SoSafe erkend als ‘strong performer’ in de Forrester Wave Human Risk Management Solutions, Q3 2024. Klik hier voor meer informatie.

Persoon die op een laptop typt met een transparant symbool van een slot die voor het scherm zweeft, als voorstelling van een man-in-the-middle cyberaanval.

Man-in-the-Middle aanval

Bij een man-in-the-middle aanval onderschept een kwaadwillende communicatie tussen twee partijen zonder hun medeweten of toestemming, waardoor de aanvaller het gesprek kan afluisteren of informatie die wordt uitgewisseld tussen de twee partijen kan wijzigen of stelen.

25 juni 2024 · 12 min read

Wat is een man-in-the-middle aanval?

Stel je voor dat je in een drukke ruimte met een vriend aan het praten bent, en er vanuit gaat dat je gesprek privé is. Plotseling gaat een onopgemerkte persoon tussen jullie beiden inzitten, die je woorden afluistert en ze later openbaar maakt of zelfs gebruikt om je af te persen. In de online wereld is dit een man-in-the-middle aanval, waarbij cybercriminelen stiekem je digitale uitwisselingen onderscheppen – van e-mails tot berichten – en informatie stelen en/of manipuleren zonder dat je het weet.

Hoewel ze in eerste instantie misschien niet intimiderend klinken, zijn man-in-the-middle aanvallen – ook wel attacker-in-the-middle (AitM) genoemd – een groeiende dreiging die de cyberveerkracht van een organisatie op de proef stelt. Bij een ernstige cyberaanval op een Israëlische startup onderschepten aanvallers op een slimme manier een ​​overboeking tussen het bedrijf en een Aziatische leverancier waarmee ze zaken deden. Door de communicatiekanalen te infiltreren, leidden de cybercriminelen de betaling van $1 miljoen om naar een frauduleuze rekening, waarmee ze beide partijen succesvol bedrogen.

In het eerste kwartaal van 2023 was er een stijging van 35% in het aantal man-in-the-middle aanvallen die in de inboxen belandden, vergeleken met dezelfde periode in 2022. De snelle opkomst van dit fenomeen benadrukt hoe belangrijk het is dat je begrijpt hoe man-in-the-middle aanvallen werken, dat je veelvoorkomende MitM-aanvallen (her)kent en weet hoe je deze opkomende dreiging identificeert en wat je kunt doen om je organisatie ertegen te beschermen.

Een vrouw werkt op een laptop en een man gebruikt een smartphone, beiden zijn zich niet bewust van de man met de hoodie die op de achtergrond tussen hen in staat als symbool voor de hacker die een man-in-the-middle aanval uitvoert waarbij hun communicatie wordt onderschept.

Hoe werkt een man-in-the-middle aanval?

Bij online interacties verbinden twee partijen zich op verschillende manieren. Het kan een computer zijn die communiceert met een webapplicatie, twee e-mailservers die berichten uitwisselen, of mensen die berichten sturen op platforms zoals WhatsApp, Zoom of Facebook Messenger. Hackers liggen echter overal op de loer en kijken naar mogelijkheden om zichzelf tussen twee nietsvermoedende partijen in te positioneren. Dit doen ze met behulp van technieken zoals ARP of DNS-spoofing of het compromitteren van netwerkapparaten om de gedeelde informatie over te nemen.

Als ze eenmaal een goede plek hebben gevonden, verbergen ze zorgvuldig hun aanwezigheid. Hierdoor lijkt de communicatie ongestoord door te gaan  terwijl de hacker de gegevensstroom controleert. Ze kunnen ook een van beide partijen imiteren, waardoor het lijkt alsof beide partijen rechtstreeks met elkaar communiceren. Deze verborgen aanwezigheid stelt hackers in staat om alle gegevens te onderscheppen die tussen de partijen worden uitgewisseld, zelfs als deze zijn versleuteld. Denk aan e-mails, foto’s, berichten of andere bestandsformaten.

Nadat ze hun doelen hebben bereikt, verlaten de aanvallers de gecompromitteerde communicatie zonder duidelijke sporen achter te laten. De gestolen gegevens kunnen ze gebruiken voor schadelijke activiteiten zoals financiële fraude, chantage, afpersing, datalekken, phishingaanvallen of andere acties die de vertrouwelijkheid en integriteit van je privégegevens compromitteren.

