aanmelden om bij uw rekening- of creditcardgegevens te komen

Het zal niet als een verrassing komen dat criminelen op uw geld uit zijn.

Soorten man-in-the-middle-aanvallen

E-mailkapingen (of hoe u 500.000 euro kwijtraakt met één mailtje)

Als het idee dat iemand uw e-mail onderschept – en zelfs e-mail via uw eigen account verstuurt – u als sciencefiction in de oren klinkt, is het hoog tijd om kennis te maken met de familie Lupton.

De familie Lupton, een Brits stel, besluit zijn appartement in de verkoop te doen. De verkoop gaat door en hun advocaat stuurt hun een e-mailtje met het verzoek om hem hun bankrekeningnummer te sturen. Dan kan hij het geld overmaken. De Luptons doen dat braaf.

Wat ze niet weten, is dat een bende cybercriminelen het e-mailtje van de advocaat en ook hun antwoord heeft gelezen. Daarop sturen de criminelen via het e-mailaccount van de familie Lupton een e-mailtje naar de advocaat met het verzoek het eerder genoemde bankrekeningnummer te negeren en het geld in plaats daarvan over te maken naar een andere rekening. Zo gaan deze criminelen aan de haal met 333.000 pond (bijna 400.000 euro) van Paul en Ann Lupton.

De familie Lupton is niet toevallig het slachtoffer geworden. Met hack-tools kunnen grote hoeveelheden onbeveiligde e-mailberichten worden doorzocht op de juiste combinatie van woorden.

"Wacht, maar het is toch ongelooflijke pech dat iemand juist op dat moment die e-mails onderschepte", denkt u misschien. "De kans dat dat gebeurt moet vrijwel nihil zijn."

Zo werkt het niet.

Hier was geen sprake van domme pech en de aanval was ook niet bedoeld om deze specifieke familie schade te berokkenen. Moderne hack-tools geven criminelen de mogelijkheid om massa's onbeveiligde e-mailberichten door te vlooien op de juiste combinatie van woorden, totdat ze vinden waarnaar ze op zoek zijn. Uit het voorbeeld van de familie Lupton blijkt dat het iedereen kan overkomen.

Wifi-MITM (oftewel OMG WTH)

Afluisteren via wifi is hot. Man-in-the-middle-aanvallen via wifi worden vaak gepleegd via onbetrouwbare netwerken of "evil twins" (die niet voor niets zo heten, zoals soapkijkers wel weten).

  • Onbetrouwbare (rogue) netwerken zijn simpelweg openbare wifi-netwerken die zijn opgezet door hackers, en die luisteren naar aantrekkelijke namen als "Gratis wifi" of "Lijkt-op-de-wifi-van-Starbucks-maar-is-het-niet".
  • Van evil-twin-aanvallen is sprake wanneer hackers openbare wifi-netwerken opzetten die in alles lijken op de legitieme netwerken waar u in het verleden gebruik van hebt gemaakt. Daardoor kan het zijn dat uw apparaten er automatisch verbinding mee maken, omdat apparaten uw leven makkelijker moeten maken en u dan niet telkens het wachtwoord hoeft in te voeren.

De hackers hebben de volledige controle over deze verbindingen en wanneer mensen verbinding maken, gaat alles wat ze doen via de hackers. Zo kunnen ze wachtwoorden, aanmeldings- en betalingsgegevens, en andere vertrouwelijke persoonlijke gegevens stelen.

Evil twins kunnen er precies zo uitzien als hun legitieme tegenhangers: het wifi-netwerk van het hotel waar u verblijft, van het café waarin u koffie zit te drinken of van de luchthaven waar u zit te wachten op uw vlucht.


"Hoe kan ik dan weten of het gratis wifi-netwerk waar ik net verbinding mee heb gemaakt echt of nep is? Hoe kan ik mezelf beschermen?", vraagt u zich misschien af. Geen nood: daar is een — tamelijk eenvoudige — oplossing voor. Daar komen we zo op terug.

Maar eerst gaan we kijken naar...

Session/Cookie Hijacks (of hoe volwassenen tegenwoordig cookies jatten)

Bij een ander soort MITM-aanval onderscheppen criminelen de codefragmentjes die uw browser genereert om verbinding te maken met verschillende websites. Dit wordt het kapen van sessies of cookies genoemd en het is lang niet zo leuk als het klinkt.

