Een man-in-the-middle-aanval is een vorm van internetcriminaliteit waarbij een hacker de communicatie tussen twee partijen onderschept. Dit kan bijvoorbeeld gebeuren tijdens een e-mailwisseling of wanneer jij een website bezoekt. Tijdens zo’n cyberaanval kan een hacker inzicht krijgen in jouw persoonlijke informatie en soms zelfs toegang krijgen tot jouw financiële gegevens en je geld afhandig maken.
Het is erg moeilijk om man-in-the-middle-aanvallen te detecteren. Gelukkig zijn er wel een aantal maatregelen die je kunt nemen om jezelf beter te beschermen tegen MITM-aanvallen:
- Gebruik een goede antivirus, zoals Bitdefender.
- Wees voorzichtig met (openbare) wifi-netwerken en gebruik altijd een VPN. We raden NordVPN aan vanwege de ijzersterke beveiliging en de gratis proefperiode.
- Gebruik altijd het HTTPS-protocol als je websites bezoekt.
- Zorg dat de software op jouw apparaten altijd up-to-date is.
- Gebruik een wachtwoordmanager, zoals NordPass, om sterke wachtwoorden te maken en te onthouden, maar ook om specifieke MITM-aanvallen te voorkomen.
- Verwijder de cookies uit je browser.
Lees hieronder verder voor meer informatie over man-in-the-middle-aanvallen en hoe je jezelf hiertegen beschermt.
Als mensen denken aan cybercrime, denken ze vaak aan nep-sms’jes of datalekken. Toch zijn er een hoop andere vormen van cybercriminaliteit. Een daarvan is de man-in-the-middle-attack, oftewel man-in-the-middle-aanval (MITM-aanval). Maar wat is een MITM-aanval precies en hoe kun je zo’n aanval voorkomen? Lees verder voor meer informatie over dit soort cyberaanvallen. Ook geven we tips om MITM-aanvallen te voorkomen.
Wat is een man-in-the-middle-aanval?
Een man-in-the-middle-aanval is een cyberaanval waarbij een hacker de communicatie tussen twee partijen onderschept. Deze aanvallen kunnen gericht zijn op elk type online communicatie. Denk aan e-mailverkeer, berichtenverkeer via social media of zelfs websitebezoeken. Hackers kunnen zo jouw persoonlijke data bekijken en inzicht krijgen in jouw gesprekken, inloggegevens of financiële informatie. Ze kunnen ook gegevens verzenden en ontvangen zonder dat je dat weet.
Veelvoorkomende doelwitten van man-in-the-middle-aanvallen zijn:
- Websites van banken.
- Websites waarvoor je moet inloggen.
- Versleutelde verbindingen, waaronder chatgesprekken.
Verschillende soorten man-in-the-middle-aanvallen
Er zijn verschillende manieren waarop een externe partij een MITM-attack kan uitvoeren. Hier volgen enkele van de meest voorkomende manieren waarop de aanvallen worden uitgevoerd:
E-mailkapingen
Email hijacking, zoals deze vorm van MITM-attack in het Engels wordt genoemd, begint vaak met phishing of andere social engineering-technieken. Op deze manier weet een internetcrimineel toegang te krijgen tot jouw e-mailaccount. Nu kan de hacker e-mailberichten sturen vanuit jouw naam, bijvoorbeeld naar je bank om geld over te maken naar een andere bankrekening.
E-mailkapingen komen ook vaak voor bij e-mailaccounts van grote organisaties en bedrijven. In dit geval proberen hackers CEO-fraude te plegen, waarbij ze instructies sturen naar klanten en andere medewerkers uit naam van een CEO of een andere hooggeplaatste werknemer. Als ze het e-mailaccount van de juiste werknemer hebben gehackt, kunnen ze zelfs toegang krijgen tot gevoelige data en deze bekijken en stelen. Hier was nog sprake van in 2022 toen een crimineel toegang kreeg tot een hoop persoonsgegevens van wachtwoordmanager LastPass.