Diagram met een voorstelling van een man-in-the-middle aanval waar de verbinding tussen een gebruiker en een webapplicatie wordt ondervangen door een ongeautoriseerde figuur die de informatie (al dan niet aangepast) doorstuurt naar de ontvanger.

On-path aanval versus man-in-the-middle

In cyberbeveiliging worden de termen ‘man-in-the-middle (MitM) aanvallen’ en ‘on-path aanvallen’ vaak door elkaar gebruikt, maar ze hebben enkele verschillen. Beide gaan over een aanvaller die communicatie tussen twee partijen onderschept en mogelijk manipuleert. Het verschil zit hem in hoe deze aanvallers zich positioneren binnen het digitale netwerk. 

Bij on-path aanvallen bevindt de hacker zich al ‘op het pad’ van de gegevensstroom – bijvoorbeeld door dezelfde server te delen als de verzender en de ontvanger. Dat betekent dat de hacker zich in een positie bevindt waarbij hij gegevens kan onderscheppen zonder deze van hun bedoelde route af te leiden. Daarentegen hoeft bij MitM-aanvallen de aanvaller niet per se op het directe communicatiepad tussen het slachtoffer en de bestemming te zijn. In dat geval moet de aanvaller wat initiatief nemen, zoals het slachtoffer verleiden om verbinding te maken met een vals Wifi-netwerk of ARP-spoofing gebruiken om zelf toegang te krijgen tot de gegevensstroom. Eenmaal binnen zijn MitM-aanvallers in staat om stil te luisteren en de gegevens die tussen de twee partijen over en weer gaan te manipuleren. Ze kunnen verschillende protocollen en netwerklagen aanvallen, van versleutelde sessies tot op IP gebaseerde communicatie.

Samengevat kunnen on-path aanvallen worden beschouwd als MitM-aanvallen, maar andersom is dat niet altijd het geval. On-path aanvallen zijn dus een subset van de bredere MitM-categorie, gekenmerkt door hun stillere, meer passieve aard en hun strategische plaatsing op de communicatieroute.

Vergelijking van man-in-the-middle en on-path aanvallen en hun belangrijkste kenmerken.

Soorten man-in-the-middle aanvallen

Cybercriminelen zijn buitengewoon inventief en hebben bij man-in-the-middle aanvallen meerdere methoden tot hun beschikking om communicatie tussen twee partijen te onderscheppen of te wijzigen. Hier zijn enkele technieken vaak worden ingezet:

  • Sessie overname: In dit scenario plaatst de aanvaller zichzelf tussen de computer van het slachtoffer en de webserver door een Wifi-netwerk te compromitteren of speciale software te gebruiken. Ze controleren de gegevens die worden uitgewisseld. Als de website geen veilige versleuteling gebruikt, kan de aanvaller deze gegevens eenvoudig lezen, inclusief cookies met een sessie-ID. Met deze vastgelegde cookies kan de aanvaller zich voordoen als het slachtoffer en ongeautoriseerde toegang krijgen tot de webapplicatie, zonder dat hiervoor een gebruikersnaam of wachtwoord nodig is.
  • ARP-vervalsing: ARP staat voor Address Resolution Protocol. Het is een manier voor computers in een lokaal netwerk om elkaars fysieke (MAC) adres te vinden. Bij ARP-vervalsing stuurt een hacker valse ARP-berichten om computers te misleiden, zodat ze het MAC-adres van de hacker associëren met een IP-adres dat er eigenlijk niet bijhoort. Op deze manier gaan gegevens die bedoeld zijn voor een specifieke machine naar de hacker.
  • DNS-vervalsing: DNS staat voor Domain Name System. Dat kun je vergelijken met een telefoonboek voor het internet, waarbij domeinnamen aan IP-adressen worden gekoppeld. Bij DNS-vervalsing knoeit de hacker met dit koppelsysteem. Ze leiden een domeinnaam om naar een ander IP-adres, meestal een kwaadaardige website of server. Op die manier denk je dat je een betrouwbare site bezoekt, maar word je eigenlijk ergens anders naartoe geleid. Het uiteindelijke doel is om gebruikers zover te krijgen dat ze met de valse site communiceren en mogelijk gevoelige informatie onthullen.
  • SSL/TLS overname: SSL (Secure Sockets Layer) en TLS (Transport Layer Security) zijn protocollen die de gegevens tussen je webbrowser en de server versleutelen. Bij dit type aanval probeert een hacker de beveiligingsprotocollen te doorbreken of te omzeilen die de communicatie tussen je computer en de server beschermen – SSL of de bijgewerkte versie, TLS. Op die manier kunnen ze de uitgewisselde gegevens onderscheppen of wijzigen. Veelvoorkomende manieren om dit voor elkaar te krijgen, is door gebruik te maken van zwakke punten in de SSL/TLS-configuratie, verouderde versies te gebruiken of misconfiguraties uit te buiten.
  • Wifi afluisteren: In een digitale omgeving vol met Wifi-hotspots creëren aanvallers frauduleuze netwerken die legitieme netwerken nabootsen. Argeloze gebruikers verbinden zich met deze ogenschijnlijk authentieke hotspots, waardoor aanvallers de kans krijgen om hun gegevens te onderscheppen en af te luisteren.
  • HTTP/HTTPS vervalsing: In deze slimme misleiding creëert de aanvaller een valse webpagina die precies lijkt op een vertrouwde site. Gebruikers onthullen zonder het te weten vertrouwelijke informatie, omdat ze geloven dat ze met een legitieme bron communiceren.
  • Inloggegevens sniffen: Inloggegevens sniffen houdt in dat aanvallers het netwerkverkeer monitoren, vaak binnen een onbeschermd of slecht beschermd netwerk, met het doel om inloggegevens te achterhalen. De aanvaller snuift (verzamelt) datapakketten op het netwerk, op zoek naar inloggegevens of gevoelige informatie.
  • E-mail overname: Er is sprake van e-mail overname in een man-in-the-middle aanval wanneer een aanvaller e-mails tussen twee partijen onderschept of wijzigt zonder dat deze partijen dat weten. De aanvaller plaatst zichzelf in het midden van de e-mailuitwisseling, waardoor hij de berichten kan lezen, wijzigen of omleiden. De betrokken partijen zijn zich er niet van bewust dat hun communicatie wordt gemanipuleerd.
Informatiekader over het ontstaan van man-in-the-middle aanvallen.

Man-in-the-middle aanvallen uit de praktijk

In de afgelopen jaren zijn hackers erin geslaagd verschillende organisaties succesvol te infiltreren door gebruik te maken van man-in-the-middle aanvallen. Onderstaand een aantal opmerkelijke voorbeelden:

Niewsberichten over verschillende praktijkvoorbeelden van man-in-the-middle aanvallen

Gecompromitteerde accounts van 10.000 Office 365 gebruikers

Een goed voorbeeld van een man-in-the-middle aanval is de hack van Office 365 accounts. De bekende hackergroep Lapsus$ vertrouwt vaak op verschillende tactieken om ongeautoriseerde toegang te krijgen tot netwerken en accounts. In 2022 voerden ze een succesvolle man-in-the-middle aanval uit die gericht was op meer dan 10.000 Office 365 gebruikers door de Office 365 landingspagina te vervalsen. Door inloggegevens en sessiecookies te stelen, omzeilden de aanvallers de MFA-protocollen en verkregen ze ongeautoriseerde toegang tot de e-mailaccounts van slachtoffers. Deze toegang werd misbruikt voor het uitvoeren van  BEC (Business Email Compromise) campagnes gericht op andere organisaties. Hoewel er geen meldingen waren van grote datalekken, gebruikte Microsoft dit geval om een rapport uit te brengen over hoe deze aanval typisch plaatsvindt en hoe organisaties zich tegen dit soort aanvallen kunnen beschermen.