Deze codefragmentjes, of sessiecookies, kunnen enorm veel belangrijke persoonlijke informatie bevatten, van gebruikersnamen en wachtwoorden tot vooraf ingevulde formulieren, uw onlineactiviteiten en zelfs uw fysieke adres. En zodra hackers al die info in handen hebben, kunnen ze er van alles mee doen, vooral slechte dingen: doen alsof u online bent, zich aanmelden bij uw financiële instellingen, uw identiteit stelen, fraude plegen, enzovoort.

Man-in-the-browser-aanvallen

U wilt online wat bankzaken regelen en denkt op de website van uw bank beland te zijn, maar dat is niet zo. Het blijkt om een rookgordijn te gaan dat hackers gebruiken om u geld afhandig te maken.

Man-in-the-browser. MITB. MIB. Het werkt als volgt: uw apparaat wordt geïnfecteerd met een Trojaans paard, waardoor criminelen uw onlinetransacties kunnen onderscheppen (e-mail, betalingen, banktransacties, enzovoort) en die naar eigen inzicht kunnen aanpassen. Dat gebeurt allemaal zonder dat u er iets van merkt, omdat u aan uw kant alleen te zien krijgt wat de hackers u willen laten zien.

U bent bijvoorbeeld bezig op uw banksite en ziet het gebruikelijke scherm met de tegoeden die u verwacht. Maar dat is een rookgordijn: intussen ontvangt uw bank verzoeken van criminelen die zich voor u uitgeven en geld van uw rekening halen, enzovoort. U ziet het alleen niet. Tegen de tijd dat u beseft wat er aan de hand is, is het te laat.

Deze Trojaanse MITB's komen meestal op uw computer terecht via phishing-scams. Daarom blijven we erop hameren hoe belangrijk het is om verdachte e-mail niet te openen en om de juiste voorzorgsmaatregelen te nemen tijdens het browsen. 

Hoe werken man-in-the-middle-aanvallen?

Een MITM-aanval bestaat uit twee stappen:

Stap 1: Gegevens onderscheppen

Eerst moeten man-in-the-middlers uw internetverkeer zien te onderscheppen voordat het zijn bestemming bereikt. Dat kan op een paar manieren:

  • IP-adresvervalsing – Zoals bankrovers valse kentekenplaten op hun vluchtauto schroeven, zo vervalsen hackers IP-adressen om de werkelijke bron van de gegevens die ze naar uw computer sturen er betrouwbaar uit te laten zien. Gegevens worden online in kleine pakketjes verstuurd, allemaal met een eigen id-label. Bij IP-adresvervalsing wordt dat label gewijzigd in iets wat uw computer of smartphone herkent als een legitieme website of service. Het komt erop neer dat uw apparaat uiteindelijk met een oplichter communiceert die zich heeft vermomd als een betrouwbaar iemand.
  • ARP-vervalsing – Bij deze MITM-methode, ook bekend onder de naam ARP Cache Poisoning of ARP Poison Routing, sturen hackers een valse ARP (dat klinkt als een oprisping, maar staat voor Address Resolution Protocol) via een LAN-netwerk (niet de nationale luchtvaartmaatschappij van Chili, maar Local Area Network), zodat het MAC-adres van de hackers (niet de make-up of de laptop, maar Media Access Control) kan worden gekoppeld aan uw IP (geen hik, maar Internet Protocol-adres) en alle gegevens kunnen worden onderschept die voor u zijn bedoeld. Bent u de afkortingen al een beetje zat?
  • DNS-vervalsing Nou, er komt er nog een. DNS staat voor Domain Name System, en is, eh, een systeem voor het omzetten van de lange, onuitspreekbare, numerieke IP-adressen van internetdomeinnamen in lekker klinkende, mensvriendelijke namen als https://omfgdogs.com (doe maar, klik er maar op – het is briljant) en andersom. Om het onlineverkeer sneller te laten werken, "onthouden" servers de omgezette namen en slaan ze die op in een cache. Bij een DNS-vervalsings- of DNS Cache Poisoning-aanval (zelfde beestje, andere naam) dringen hackers die cache binnen en brengen ze wijzigingen aan, zodat u automatisch wordt omgeleid naar een nepwebsite in plaats van naar de echte waar u naartoe wilde.