Afluisteren via wifi
Een andere veelvoorkomende soort MITM-aanval is wifi-eavesdropping. Dit wordt ook wel een ‘evil twin attack‘ genoemd. Hierbij zet een hacker een openbare wifi-hotspot met een legitiem lijkende naam op. Denk hierbij aan een gratis McDonalds wifi-punt. Jij denkt dat je verbinding maakt met de openbare wifi van McDonalds, maar eigenlijk maak je verbinding met het wifi-netwerk van de hacker.
Zodra je verbonden bent met de wifi-hotspot van de hacker, kan deze meekijken met je internetgedrag. Zelfs als je beveiligde HTTPS-websites bezoekt, kan een hacker bijvoorbeeld een SSL-stripping aanval uitvoeren, waarbij de encryptie wordt verwijderd zodat de hacker toch mee kan kijken. Ook is het op deze manier makkelijker voor de hacker om je te redirecten naar malafide websites via DNS-hijacking.
Een variant op de reguliere evil twin attack is de KARMA attack. Als je in het verleden ooit verbonden bent geweest met een openbaar wifi-punt, dan kan je telefoon de naam van dit wifi-punt opslaan om later automatisch opnieuw verbinding te maken. Je telefoon zendt dan constant een onversleuteld signaal uit met een preferred network list, oftewel een lijst met geaccepteerde wifi-netwerken. De cybercrimineel vangt dit signaal op en geeft zijn wifi-hotspot de naam van het goedgekeurde netwerk, waardoor jouw telefoon automatisch verbinding maakt met dit vervalste wifi-netwerk.
Sessiekaping: cookies stelen
Als je surft op het internet, slaan je browser en apparaat cookies op. Zo kun je bijvoorbeeld inloggen op Facebook, het tabblad afsluiten en een paar minuten later alsnog door je tijdlijn scrollen zonder opnieuw in te loggen. Zoals je je kunt voorstellen, zitten hier risico’s aan verbonden. Een daarvan is sessiekaping, oftewel session hijacking.
Bij session hijacking steelt een hacker je cookies en kaapt hij je sessie. Zo kan de aanvaller inloggen op de accounts waarvan de inlog nog staat opgeslagen in de cookies. Zodra de aanvaller is ingelogd op je Facebook, kan deze phishingberichten sturen naar je contacten of privégegevens stelen. Mocht je ingelogd zijn op PayPal, dan kan de hacker zelfs geld overmaken naar zijn eigen account.
Spoofing
Spoofing is een Engels woord dat letterlijk vertaald ‘fopperij’ betekent. In de cybercrime betekent spoofing dat iemand een adres of apparaat namaakt. Je kunt verschillende zaken ‘spoofen’, waaronder iemands IP-adres (IP-spoofing), MAC-adres (ARP-spoofing), DNS-cache (DNS-spoofing) en webadres (HTTPS-spoofing). We leggen deze vormen van spoofing kort uit.
IP-spoofing
Een Internet Protocol-adres, oftewel IP, is een uniek nummer dat een netwerkapparaat identificeert. Dit nummer is gekoppeld aan al jouw online activiteiten en werkt als een soort elektronisch (retour)adres. IP-spoofing wordt het vaakst gebruikt bij ‘(distributed) denial of service (DDoS)’-aanvallen. Hierbij vervalst een hacker het IP-adres van het slachtoffer en zendt hij vanuit dat adres een hoop SYN-requests naar andere servers. Deze servers reageren door ACK-responses terug te sturen, maar zij sturen dit naar het apparaat van het slachtoffer, waardoor dit apparaat overbelast raakt. SYN-requests en ACK-responses zijn de signalen waarmee computers en servers communicatie initiëren op een netwerk.
Hackers kunnen IP-spoofing ook inzetten bij man-in-the-middle-aanvallen. In dit geval gaat de hacker tussen twee communicerende partijen inzitten en spooft één of beide IP-adressen. Jij denkt dan dat je bijvoorbeeld een formulier invult op een bekende website, maar eigenlijk geef je deze gegevens aan de hacker. Andersom is dit ook mogelijk, dat de website denkt jij informatie hebt opgevraagd en deze verzendt naar de hacker.
ARP-spoofing
ARP staat voor Address Resolution Protocol. ARP is vooral belangrijk binnen je thuisnetwerk. Het zorgt er namelijk voor dat je router of modem weet welke apparaten binnen je lokale netwerk (LAN) met elkaar of het internet communiceren. ARP koppelt het MAC-adres van een apparaat namelijk aan het IP-adres van je netwerk.