Phishing en MitM aanval op Reddit

In een recent incident in 2023 werd het populaire social mediaplatform Reddit het doelwit van een zorgvuldig geplande phishing aanval die was gericht op een van zijn medewerkers. Na het klikken op de link werd de medewerker naar een frauduleuze, maar overtuigende replica van het intranetportaal van Reddit geleid. Daar voerden hij inloggegevens in, zonder te weten dat hij deze overhandigde aan de aanvallers. Als gevolg hiervan werd de contactinformatie van honderden medewerkers blootgesteld. Gelukkig konden de hackers geen toegang krijgen tot de primaire productiesystemen van Reddit, waar het grootste deel van de gegevens zich bevindt. Desalniettemin diende het incident als een waarschuwing voor de voortdurende kwetsbaarheden en uitdagingen bij het handhaven van robuuste cybersecuritymaatregelen.

Blootgestelde NAVO-documenten bij inbreuk op Portugese regering

In september 2022 raakte het Ministerie van Defensie van de Portugese regering verwikkeld in een cyberbeveiligingsinbreuk met verstrekkende gevolgen. Bij deze inbreuk was sprake van het ongeautoriseerd lekken van zeer gevoelige NAVO-documenten, die te koop werden aangeboden op het dark web. Een verontrustende ontwikkeling die verder reikte dan de grenzen van het land. Naarmate het onderzoek vorderde, werd duidelijk dat de inbreuk plaatsvond door onveilige communicatiekanalen, een kritische fout die de aanvallers in staat stelde om deze geclassificeerde informatie te exfiltreren. Wat deze aanval nog geniepiger maakte, was de sluwe opzet waarbij de aanvallers onopgemerkt bleven terwijl ze gegevens achterhaalden die werden gedeeld in het onveilige kanaal.

Hoe voorkom je een man-in-the-middle aanval

Het voorkomen van een man-in-the-middle (MitM) aanval vereist een proactieve aanpak die bestaat uit het versterken van je digitale verdediging en het voortdurend waakzaam blijven. Er zijn veel maatregelen die individuen en organisaties kunnen nemen om een man-in-the-middle aanval te voorkomen, waaronder:

  • Probeer HTTPS-websites te bezoeken: Het zien van het hangslotsymbool in de browser of ‘HTTPS’ in het webadres geeft je het gevoel dat je op een legitieme website bent. Hoewel het niet waterdicht is, geeft het dat extra gevoel van veiligheid dat vooral belangrijk is op sites waar je persoonlijke of financiële informatie deelt.
  • Let op URL-vervalsing: Om een vervalste URL te detecteren, kijk je naar het echte domein. Soms is het moeilijk te weten of de URL legitiem maar complex is, of dat het om een vervalste URL gaat. Zoek de eerste eenvoudige schuine streep of vraagteken van links. Ga vanaf daar terug naar links totdat je de tweede punt bereikt. Het gebied tussen die twee elementen is het domein. Als dit niet overeenkomt met de website waarvan je denkt dat je die bezoekt of als het spelfouten bevat, vertrouw de website dan in geen geval. Deze afbeelding, afkomstig van onze e-learningmodules, kan je helpen bij het identificeren van alle verschillende onderdelen van een adresregel (URL):
Scherm met een URL en de 5 belangrijkste onderdelen die je als gebruiker kunt controleren om te zien of het om URL vervalsing gaat.
  • Gebruik beveiligde netwerken: Wees selectief wat betreft de netwerken waarmee je verbinding maakt. Kies voor beveiligde en vertrouwde netwerken bij het benaderen van gevoelige informatie of het uitvoeren van financiële transacties. Vermijd openbare Wifi-netwerken; deze zijn vaak doelwit van man-in-the-middle aanvallen.
  • Implementeer sterke authenticatie: Gebruik waar mogelijk multifactorauthenticatie (MFA). Dit voegt een extra beveiligingslaag toe door meer dan alleen een wachtwoord te vereisen voor toegang. MFA maakt het aanzienlijk moeilijker voor aanvallers om zich voor te doen als jou.
  • Update software regelmatig: Houd je besturingssysteem, webbrowsers en beveiligingssoftware up-to-date. Software-updates bevatten vaak beveiligingspatches die kunnen helpen beschermen tegen man-in-the-middle aanvallen.
  • Wees voorzichtig met e-mail phishing: Wees voorzichtig bij het klikken op links of het downloaden van e-mailbijlagen. Man-in-the-middle aanvallers initiëren vaak aanvallen via phishing-e-mails. Verifieer de authenticiteit van de afzender en de inhoud voordat je actie onderneemt.
  • Gebruik Virtual Private Networks (VPN’s): Maak gebruik van een betrouwbare VPN, vooral bij het verbinden met openbare Wifi-netwerken. VPN’s versleutelen je gegevensverkeer en leiden het door beveiligde servers, waardoor het aanzienlijk moeilijker wordt voor man-in-the-middle aanvallers om je gegevens te onderscheppen of te manipuleren.
  • Verifieer digitale handtekeningen: Bij het downloaden van bestanden of software-updates, zorg ervoor dat ze digitaal zijn ondertekend door de legitieme uitgever. Digitale handtekeningen dienen als een vorm van authenticatie en garanderen de integriteit van de inhoud.
  • Onderzoek certificaatwaarschuwingen: Wanneer je een website bezoekt, controleert je browser het SSL/TLS-certificaat van de site om te controleren of het geldig is. Als er iets mis is, ontvang je een waarschuwing. Als je webbrowser of e-mailclient onverwachte beveiligingscertificaatwaarschuwingen of fouten weergeeft, onderzoek dan de bron van deze waarschuwingen in plaats van gedachteloos door te gaan. Ze kunnen pogingen tot man-in-the-middle aanvallen of gecompromitteerde beveiligingscertificaten aan het licht brengen. Deze waarschuwingen verschijnen meestal als browserdisclaimers met de tekst ‘Je verbinding is niet veilig’ of als een pop-up als je een e-mailclient gebruikt.
  • Informeer en train eindgebruikers: Informeer medewerkers over het belang van veiligheidsbewustzijn. Moedig hen aan om eventuele ongebruikelijke netwerkgedragingen, waarschuwingsberichten of beveiligingsproblemen die ze tegenkomen, onmiddellijk te melden. Op die manier draagt iedereen bij aan een gezamenlijke verdediging tegen man-in-the-middle dreigingen.

