Mikä on man-in-the-middle-hyökkäys eli väliintulohyökkäys?

Mikä on man-in-the-middle-hyökkäys?

MITM-hyökkäyksessä on kyse tiedon kaappaamisesta. Se koostuu kolmesta pääelementistä:

• Uhri
• Väliintulon suorittaja eli “mies välissä”
• Tarkoitettu vastaanottaja tai sovellus

Yksi henkilö, eli uhri, lähettää yksityistä tietoa verkossa esimerkiksi sähköpostilla. Tämä tieto on tarkoitettu tietylle vastaanottajalle, joka voi olla paitsi henkilö myös verkkosivusto tai sovellus.

Näiden kahden tahon väliin iskee väliintulohyökkäyksen suorittaja. Hän on pahantahtoinen toimija, joka etsii haavoittuvuuksia, jotka mahdollistavat tiedon uhrin ja tarkoitetun vastaanottajan välillä liikkuvan tiedon seuraamisen. Tämä henkilö on valmiina sieppaamaan ja manipuloimaan viestintää sopivan hetken saapuessa.

Suomeksi man-in-the-middle-hyökkäyksestä käytetään nimeä väliintulohyökkäys ja mies välissä -hyökkäys.

Miten väliintulohyökkäykset toimivat?

Hakkerit etsivät erilaisia tapoja käyttää hyväksi ohjelmistojen haavoittuvuuksia asettuakseen käyttäjän ja verkkosivuston väliin. Verkkorikollinen saattaa esimerkiksi luoda ansaksi tarkoitettuja Wi-Fi-verkkoja. Niitä ei ole suojattu salasanoilla, vaan kuka tahansa voi yhdistää tällaiseen verkkoon. Verkko nimetään usein niin, että se muistuttaa vaikkapa lähellä olevan kahvilan verkkoa, jolloin huijaus on uskottavampi. Kun uhri yhdistää tällaiseen verkkoon, kaikki hänen verkkoliikenteensä paljastuu.

Kerromme seuraavaksi erilaisista MITM-hyökkäyksistä, mutta tulet huomaamaan, että ne noudattavat samaa kaavaa: uhrin ja vastaanottajan väliin asettumista ja tietojen varastamiseksi.

Erilaisia man-in-the-middle (MITM) -hyökkäyksiä

Katso alta väliintulohyökkäysten päätyypit:

• IP-osoitteen muuttaminen eli spoofing voi antaa hakkerille pääsyn laitteeseen tai sovellukseen ilman, että heidän täytyy tunnistautua. Jos hakkeri onnistuu syöttämään muunnetun IP-osoitteen datapakettiin, jonka he lähettävät kohdelaitteelle, he voivat huijata sovellusta tulkitsemaan, että kyseessä on luotettava verkko, eikä tunnistautumista vaadita.
• Man-in-the-browser (MITB) -hyökkäykset eli selainväliintulohyökkäykset käyttävät malwarea eli haittaohjelmaa hakkeroinnin alussa. Esimerkiksi troijalainen virus voi ohjata käyttäjän liikenteen väärennetylle sähköpostin kirjautumissivustolle, ja näin väliintulohyökkäys saa alkunsa.
• Wi-Fi-verkon salakuuntelu tarkoittaa hyökkäystä, jossa hakkeri seuraa uhrin liikkeitä Wi-Fi-yhteyden välityksellä. Tällöin hakkeri joko luo oman verkon tai hakkeroi normaalin verkon.
• Selaimen evästeet ovat pieniä tietopaketteja, joita verkkosivusto tallentaa laitteelle. Evästeet voivat sisältää kirjautumistietoja, joten ne houkuttelevat hakkereita. Jos hakkeri saa pääsyn uhrin evästeisiin ja purkaa niiden salauksen, hän saattaa saada pääsyn useille verkkotileille. Evästeiden poisto on helppoa, mutta kaikkien evästeiden jatkuva poistaminen tekee internetin käytöstä usein hankalaa.
• ARP-huijaus tarkoittaa sitä, että huijari lähettää väärennettyjä ARP-viestejä (address resolution protocol) lähiverkon kautta. Näin he yhdistävät oman MAC-osoitteensa aidon verkon IP-osoitteeseen tietoja siepatakseen.
• DNS-huijauksessa hakkerit syöttävät väärennettyjä DNS-vastauksia ja ohjaavat liikenteen hallitsemilleen vaarallisille palvelimille.
• HTTP-huijaus on hyökkäys, jossa rikolliset luovat kopioita aidoista verkkosivustoista ja käyttävät monenlaisia konsteja houkutellakseen uhreja syöttämään tietojaan näille sivustoille.
• SSL-kaappaus tarkoittaa SSL-istuntojen sieppaamista esittämällä käyttäjälle väärennetty sertifikaatti. Jos käyttäjä hyväksyy sertifikaatin, hyökkääjä voi purkaa TLS/SSL-salauksen ja saada pääsyn sen suojaamaan tietoon.
• DNS-välimuistin myrkytyksessä rekursiivisen nimipalvelimen DNS-välimuistiin syötetään väärennettyä tietoa. Näin tuloksena on väärä IP-osoite, ja liikenne voidaan ohjata hyökkääjän sivustolle.