Als de host (router of modem) niet weet welk MAC-adres hoort bij een specifiek IP-adres binnen het LAN-netwerk, dan zendt het een ARP-request naar alle apparaten en wacht het op een respons. Apparaten kunnen ook uit zichzelf ARP-responses verzenden. De host slaat vervolgens alle gekoppelde MAC- en IP-adressen op in zijn cachegeheugen voor later gebruik.
De zwakke plek in dit proces is dat apparaten niet hoeven te bewijzen dat zij inderdaad het apparaat zijn dat ze claimen te zijn. Als een hacker het IP-adres van twee apparaten binnen het LAN-netwerk weet, kan deze dus een man-in-the-middle-aanval uitvoeren. Dat werkt dan zo:
- De aanvaller weet wat de interne IP-adressen van een pc en router in het slachtoffers LAN-netwerk zijn.
- De aanvaller gebruikt een spoofing tool om nagemaakte ARP-responses te verzenden. Deze responses claimen dat het bijbehorende MAC-adres behoort tot de pc en router, maar stiekem is dit het MAC-adres van het apparaat van de hacker.
- De host koppelt het MAC-adres van de hacker aan de IP-adressen van de pc en router en slaat dit op in zijn cache.
- Elke keer dat er binnen het LAN-netwerk gecommuniceerd wordt met de router of pc, gaat deze communicatie naar de hacker in plaats van naar de eigenlijke apparaten.
DNS-spoofing
‘Domain Name System (DNS)’-servers koppelen domeinnamen van websites aan de bijbehorende IP-adressen. Bij DNS-spoofing zorgt een hacker ervoor dat de website die een gebruiker probeert te bezoeken niet wordt gevonden. De hacker zorgt er dan voor dat de DNS-server verkeerde informatie bevat. De server koppelt de door jou ingetypte domeinnaam dan aan een verkeerd IP-adres waarop een malafide website gehost wordt.
Zo kun je bijvoorbeeld op zoeken naar www.rabobank.nl, maar zorgt de gecompromitteerde DNS-server ervoor dat je naar een nep-versie (bijvoorbeeld www1.rabobank.nl) van de site gaat. Zodra je inlogt, geef je eigenlijk de inloggegevens van je bankrekening aan de hacker.
HTTPS-spoofing
Online netwerkcommunicatie vindt plaats via HTTP. Dit Hypertext Transfer Protocol kun je beveiligen, waardoor je HTTPS in gebruik neemt. HTTPS maakt gebruik van specifieke certificaatsleutels (SSL of TLS) om de communicatie tussen website en bezoeker af te schermen voor pottenkijkers.
HTTPS wil echter niet zeggen dat de website 100% veilig is. Hackers kunnen namelijk hun eigen website registreren die qua domeinnaam erg lijkt op een echte website. Denk hierbij aan marktplaats.nl met een hoofdletter i in plaats van een l. Vervolgens vragen ze een eigen SSL-certificaat aan, waardoor ze de felbegeerde HTTPS voor hun website krijgen, waardoor je als bezoeker denkt dat je een veilige website bezoekt. Intussen kan de hacker echter alles volgen wat je op de website uitvoert.
HTTPS-spoofing is een andere man-in-het-midden-aanval dan SSL-stripping. Bij SSL-stripping onderschept de internetcrimineel namelijk je websiteaanvraag. Vanuit zijn apparaat zendt hij de aanvraag door naar de websiteserver via HTTPS. Zodra de hacker de response krijgt, decodeert hij de verbinding om deze door te sturen naar jou. De communicatie vanuit jou gaat dus onversleuteld naar de hacker en wordt dan versleuteld doorgestuurd naar de website. De reactie van de website gaat eerst langs de hacker en gaat dan onversleuteld door naar jou.
Op deze manier weet de website niet dat die niet echt met jou communiceert. Jij regelt je online zaken ook zoals je gewend bent. Zolang je niet naar de URL-balk kijkt, zul je niet in de gaten hebben dat je te maken hebt met een MITM-attack. Kijk je wel naar de adresbalk? Dan zie je dat je verbonden bent via HTTP in plaats van HTTPS.