Beveiliging van communicatie: Hoe bescherm je je organisatie tegen man-in-the-middle aanvallen

In een tijdperk waarin digitale connectiviteit een integraal onderdeel van ons leven is, is het van cruciaal belang om de dreiging van man-in-the-middle (MitM) aanvallen te begrijpen en te weten hoe je ze bestrijdt. Sluwe hackers opereren in de schaduwen, met als doel onze gevoelige gegevens en privacy te compromitteren. Zonder bewustzijn en voorbereiding loop je het risico slachtoffer te worden van hun verborgen tactieken.

Het trainen van medewerkers om deze aanvallen te detecteren en te voorkomen dat ze plaatsvinden, is altijd de beste optie om je organisatie veilig te houden. Onze gegamificeerde e-learningmodules zijn ontworpen om je medewerkers effectief te betrekken en te trainen op dit onderwerp, terwijl je tegelijkertijd het belang van  beveiliging onder de aandacht houdt. De e-learningmodules bevatten gepersonaliseerde, verhalende inhoud en elementen van gamificatie voor verhoogde betrokkenheid.

Bewustwordingstraining is nog effectiever wanneer medewerkers kunnen oefenen met wat ze hebben geleerd in echte situaties. Door een veilige en gecontroleerde omgeving te bieden, bootsen de phishing simulaties van SoSafe echte aanvallen na waarmee organisaties hun medewerkers kunnen testen om te zien of ze klaar zijn voor het bestrijden van verschillende phishing-tactieken die je ziet bij man-in-the-middle aanvallen, zoals bijvoorbeeld URL-vervalsing. Hiermee krijg je inzicht in de huidige cyberveerkracht van je organisatie en versterk je je beveiligingscultuur.

Wil je veilig door het digitale domein kunnen navigeren? Zorg dan dat jij en je collega’s waakzaamheid en goed geïnformeerd zijn zodat je de voortdurend evoluerende dreiging van cyberaanvallen de baas blijft. Door je medewerkers uit te rusten met kennis over de opkomende digitale dreigingen en robuuste cyberbeveiligingsmaatregelen te implementeren, versterk je je verdediging, bescherm je je digitale interacties en blijf je beschermd tegen dreigingen die altijd op de loer liggen.