Stap 2: Gegevens ontsleutelen

Zodra hackers uw webverkeer hebben onderschept, moeten ze het ontsleutelen. Hier volgende enkele veel voorkomende ontsleutelingsmethoden die worden gebruikt bij MITM-aanvallen:

  • HTTPS-vervalsing – Lange tijd kon u ervan op aan dat u in goede handen was wanneer u de letters HTTPS (HTTP Secure) voor een internetadres zag staan. HTTPS is een websitecertificaat dat aangeeft dat uw transacties op die website versleuteld en uw gegevens veilig zijn. Maar bij een HTTPS-MITM-aanval installeert een hacker een vervalst beveiligingscertificaat, dat door uw browser als vertrouwd certificaat wordt beschouwd. Omdat dit certificaat door de browser wordt vertrouwd, wordt de sleutel verstrekt die nodig is om de door u verzonden gegevens te ontcijferen. Nu kan de hacker alles ontvangen en ontsleutelen, lezen, opnieuw versleutelen en naar de bestemming verzenden, zonder dat u of de uiteindelijke website weet dat de communicatie is onderschept. Dat is linke soep. Zo kunnen bijvoorbeeld uw e-mailberichten of onlinechatberichten worden gelezen terwijl u ze heen en weer stuurt.
  • SSL Beast – Terug naar de afko's! Het gedeelte "Beast" staat voor Browser Exploit Against SSL/TLS. SSL is het Secure Sockets Layer-protocol (het "Secure" in HTTP Secure). Hierbij benutten hackers zwakke plekken in de CBC (Cipher Block Chaining; sorry, daar gaan we weer) om gegevens te onderscheppen en te ontsleutelen die heen en weer worden gestuurd tussen uw browser en een webserver. Anders gezegd: het is weer een manier om ons webverkeer op een schadelijke manier te versleutelen en dat is slecht nieuws voor ons internetgebruikers.
  • SSL-kaping – Een man-in-the-middle-aanval via SSL werkt als volgt: wanneer u verbinding maakt met een website, maakt de browser eerst verbinding met de HTTP-versie (de niet-veilige versie) van de website. De HTTP-server leidt u verder naar de HTTPS-versie (de veilige versie) van de website en de nieuwe, beveiligde server voorziet uw browser van een veiligheidscertificaat. Ping! Verbonden. SSL-kaping vindt plaats voordat u verbinding maakt met de veilige server. Hackers leiden al uw verkeer om naar hun computer, zodat uw gegevens (e-mail, wachtwoorden, betalingsgegevens, enzovoort) eerst via hen lopen.
  • SSL-verwijdering – Bij SSL-verwijdering of SSL-stripping wordt een met HTTPS beveiligde website gedegradeerd tot HTTP (niet beveiligd). Een hacker dringt zich via een proxyserver of een van die hierboven beschreven ARP-vervalsingstrucs tussen u en een veilige verbinding, en biedt u een onbeveiligde versie (HTTP) ervan aan. Daardoor komen al uw gegevens, wachtwoorden, betalingen, enzovoort, bij de hacker aan als gewone, niet-versleutelde tekst. Zonder dat u het in de gaten hebt uiteraard.

Man-in-the-middle-aanvallen voorkomen

MITM-aanvallen kunnen rampzalige gevolgen hebben, maar u kunt een hoop doen om ze te voorkomen en de risico's ervan te beperken (en uw gegevens, uw geld en uw waardigheid te beschermen).

Gebruik altijd een VPN

Een VPN is een programma dat of een app die al uw onlineactiviteiten verbergt, versleutelt en maskeert: uw e-mailberichten, uw chatsessies, uw zoekopdrachten, uw betalingen en zelfs uw locatie. VPN's helpen u tegen MITM-aanvallen te beschermen en wifi-netwerken te beveiligen door al uw internetverkeer te versleutelen en om te zetten in gebrabbel dat eventuele afluisteraars niet kunnen ontcijferen.