Man-in-the-browser-aanval
Een man-in-the-browser-aanval (MITB-aanval) is geen klassieke man-in-het-midden-aanval, maar is hier wel aan verwant. Het is een computeraanval waarbij een Trojan Horse je webbrowser infecteert. De malafide handeling begeeft zich tussen de browser en de beveiligingsmechanismen van de browser. Het Trojaans Paard kan webpagina’s aanpassen en transactiegegevens aanpassen of toevoegen, terwijl zowel de gebruiker als de browser hier niets van merkt.
Twee bekende voorbeelden van MITB-Trojans zijn Zeus en zijn opvolger SpyEye. Deze zijn berucht vanwege het stelen van ingevulde formulieren en keylogging-praktijken. Zeus wordt daarnaast gebruikt bij helpdeskfraude. De malware laat dan een pop-up verschijnen met de melding dat je apparaat geïnfecteerd is met malware en dringt erop aan dat je hulp inschakelt van de crimineel.
MITM-aanvallen voorkomen
Elke internetgebruiker kan het doelwit zijn van een MITM-aanval. Het kan een uitdaging zijn om jezelf te beschermen. De door jou gebruikte DNS-servers vallen grotendeels buiten jouw controle. Andere partijen beheren deze servers. Net zoals de websites die jij bezoekt worden beheerd door je internetprovider (ISP) of de IT-afdeling van je bedrijf. Als deze servers worden gehackt, kom je daar mogelijk niet op tijd achter. Het is daarom lastig om deze man-in-the-middle-aanvallen te detecteren. Gelukkig zijn er wel een aantal stappen die je kunt nemen om jezelf te beschermen. Hier volgen enkele van de belangrijkste:
Gebruik goede antivirus
Een goede virusscanner beschermt je tegen het downloaden van malware en tegen phishing-aanvallen. Zo blokkeert een goede antivirus nep-websites. Ook al kun je met het blote oog het verschil tussen ‘marktplaats.nl’ en ‘marktpIaats.nl’ niet zien, een antivirus kan dat wel. Zo verklein je het risico om op een namaak-website terecht te komen.
Helaas zijn de trojans als Zeus en SpyEye moeilijk te detecteren. In een test van IT-beveiliging tester MRG Effitas uit 2020 bleek dat alleen Bitdefender, ESET en Windows Defender alle real-world banking malware wisten te blokkeren, waaronder Zeus clones. Windows Defender wist de botnet-variant van Zeus, TinyNuke, echter niet te herkennen. Alle tests samengenomen kwam Bitdefender als beste uit het rapport, wat ons niet verraste aangezien deze ook in onze top 5 beste virusscanners staat.
Bitdefender is ook een van die goede virusscanners die je beschermt tegen nep-websites en phishing. Bitdefender heeft zelfs een functie waarmee je verzekerd wordt van veilig betalen, genaamd Safepay. Daarnaast biedt het een prima VPN aan, waarover je in onze Bitdefender VPN-review meer kunt lezen, zodat je ook beschermd blijft op openbare wifi-netwerken.
Wil je meer over deze antivirus te weten komen? Bekijk dan onze volledige review van Bitdefender Antivirus. Of test de service een maand gratis uit door de geld-terug-garantie te gebruiken en klik op deze button:
Wees voorzichtig met (openbare) wifi-netwerken
Dit geldt zowel voor je thuisnetwerk als voor openbare wifi-netwerken. Beveilig je wifi thuis bijvoorbeeld met een sterk, uniek wachtwoord. Zo kunnen hackers minder makkelijk toegang krijgen tot het netwerk om zo LAN-gegevens te bekijken.
We raden het af om openbare wifi te gebruiken, aangezien dit onnodig extra risico op MITM-aanvallen veroorzaakt. Als je al aangewezen bent op openbare wifi, zoals op vakantie, is het belangrijk dat je via dit netwerk geen gevoelige gegevens deelt. Log bijvoorbeeld niet in bij je bank als je verbonden bent met de hotel-wifi.
