Vad är en man-in-the-middle-attack?

vad är en man-in-the-middle-attack
Författare
Alva Ljungkvist
Moa Rana
Editor
Moa Rana

Innehållsförteckning

Om någon utomstående skulle fånga upp all kommunikation du skickar ut på nätet, plus all information du mottar, skulle hackaren kunna samla upp alla dina känsliga uppgifter, som din adress och bankinformation. Drabbas du av en man-in-the-middle-attack (MitM-attack) är det precis vad som händer. 

När en MitM-attack drabbar företag eller till och med myndigheter och regeringar, kan konsekvenserna vara förödande. 

I den här artikeln går vi igenom vad en man-in-the-middle-attack är för något, hur de fungerar och hur vanliga de är. Sedan förklarar vi sambandet mellan IoT (Internet of things) och MitM-attacker, och till sist går vi igenom hur du skyddar dig mot en MitM-attack.

Man-in-the-middle-attacks kan på svenska också kallas för man-i-mitten-attack, eller mannen i mitten attack. Oavsett vad vi väljer att kalla det, kan en attack av det här slaget vara förödande.

Vad är målet med en man-in-the-middle-attack?

En MitM-attack är en cyberattack där en tredje part avlyssnar kommunikationen mellan enheter. De sker på olika sätt beroende på vad målet med attacken är. 

Målet kan vara att samla information, och då avlyssnar angriparen kommunikationen. Här tror både mottagaren och avsändaren att de kommunicerar direkt med varandra (utan att vara medvetna om avlyssningen). 

Men målet kan också vara att modifiera kommunikationen för egen vinning. Då fångar angriparen upp alla meddelanden och ändrar dem innan de skickas vidare till den riktiga mottagaren.

syftet med man-in-the-middle-attacker

Så fungerar en man-in-the-middle-attack: 7 olika metoder att se upp med

Det vanligaste sättet en man-in-the-middle-attack sker på är genom att en angripare förklär sig som personer (eller webbplatser) som du litar på. Här är 7 olika exempel på hur en MitM-attack kan gå till:

1. Wi fi-avlyssning

På offentliga wi-fi, som på ett kafé, är din anslutning nästan alltid osäker. Det är som att försöka ha en privat konversation på en restaurang – vem som helst kan tjuvlyssna och fånga upp informationen som delas. 

På delade uppkopplingar kan någon obehörig också enkelt kopiera nätverkets namn och lura dig att ansluta till det – för att sedan övervaka allt du gör. Hackaren lurar dig då att använda ett så kallat “Evil Twin”-nätverk. 

2. E-postkapning

Det här är en typ av attack där angriparen lyckats logga in på den drabbades e-postkonto. Kaparen kan då övervaka all trafik, som e-postmeddelanden, som skickas till och från kontots innehavare och på så sätt komma åt känsliga uppgifter. 

E-postkapningen kan ske tillsammans med en social engineering-attack. En man-in-the-middle-attack kan vara metoden som hackaren använder för att få tag på den drabbades inloggningsuppgifter. 

Med tillgång till den drabbades e-postkonto kan angripare enkelt logga in och övervaka kommunikationen mellan den drabbade och dess kontakter. Det gör att angriparen sedan enkelt kan imitera mottagarens kontakter. 

Då tror den drabbade att den fortfarande håller en konversation med en viss person – men i själva fallet är det angriparen som imiterar kontakten.

social engineering

3. Förfalskning av IP-adress 

Alla system som är kopplade till ett nätverk har en IP-adress. Genom att skapa en falsk IP-adress som är väldigt lik en som redan finns i nätverket, kan angripare lura systemet att tro att IP-adressen är godkänd. 

Angripare försöker ligga i mitten, mellan de systemen som finns med i nätverket, övervaka trafik och stjäla information. Nätverket och dess enheter (till exempel datorer) kan då också utnyttjas för en DDoS-attack.

4. DNS-förfalskning

Varje webbadress är en DNS-adress. Systemen tolkar en sifferkombination som är för svår för oss människor att memorera. En av Googles adresser är 172.217.14.228 men istället skriver vi in adressen, “google.com” i adressraden för att komma till olika webbplatser. 

Severn som översätter “google.com” till DNS-adressen “172.217.14.228”, vilket kallas för en Domain Name Server – en DNS-server. 

Hackare kan skapa en falsk DNS-server. Det gör att när du skriver in “google.com” kommer du till en annan DNS-adress. En falsk webbplats som kan se exakt ut som google.com. När du besöker en falsk webbplats kan hackaren få tillgång till din känsliga information, eller infektera din enhet med malware (skadlig kod).

5. SSL Stripping

När en webbplats du besöker börjar med “https://“ istället för “http://“ i adressen, är webbplatsen skyddad med ett Secure Socket Layer – SSL. Det innebär att all känslig information krypteras. 2017 rapporterade Electronic Frontier Foundation (EFF) att över hälften av dagens internettrafik numera är krypterad. 

En angripare kan dock plocka bort din SSL-anslutning genom att lägga sig mellan enheten du använder (till exempel din dator) och webbplatsen den besöker. På så sätt ser det, för dig, ut som att du fortfarande besöker en krypterad webbsida. 

Men hackaren som ligger mellan kan nu ta del av känslig information och data som du delar med dig av till webbsidan. 

