Et Man-in-the-Middle-angreb (MitM) er, som navnet antyder, en form for cyberangreb, der foregår ved, at en tredjepart udnytter positionen mellem to kommunikerende parter. De tænker, at de kommunikerer direkte til hinanden på en sikker forbindelse, men her sidder hackerne altså imellem de to samtalepartnere. MitM-angreb er en form for spionage, hvor tredjeparten overvåger eller aflytter kommunikationen og på den måde opfanger oplysninger, som fx kan være af personfølsom karakter.
Der er stor fare forbundet med MitM-angreb, da det kan give cyberkriminelle adgang til at stjæle og manipulere personfølsom data i realtid. De kan bl.a. få fat på
- Login-oplysninger
- Kontooplysninger
- Kreditkortoplysninger
Den mest hyppige form for MitM angreb er såkaldte Man-in-the-Browser-angreb, som består af, at en hacker inficerer offerets browser med malware. Denne malware er typisk et resultat af et succesfuldt phishing-angreb. Motivet bag denne type angreb er ofte at stjæle finansielle oplysninger, hvorfor bagmanden typisk vil opfange offerets internettrafik til netbank eller webshops.
Hvordan fungerer MitM-angreb?
Ved et MitM-angreb finder hackeren vej til online kommunikation eller andre former for online transaktioner mellem to parter. Det kan fx være forbindelsen mellem en bruger og en webshop.
Hackeren får, som nævnt, adgang til brugerens browser og data ved at installere malware på browseren, hvilket typisk sker gennem en phishingmail. Det primære formål med MitM-angreb er at få adgang til netbank og/eller webshops, fordi den type sider kræver særligt sikrede godkendelser, som hackeren får fat i ved MitM-angreb.
Helt lavpraktisk består fremgangsmåden typisk af følgende to steps:
- Opfangelse af data: Her ser og opfanger hackeren en transaktion af data eller kommunikation mellem to parter. Hackeren snyder parterne til at tro, at de udveksler oplysninger med hinanden, mens hackeren samtidigt observerer denne data og opretter en ny forbindelse til den oprindelige side. Hackeren etablerer en usikker HTTP-forbindelse til brugeren. Når brugeren logger ind på denne usikre hjemmeside, kan hackeren stjæle brugerens data og omdirigere vedkommende til en falsk hjemmeside, som ligner den originale. Den falske hjemmeside indsamler al relevant brugerdata, som hackeren herefter kan udnytte på den originale hjemmeside.
- Dekryptering: Ved denne del bliver den opfangede data dekrypteret. Herefter kan hackeren afkode dataen og bruge det til hvadend de har lyst til - de kan fx udføre identitetstyveri eller sælge dataen på the dark web.
Forskellige former for MitM-angreb
Der findes dog indtil flere forskellige former for MitM-angreb, som alle er udført ved hjælp af forskellige teknikker, herunder:
- Internet Protocol spoofing: IP-spoofing foregår ved, at cyberkriminelle modificerer IP-adressen på eksempelvis en hjemmeside eller en mailadresse for at få brugeren til at tro, at det er en legitim kilde. Det betyder, at den følsomme information, de videregiver, havner hos hackeren i stedet.
- Domain Name System spoofing: Som ved IP-spoofing, modificerer bagmændene ved DNS-spoofing domænenavnet for at omdirigere trafikken til deres falske side i stedet for den originale side. Det gør de for at få brugere til at tro, at de lander på en legitim, sikker og troværdig side, hvor de kan indtaste følsomme oplysninger.
- HTTP spoofing: HTTPS er for de fleste indikationen på et sikkert og troværdigt websted - s'et står for secure. Ved et HTTP spoofing-angreb bliver en browser session imidlertid omdirigeret til en usikker forbindelse uden brugerens samtykke. Gennem denne omdirigering kan hackeren monitorere brugerens interaktioner.
- Secure Sockets Layer hijacking: Ved SSL hijacking etableres en krypteret forbindelse mellem en browser og en server, og den IT-kriminelle opfanger således al information mellem serveren og brugerens computer.