Gebruik een VPN
Een VPN (Virtual Private Network) versleutelt je gegevens voordat deze het internet opgestuurd worden. Zelfs als je verbonden bent met een openbaar wifi-netwerk of een hacker heeft zich tussen jou en een website geplaatst, dan krijgt de netwerkbeheerder of hacker niet direct je data te zien. Deze ziet alleen een reeks versleutelde data.
Een goede VPN, zoals NordVPN, gebruikt sterke encryptie-algoritmen en tunnelingprotocollen. Dit betekent dat het erg moeilijk is voor een hacker om de gegevens te ontsleutelen. NordVPN gebruikt zowel OpenVPN, de gouden standaard van VPN-protocollen en NordLynx, een variant van het snelle WireGuard. Beide protocollen gebruiken een sterke vorm van encryptie, waardoor een hacker er jaren over zou doen om deze te ontsleutelen.
Niet voor niets is NordVPN een van de beste VPN’s op dit moment. Je kunt alles over de dienst lezen in onze uitgebreide NordVPN-review. Je kunt de service ook direct gratis uittesten, als je gebruikmaakt van NordVPN’s 30-dagen geld-terug-garantie.
Controleer of je een HTTPS-verbinding gebruikt
Zorg ervoor dat je ‘HTTPS’ kunt zien in de URL’s van de sites die je bezoekt. Ook een groen pictogram met een slotje is belangrijk. Als je HTTPS niet ziet, voeg het dan handmatig toe. Probeer vervolgens de site opnieuw te laden. Als het slotje zichtbaar is, betekent dit dat jouw verbinding nu beveiligd is.
Als je een eigen website hebt en nog steeds HTTP gebruikt, gebruik dan een SSL/TLS certificaat om te upgraden naar het HTTPS-protocol. Dit zal een beveiligde verbinding tot stand brengen tussen jouw server en de computers van jouw klanten. Zodra je jouw HTTPS-verbinding hebt opgezet, moet je ervoor zorgen dat jouw servers correct zijn geconfigureerd voor extra bescherming.
Gebruik HSTS voor extra veiligheid
SSL/TLS certificaten zijn belangrijk om jezelf te beschermen. Toch kunnen hackers nog steeds manieren vinden om ze te omzeilen, zoals we eerder in dit artikel zagen. Zelfs als je een HTTPS-verzoek intypt, kunnen aanvallers het verzoek veranderen in HTTP. Hierdoor vindt er geen versleuteling plaats en blijf je kwetsbaar.
Voor extra veiligheid kun je de webserverrichtlijn HTTP Strict Transport Security (HSTS) gebruiken. Deze richtlijn dwingt jouw browsers om verbinding te maken met de HTTPS-site en blokkeert inhoud die gebruikmaakt van HTTP-protocollen. Het voorkomt ook dat aanvallers informatie uit jouw browsercookies kunnen halen.
Houd je systemen en programma’s up-to-date
Hackers bedenken voortdurend nieuwe manieren om cyberaanvallen zoals MITM-aanvallen uit te voeren. Softwareontwikkelaars updaten programma’s vaak om dit tegen te gaan. Zorg er daarom voor dat je jouw systemen en programma’s up-to-date houdt. Dit omvat je webbrowser, jouw apparaten en alle apps op jouw computers en smartphones.
Wat er gebeurt als je programma’s niet updatet zagen we bijvoorbeeld bij het Rode Kruis in 2022. Een gemiste update van de authenticatiemodule zorgde ervoor dat criminelen toegang kregen tot privacygevoelige gegevens van 515.000 vluchtelingen en andere ‘extreem kwetsbare mensen’.
Gebruik een wachtwoordmanager
Een wachtwoordmanager zorgt er niet alleen voor dat het makkelijker is om sterke en unieke wachtwoorden te maken en te onthouden. Deze tool helpt je ook om homografische aanvallen te voorkomen. Dit zijn cyberaanvallen waarbij je naar een nagemaakte website wordt geleid waarvan de domeinnaam lijkt op de originele domeinnaam, zoals bij IP-, DNS- en HTTPS-spoofing.
Een wachtwoordmanager laat je automatisch je inloggegevens invullen op websites. Hierbij reageert deze automatische invul-feature echter alleen op legitieme websites. Mocht je per ongeluk op een namaaksite terechtkomen, dan krijg je niet de pop-up om je wachtwoord automatisch aan te vullen.