6. Sessionskapning

Den här sortens cyberbrott är vanligast på sociala medier. På sociala medier sparar ofta webbplatsen en “session browser cookie”. Där i finns data, som exempel identitets-, åtkomst- och spårningsinformation. Den inaktiveras sedan när användaren är offline. 

Men en hackare kan stjäla dessa kakor (cookies) om användarens enhet eller webbläsare är infekterad med virus.

7. Man-in-the-browser

Den här man-i-mitten attacken utnyttjar säkerhetsbrister i webbläsare. De används ofta för att fånga upp bankinformation. Hackaren infekterar webbläsaren med skadlig programvara som sedan kan samla in informationen.

I vissa fall ändrar hackaren informationen när en användare ska göra en betalning. Då kan angriparen styra så att du råkar skicka pengarna till fel person (till angriparen eller annan part), medan allt ser ut som vanligt när du gör en betalning.

Hur vanliga är man-in-the-middle-attacker?

MitM-attacker är kanske inte lika vanligt som vissa andra cyberattacker, som till exempel ransomware och nätfiske-attacker. Men MitM-attacker är ett klassiskt hot mot IT-säkerhet och har funnits länge. 

Det är svårt att veta exakt hur vanligt det är men IBM X-Force’s Threat Intelligence Index 2018 säger att 35 procent av exploateringsaktiviteten involverade angripare som försökte genomföra MitM-attacker.

Hur IoT främjar man-in-the-middle-attacker

IoT – den nya eran: Internet of Things, där allt från våra dörrklockor till kaffebryggare är kopplade till nätet. Hur påverkar det MitM-attacker?

IoT-enheter är mer sårbara för MitM-attacker för att de inte är lika säkra som de enheter vi konstant använder och övervakar, som datorer eller surfplattor. Många IoT-enheter saknar säkerhetsåtgärder som TLS (Transport Layer Security), som är ett alternativ till SSL för att kryptera internettrafik.

iot-enheter kan vara extra sårbara

Det gör att IoT-enheter blir mer sårbara, och hackare kan infiltrera IoT-enheterna och utföra MitM-attacker mot de andra enheterna, som datorer, som är anslutna till samma router.

Hur du skyddar dig mot en man-in-the-middle-attack

Här är saker du kan göra för att skydda dig mot MitM-attacks:

  1. Var uppmärksam på nätfiske. Med bluffmail kan hackare, genom länkar och bifogade filer i meddelandet, infektera din dator med virus (skadlig kod) för att sedan kunna utföra en MitM-attack.
    öppna-inte-bifogade-filer-från-suspekta-mail
  2. Se till att alltid surfa på webbplatser vars webbadress börjar på “https://“ och inte “http://“. S:et på slutet innebär att webbsidan är skyddad av SSL och att känslig information är krypterad.
    undvik osäkra webbplatser
  3. Var försiktig när du är ansluten till delade wi-fi nätverk, som på ett kafé. Använd en VPN om du vill ansluta till offentliga wi-fi. Med en VPN krypteras all din data-trafik och den blir oanvändbar för hackare.
    undvik publika nätverk
  4. Se till att skydda ditt privata nätverk och din router. Byt lösenord till något unikt och eget – både till ditt wi-fi och till inställningarna. Läs mer om hur du skyddar ditt nätverk här.
  5. Eftersom MitM-attacker ofta möjliggörs med hjälp av malware, kan du skydda dig mot en man-i-mitten-attack genom att skydda dig mot skadlig kod. Alltså:
    1. Öppna inte mail från okända avsändare. 
    2. Se till att uppdatera dina enheter. 
    3. Håll dig borta från osäkra webbplatser.
    4. Installera en adblocker.
    5. Skaffa ett bra antivirusprogram.
skannar efter malware

Sammanfattning

En MitM-attack är när någon obehörig avlyssnar kommunikationen mellan olika enheter. Det kan antingen vara med syftet att snappa upp information som delas mellan de olika enheterna i förtroende. Attacken kan också gå ut på att ändra kommunikationen mellan dem. 

Ett angrepp kan ske genom bland annat wi-fi-avlyssning, e-postkapning, IP-adress-förfalskning eller en man-in-the-browser-attack. 

MitM-angrepp är inte lika vanliga som exempelvis ransomware eller nätfiske, men det är ett riktigt hot mot säkerheten hos uppkopplade privatpersoner, företag, myndigheter och regeringar. 

Internet of Things-enheter gör den här typen av attacker enklare att genomföra och antalet IoT-enheter ökar snabbt. 

Du kan skydda dig mot MitM-attacker genom att akta dig för nätfiske, se till att surfa på webbsidor som börjar med “https://“, använda en VPN när du ansluter till delade nätverk (som på ett kafé), och skydda ditt privata nätverk. 

Då MitM ofta föregås av malware bör du givetvis fortsätta att skydda dig, och förbättra din säkerhet för att stå emot alla typer av malware.

Författare
Alva Ljungkvist
Skribent för Comprd Sverige. Småbarnsmamma med stort teknikintresse och skrivarlust.
Moa Rana
Editor
Moa Rana
Mats Maatson
Researcher
Mats Maatson

Lämna ett svar

Din e-postadress kommer inte publiceras.