- E-mail hijacking: Ved denne type MitM-angreb får cyberkriminelle kontrol over fx bankers mailkonti for at monitorere brugeres transaktioner. Man kan også opleve, at hackere i nogle tilfælde til sende falske mails fra bankens mailadresse, for at få informationer ud af modtageren eller tilmed få dem til at overføre penge til de kriminelle.
- WiFi overvågning: Denne form for angreb udnytter offentlige WiFi-forbindelser. Her bliver brugere lokket til at oprette forbindelse til ondsindede WiFi-forbindelser, fordi de kriminelle har oprettet et netværk med et navn, der minder om nærliggende virksomheders.
Sådan minimerer du risikoen for et MitM-angreb
Det bedste du kan gøre for at beskytte dig mod MitM-angreb er at implementere nogle forebyggende sikkerhedsforanstaltninger. Du kan fx:
- Sørge for kun at besøge sikre forbindelser: Sørg for kun at besøge websteder, som har ‘HTTPS’ i URL-baren og ikke kun ‘HTTP’. Du kan også holde øje med, om der er et hængelås-ikon i URL-baren, da dette også er en indikation på en sikker forbindelse. Derudover skal du selvfølgelig også sørge for kun at oprette forbindelse til sikre WiFi-forbindelser.
- Anvend multi-factor authentication (MFA): MFA tilføjer et ekstra sikkerhedslag til dine online konti, fordi dit login således ikke udelukkende afhænger af din adgangskode.
- Undgå phishingmails: Selvom [phishingmails](/da-dk/blog/saadan-genkender-du-phishing "Sådan genkender du phishing) kan se uhyggeligt legitime ud, skal du altid tænke dig om en ekstra gang, før du klikker på et link i en e-mail. Faktisk anbefaler vi dig aldrig at klikke på links, som du får tilsendt - uanset hvem afsenderen måtte være, da der kan være stor risiko for, at linket er ondsindet. Dette er også grunden til, at vi hos Moxso træner medarbejdere i at identificere phishingmails gennem vores phishingsimulationer.
- Anvend en VPN-forbindelse: En VPN krypterer internetforbindelser og online transaktioner af data såsom adgangskoder og kreditkortoplysninger. Du bør derfor altid bruge VPN, når du opretter forbindelse til usikre eller offentlige WiFi-netværk. En VPN kan nemlig fange et potentielt Man in the Middle-angreb.
- Anti-malware: Det siger nok sig selv - sørg for at have implementeret anti-malware, så du forhindrer en hacker i at inficere din computer.
- Awareness-træning: Vi vil til hver en tid anbefale awareness-træning, da det øger din generelle cyberhygiejne og dermed også mindsker risikoen for at blive ramt af et MitM-angreb. Hos Moxso tilbyder vi awareness-træning med mennesket i centrum.
- Husk god online adfærd: Onlineadfærd er en vigtig del af god cyberhygiejne - hvis du er opmærksom på de forskellige faktorer der kan påvirke din færden på nettet, kan du få den bedst mulige onlineadfærd og cybersikkerhed.
Det skal du gøre, hvis du bliver ramt af et MitM-angreb
Man-in-the-Middle-angreb kan desværre ramme alle, som bruger internettet, hvilket jo er en stor del af befolkningen. Derfor er det også vigtigt at have ovenstående råd i mente, når du befinder dig online.
Konsekvenserne kan være betydningsfulde og store. Det kan bl.a. omfatte identitetstyveri eller have store finansielle omkostninger, at blive udsat for et MitM-angreb - dette gælder både som privatperson, men også i lige så høj grad for virksomheder, der kan miste værdifuld data.
Hvis du opdager, at uheldet er ude, og du fx har klikket på et link i en phishing-mail, er det som altid vigtigt, at du kontakter de IT-ansvarlige på din arbejdsplads. På den måde sørger du for, at de korrekte procedurer bliver sat i værk, og skaderne således forhåbentlig minimeres mest muligt. Derfor bør I have en attack surface management-plan, der tydeliggør hvordan I bør reagere på et cyberangreb.
Dette blogindlæg er opdateret dn. 25-07-2023 af Emilie Hartmann.
Emilie Hartmann
Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.
Se alle indlæg af Emilie Hartmann