Hierbij is het natuurlijk wel belangrijk dat je een goede, betrouwbare wachtwoordmanager gebruikt. Een passwordmanager die we van harte aanraden is NordPass. Je test deze dienst gratis uit op één apparaat. Je kunt dan een onbeperkt aantal inloggegevens opslaan en genereren. Voor de mogelijkheid om wachtwoorden automatisch in te vullen om homografische aanvallen te voorkomen, heb je echter een premium abonnement nodig. Meer info over deze service lees je in de NordPass-review.
Wis je cookies
Om session hijacking te voorkomen is het slim om cookies automatisch te laten verwijderen zodra je een pagina sluit. Er zijn dan immers geen cookies om te stelen en misbruiken. Hoe je dat in specifieke browsers doet, zoals in Mozilla Firefox, Safari of Google Chrome, lees je in ons artikel over het verwijderen van cookies.
Bescherm jezelf tegen meer dan alleen een man-in-the-middle-aanval
Vrijwel iedereen die online aanwezig is, kan het doelwit zijn van een MITM-cyberaanval. Deze aanvallen kun je zien als een digitale vorm van afluisteren waarbij hackers jouw persoonlijke of financiële gegevens stelen. Hackers kunnen jou zelfs verleiden om geld naar hen over te maken.
Er zijn enkele basisstappen die internetgebruikers kunnen nemen om zich tegen deze aanvallen te beschermen. De belangrijkste stap is het gebruik van een goede virusscanner, zoals Bitdefender, en een VPN als NordVPN voor openbare netwerken. Ook is het belangrijk om altijd gebruik te maken van het HTTPS-protocol. Zorg er daarnaast voor dat de software op jouw apparaten altijd up-to-date is en dat je je cookies regelmatig wist.
Met dit soort voorzorgsmaatregelen kun jezelf beter verdedigen tegen MITM-aanvallen. Er zijn echter een hele hoop andere vormen van cybercrime die net andere maatregelen nodig hebben. Voor meer tips kun je terecht bij deze artikelen:
- Wat is cryptojacking?
- Wat is SMS-fraude?
- Oplichting via marktplaats herkennen en voorkomen
- Hoe voorkom je identiteitsfraude?
Heb jij een vraag over man-in-the-middle-aanvallen? Kijk in het overzicht met vragen hieronder of jouw vraag ertussen staat. Klik op een vraag en het antwoord verschijnt in beeld.
Een man-in-the-middle-aanval is een vorm van cybercrime waarbij een hacker zich tussen twee partijen plaatst; bijvoorbeeld tussen jou en je online bank of tussen een e-mailconversatie met een vriend. Via deze MITM-aanvallen kunnen hackers ongemerkt persoonlijke gegevens onderscheppen.
Er zijn verschillende vormen van MITM-aanvallen:
- E-mailkaping
- Wifi afluisteren
- Sessiekaping
- IP-, DNS- en HTTPS-spoofing
- Man-in-the-browser-aanvallen
Met onderstaande maatregelen ben jij beter beschermd tegen man-in-the-middle-aanvallen:
- Gebruik een goede antivirus.
- Gebruik een wachtwoordmanager.
- Gebruik een goede VPN.
- Let op bij het gebruik van wifi-netwerken.
- Gebruik een HTTPS-verbinding.
- Houd programma’s up-to-date.
- Verwijder cookies.
Wil weten hoe je dit allemaal precies doet? Check dan ons artikel over MITM-aanvallen.
Het bekendste voorbeeld van een man-in-the-middle-aanval is de evil twin attack. Een crimineel zet hierbij een schadelijke hotspot op met een legitiem lijkende naam. Als jij denkt met een gratis wifi-punt van bijvoorbeeld McDonalds te verbinden, zend je echter al je internetverkeer naar de crimineel. De hacker kan je dan omleiden naar nep-websites en zo persoonlijke informatie van je stelen.
Wil je meer te weten komen over de evil twin attack of andere MITM-aanvallen? Lees dan ons uitgebreide artikel over man-in-the-middle-aanvallen.
