Hva er et man-in-the-middle angrep?

Hva er et man-in-the-middle angrep?

MITM-metoden handler om avlytting. Den inkluderer tre nøkkel-elementer:

• Offeret
• The man in the middle (hackeren)
• Den tiltenkte mottakeren eller applikasjonen

Én person – offeret – sender sensitiv data på nettet, for eksempel en e-post. Deretter er det en tiltenkt mottaker – en applikasjon, nettside eller person.

Mellom dem har vi “mannen i midten”. Dette er den ondsinnede aktøren som finner sårbarheter, slik at de kan overvåke data mens det beveger seg mellom offerets enhet og den tiltenkte mottakeren, klar til å avlytte og manipulere kommunikasjonen når tiden er inne. Du kan se vår video for mer informasjon om denne angrepsmetoden.

Hvordan et man-in-the-middle angrep fungerer

Hackere finner forskjellige måter å utnytte programvaresårbarheter på for å plassere seg mellom brukeren og nettsiden. For eksempel kan en ondsinnet aktør avlytte data ved å sette opp feller med Wi-Fi-hotspots. Disse vil ikke være passordbeskyttet, slik at hvem som helst kan logge på. Ved å gi tilkoblingen et passende navn – for eksempel navnet på en nærliggende kafé – kan kriminelle lure brukere til å logge på. Når offeret er på nett, er all deres data som passerer gjennom hackerens hotspot fullstendig eksponert.

Vi vil dekke en rekke forskjellige MITM-angrep neste gang, men det du vil se er at de alle følger den samme formel: Kom mellom offeret og den tiltenkte mottakeren og stjel deres data.

Ulike typer man-in-the-middle (MITM) angrep

Her er de mest vanlige metodene for MITM-angrep:

• IP-forfalskning eller spoofing kan gi hackere tilgang til en enhet eller applikasjon ved å omgå autentiseringsprosessen. Hvis en hacker kan sette inn en endret IP-adresse i “pakken” med data de sender til målenheten, kan de lure en applikasjon til å tro at de er en betrodd nettverksbruker og gi dem tilgang.
• Man-in-the-browser (MITB) angrep bruker skadevare for å starte angrepet. For eksempel omdirigerer en trojansk hest brukerens trafikk til en falsk e-post påloggingside, og legger dermed grunnlaget for et klassisk MITM-angrep.
• Wi-Fi-avlytting er et angrep der en hacker avlytter aktiviteten din via en Wi-Fi-tilkobling, enten ved å hacke en legitim hotspot eller sette opp sin egen.
• Nettleserinformasjonskapsler er små informasjonsbiter som et nettsted vil lagre på enheten din. Disse små datapakkene kan også inneholde påloggingsopplysninger, noe som gjør dem svært nyttige for hackere. Hvis noen får tilgang til og dekrypterer informasjonskapsler på enheten din, kan de få nøklene til en rekke andre nettbaserte kontoer.
• ARP-forfalskning innebærer at hackere sender falske adresseoppløsningsprotokoll (ARP)-meldinger over et lokalt nettverk. På denne måten kobler de sin MAC-adresse til IP-adressen på et ekte nettverk og fanger opp data.
• I DNS-forfalskning introduserer hackere falsk DNS-respons og omdirigerer trafikk til ondsinnede servere de kontrollerer.
• HTTP-forfalskning er et angrep der kriminelle oppretter kopier av ekte nettsteder og bruker ulike triks for å få uvitende brukere til å legge inn sensitive data på disse nettsidene.
• SSL-kapring innebærer å avlytte SSL-økten ved å presentere et forfalsket sertifikat til brukeren. Hvis brukeren godtar sertifikatet, kan angriperen dekryptere og få tilgang til data beskyttet av TLS/SSL.
• DNS-cacheforgiftning setter inn falsk informasjon i DNS-cachen til en resolver, noe som får resolveren til å returnere en feil IP-adresse og omdirigere trafikken til hackerens nettsted.

Eksempler på virkelige man-in-the-middle angrep

Siden MITM-angrep er som å kopiere cyberkriminelle inn i alle dine hemmeligheter, kan angrepene forårsake alvorlig skade. Her er noen eksempler på virkelige MITM-angrep:

• Equifax: På dette tidspunktet har de fleste hørt om den beryktede Equifax-hackingen som eksponerte finansiell data for 143 millioner amerikanere. Det du kanskje ikke vet, er at grunnen til at dette angrepet var så vellykket, var identitetstyveri. Hackerne brukte SSL-kapring for å fange brukernes legitimasjon og brukte det til videre angrep.
• Superfish: I 2015 hadde en programvare kalt Superfish Visual Search, som kom forhåndsinstallert på Lenovo-datamaskiner, en sårbarhet som tillot angripere å injisere annonser i brukernes webtrafikk.
• DigiNotar: DigiNotar spesialiserer seg på digitale sikkerhetssertifikater, et vanlig mål for cyberkriminelle. Selskapet ble hacket i 2011, og som et resultat klarte angriperne å få tilgang til over 500 sertifikater som ble brukt av populære nettsider som Google.
• Belgacom-hackingen: I 2013 kunngjorde det belgiske telekommunikasjonsselskapet Belgacom at cyberkriminelle hadde klart å infiltrere nettverket deres og fange opp krypterte data.
• Operasjon Aurora: I 2009 var Operasjon Aurora en serie statssponsede cyberangrep rettet mot dusinvis av selskaper. Hackerne brukte MITM-angrep for å fange opp kommunikasjon og stjele proprietære data.

Hvordan unngå MITM angrep

Du kan forhindre MITM-angrep på mange måter, ofte gjelder det bare å bruke sunn fornuft:

• Vær årvåken med e-poster: Phishing-e-poster er fortsatt en populær angrepsmetode for kriminelle. Hvis du mottar en merkelig melding, for eksempel en uvanlig forespørsel fra banken din, vær forsiktig – det kan være et forsøk på å stjele penger fra deg.
• Implementer et endepunktsikkerhetssystem: Hvis du driver en bedrift, kan det være en risiko for at ansatte ved et uhell gir hackere tilgang til nettverkene dine. Den beste måten å unngå dette på er endepunktsikkerhet.
• Sikre ruteren din hjemme: Det er ikke bare offentlig Wi-Fi som utgjør en trussel. Personlige rutere er sjelden sikre, spesielt når de fleste aldri endrer standardadministratorpassordet. Styrk sikkerheten til Wi-Fi-en din hjemme slik at ditt eget hjem ikke blir angrepet.
• Bruk en VPN: Mange MITM-angrep skjer på grunn av usikrede eller sårbare Wi-Fi-tilkoblinger. Hvordan fikse dette? Krypter dataene dine. Når du slår på en VPN, vil all nettleserinformasjonen din bevege seg langs en kryptert tunnel mellom enheten din og en sikker ekstern server. Selv om du kobler til en hackeres hotspot, så vil alt de kan se være kryptert.
• Bruk flerfaktorautentisering (MFA): Selv om komplekse, unike passord er flott, finner hackere fortsatt måter å omgå dem på. MFA sikrer at du er trygg, selv om passordet ditt noen gang skulle lekke ut.
• Bruk trusselbeskyttelse: NordVPN’s trusselbeskyttelsesfunksjon blokkerer annonser og sporingsenheter og skanner filer for skadelig programvare før de lastes ned til enheten din.