Tosimaailman esimerkkejä man-in-the-middle-hyökkäyksistä

MITM-hyökkäykset ovat kuin kaiken tietosi lähettämistä todellisen kohteen lisäksi verkkorikollisille, joten ne voivat saada aikaan suurta vahinkoa. Katso alta esimerkkejä tosielämässä tapahtuneista väliintulohyökkäyksistä:

• Equifax. Monet ovat kuulleet Equifaxiin kohdistuneesta iskusta, jossa paljastettiin 143 miljoonan yhdysvaltalaisen varallisuustietoja. Miksi hyökkäys onnistui niin hyvin? Kyseessä oli identiteettivarkaus: hakkerit käyttivät SSL-huijausta päästäkseen käsiksi käyttäjien tunnuksiin ja käynnistääkseen hyökkäyksen.
• Superfish. Vuonna 2015 Superfish Visual Search -ohjelmisto, joka oli esiasennettu Lenovo-tietokoneisiin, sisälsi haavoittuvuuden, jonka ansiosta hyökkääjät onnistuivat syöttämään mainoksia käyttäjien verkkoliikenteeseen.
• DigiNotar. DigiNotarin alaa ovat digitaaliset turvallisuussertifikaatit, jotka ovat yleinen verkkorikollisten kohde. Yritykseen kohdistui tietovuoto vuonna 2011, ja sen tuloksena hyökkääjät saivat pääsyn yli 500 sertifikaattiin, joita käytettiin suosituilla verkkosivustoilla, kuten Googlessa.
• Belgacom. Vuonna 2013 belgialainen tietoliikenneyhtiö Belgacom julkaisi tiedotteen, jossa kerrottiin, että kyberrikolliset olivat onnistuneet soluttautumaan heidän verkkoonsa ja sieppaamaan salattuja tietoja.
• Operaatio Aurora. Vuoden 2009 Operaatio Aurora oli sarja valtion tukemia kyberiskuja, joiden kohteina oli lukuisia yrityksiä. Hakkerit käyttivät väliintulohyökkäyksiä siepatakseen viestintää ja varastaakseen tietoja.

Miten MITM-hyökkäyksiä voi torjua?

Väliintulohyökkäyksiltä voi suojautua monilla tavoin – usein maalaisjärkeä käyttämällä:

• Ole tarkkana sähköpostien kanssa. Phishing-sähköpostit eli tietojenkalasteluviestit ovat edelleen suosittu rikollisten keino. Jos saat oudon viestin, kuten poikkeukselliselta kuulostavan pyynnön pankiltasi, älä ota riskejä. Kyseessä voi olla yritys päästä käsiksi rahoihisi.
• Suojaa päätepisteet. Jos sinulla on yritys, saatat olla huolissasi siitä, että työntekijät antavat hakkereille vahingossa pääsyn verkkoihisi. Paras tapa välttyä tältä on suojata päätepisteet.
• Suojaa kodin reititin. Vaaroja ei liity ainoastaan julkisiin Wi-Fi-verkkoihin. Yksityiskäytössä olevat reitittimet eivät ole yleensä turvallisia, etenkin siksi, että käyttäjät jättävät oletussalasanan muuttamatta. Suojaa kotisi Wi-Fi-verkko, jotta sen käyttö on turvallista.
• Käytä VPN-yhteyttä. Monet man-in-the-middle-hyökkäykset ovat mahdollisia suojaamattomien tai turvattomien Wi-Fi-yhteyksien ansiosta. Mikä on sen vastalääke? Salaa tietosi. Kun otat VPN-yhteyden käyttöön, kaikki verkkoliikenne laitteeltasi kulkee salatun tunnelin kautta suojatulle ulkoiselle palvelimelle. Vaikka yhdistäisitkin hakkerin Wi-Fi-verkkoon, hakkeri ei näe muuta kuin salattua liikennettä.
• Käytä monivaiheista tunnistautumista (MFA). Monimutkaiset, uniikit salasanat ovat hyvä juttu, mutta hakkerit saattavat silti onnistua ohittamaan ne. Monivaiheinen tunnistautuminen tarjoaa lisäsuojausta, joka tulee tarpeen, jos salasana vuotaa.
• Ota Threat Protection käyttöön. NordVPN:n Threat Protection -ominaisuus sisältää mainosten eston, tracker blockerin eli seurannan eston ja se toimii myös anti-malware-ohjelmana eli se tarkistaa tiedostot haittaohjelmien varalta, ennen kuin lataat ne laitteellesi.