AVG Secure VPN GRATIS uitproberen

 

Er zijn veel VPN's en veel ervan zijn helaas waardeloos: te traag, onzorgvuldig met uw gegevens of minder privé dan u had verwacht. Gelukkig heeft uw favoriete onlinebeveiligingsbedrijf een uitstekend VPN waarop u kunt vertrouwen. En u kunt het zelfs gratis uitproberen.

Vergeet de belangrijkste tips voor veilig websitegebruik niet

Hier vindt u een geweldige, beknopte gids aan de hand waarvan u kunt controleren of een website veilig is. U hebt voor deze tips niet veel technische kennis nodig en ze kunnen u een hoop ellende besparen, online en offline.

Zorg voor goede antivirussoftware

Bij MITM-aanvallen wordt vaak gebruikgemaakt van malware. Het is dus van wezenlijk belang dat u over goede, betrouwbare antivirussoftware beschikt.

Als u krap bij kas zit, kunt u beginnen met deze uitstekende, altijd gratis antivirussoftware. Maar als u man-in-the-middle-aanvallen wilt afslaan, kunt u ook onze betaalde bescherming kosteloos uitproberen. Daarin zit het onderdeel Nepwebsiteschild, waarmee u kunt voorkomen dat u wordt omgeleid naar websites van oplichters. Er is uitstekende bescherming voor elke beurs. Geld is geen excuus.

AVG Internet Security GRATIS uitproberen

 

Man-in-the-middle-aanvallen via HTTPS voorkomen

Eerder hadden we het over SSL, weet u nog? Daarbij veranderen HTTPS-beveiligingscertificaten in natte kranten doordat de beveiliging van websites ongemerkt worden afgewaardeerd tot het minder veilige HTTP.

De oplossing daarvoor heet HSTS (HTTP Strict Transport Security), een webbeveiligingsbeleid dat browsers en websites dwingt verbinding te maken via beveiligde HTTPS-verbindingen, wat er ook gebeurt. HTTP-verbinding? Geen probleem. HSTS handelt niet alleen SSL-verwijderingsaanvallen af, maar helpt ook tegen het stelen van cookies en het kapen van sessies. En dat is mooi meegenomen.

Het goede nieuws is dat HSTS steeds meer de norm wordt bij grote webspelers als Google, Gmail, Twitter en Paypal, en browsers als Chrome, Firefox, Safari, Edge en IE, die er al jaren ondersteuning voor bieden.

Er is niet één simpele knop waarop u kunt klikken om al uw verbindingen om te zetten in HSTS, maar het helpt als u een van de eerder genoemde HSTS-browsers gebruikt. En als u een website of server beheert en wel oren hebt naar een technische uitdaging, vindt u hier instructies om ze HSTS-vriendelijk te maken.

Man-in-the-middle-aanvallen detecteren

MITM-aanvallen zijn erg moeilijk te detecteren terwijl ze worden uitgevoerd. Voorkomen is dus de beste manier om u te beschermen.

Er zijn wel tekenen die erop kunnen duiden dat u het slachtoffer bent van een MITM-aanval:

  • Onverwacht lange vertragingen bij het laden van webpagina's waarvoor geen duidelijke reden is.
  • URL's die veranderen van HTTPS in HTTP.

Het is een erg kort lijstje.

Het komt erop neer dat MITM-aanvallen erg moeilijk te herkennen zijn terwijl ze aan de gang zijn. Voorkomen is dus de beste manier om uzelf te beschermen: gebruik zoals gezegd een VPN, maak niet rechtstreeks verbinding met openbare wifi-netwerken, installeer betrouwbare antivirussoftware en kijk uit voor phishing-scams.  

Voor de techneuten onder ons: er zijn betrouwbare tools voor het detecteren van ARP-vervalsing, een duidelijke aanwijzing voor een MITM-aanval. Wireshark is de meest gebruikte analysetool voor netwerkprotocollen, en het is gratis en opensource.

SSL Eye is een gratis programma voor Windows dat de SSL-referenties aan de tand voelt van elke website waarmee u communiceert. Op die manier kunt u uitvinden of u slachtoffer bent van een MITM-aantal.

Checklist voor man-in-the-middle-aanvallen

AVG AntiVirus FREE downloaden

 

AVG AntiVirus FREE GRATIS downloaden