GlobalSign Blog

10 sep. 2019

Wat is een man-in-the-middle-aanval en hoe kunt u deze voorkomen?

In 2015 stal een groep cybercriminelen in België in totaal 6 miljoen euro door middelgrote en grote Europese bedrijven te hacken. De hackers slaagden erin toegang te krijgen tot e-mailaccounts van het bedrijf en vroegen geld aan klanten via de gehackte accounts. Volgens een officieel persbericht van Europol omvatte de modus operandi van de groep het gebruik van malware en social engineering-technieken. Zodra ze toegang tot de accounts hadden, controleerden ze de communicatie nauwgezet om betalingsverzoeken te detecteren en over te nemen. Dit indrukwekkende vertoon van hackingtechnieken is een uitstekend voorbeeld van een man-in-the-middle-aanval. Uw bedrijf kan best een van de getroffen Europese bedrijven zijn.

Wat is een man-in-the-middle-aanval (MITM)?

Een MITM-aanval vindt plaats wanneer communicatie tussen twee systemen wordt onderschept door een externe entiteit. Dit kan gebeuren in elke vorm van online communicatie, zoals e-mail, social media, surfen op het web enz. Hackers proberen niet alleen uw privégesprekken af te luisteren, ze kunnen ook uit zijn op alle informatie in uw apparaten.

Zonder rekening te houden met de technische aspecten kan het concept van een MITM-aanval worden beschreven in een eenvoudig scenario. Laten we teruggaan naar de tijd dat mensen nog brieven verstuurden. Jeroen schrijft een brief aan Laura waarin hij zijn liefde voor haar verklaart. Hij stuurt zijn brief naar het postkantoor en daar komt deze terecht bij een nieuwsgierige postbode. Hij opent de brief en besluit, gewoon voor de lol, om de brief opnieuw te schrijven voordat hij deze aan Laura bezorgt. Het resultaat is dat Laura Jeroen voor de rest van haar leven haat nadat "Jeroen" haar een vette koe heeft genoemd. Het moraal van het verhaal is dat de postbode een eikel is en dat geldt ook voor hackers.

Een moderner voorbeeld is een hacker die zich tussen u (en uw browser) en de website die u bezoekt bevindt om de gegevens die u op de site invoert te onderscheppen en verzamelen, zoals aanmeldgegevens of financiële gegevens.

Hoe werkt een man-in-the-middle-aanval?

Door de jaren heen hebben hackers verschillende manieren ontwikkeld om MITM-aanvallen uit te voeren en, geloof het of niet, is het relatief goedkoop geworden om online een hackingtool te kopen. Dat bewijst hoe makkelijk het kan zijn om iemand te hacken als je maar genoeg geld hebt. Hieronder vindt u enkele veelvoorkomende soorten MITM-aanvallen waarmee uw bedrijf geconfronteerd kan worden:

Email Hijacking

Net als in het bovenstaande voorbeeld richten hackers die deze tactiek gebruiken zich op e-mailaccounts van grote organisaties, vooral financiële instellingen en banken. Zodra ze toegang krijgen tot belangrijke e-mailaccounts, volgen ze de transacties om hun uiteindelijke aanval zo overtuigend mogelijk te maken. Ze kunnen bijvoorbeeld wachten op een scenario waarin de klant geld verstuurt en via een vals e-mailadres van het bedrijf reageren met hun eigen bankgegevens in plaats van die van het bedrijf. Hierdoor denkt de klant dat hij zijn betaling naar het bedrijf verstuurt, terwijl hij die eigenlijk rechtstreeks naar de hacker stuurt.

Niet alleen grote bedrijven kunnen het slachtoffer worden van dit soort aanval. Iets vergelijkbaars gebeurde met Paul Lupton uit Londen. Nadat hij zijn huis verkocht, stuurde hij zijn bankrekeninggegevens naar zijn notaris om de opbrengst van meer dan 330.000 pond te innen. Hij wist echter niet dat hackers toegang hadden gekregen tot zijn e-mailaccount en zijn communicatie volgden. De hackers zagen een gouden kans en stuurden snel een nieuwe e-mail naar de notaris op naam van Lupton, met de vraag om zijn vorige e-mail te negeren en het geld naar een andere rekening (eigendom van de hacker) over te maken. Het geld werd overgemaakt naar de rekening van de hacker, maar gelukkig besefte Lupton al snel wat er gebeurd was en kon hij het merendeel van het geld recupereren. Helaas lopen de meeste van deze aanvallen niet zo goed af.

Wi-Fi Eavesdropping

De meeste MITM-aanvallen maken gebruik van wifiverbindingen. Een methode is dat hackers een wifiverbinding opzetten met een naam die legitiem klinkt. Alles wat de hacker moet doen, is wachten tot u verbinding maakt en hij krijgt meteen toegang tot uw apparaat. Een hacker kan ook een vals wifi-knooppunt creëren, vermomd als een legitiem wifi-toegangspunt, om de persoonlijke gegevens te stelen van iedereen die hiermee verbinding maakt.

Session Hijacking

Zodra u inlogt op een website, wordt er een verbinding tussen uw computer en de website tot stand gebracht. Hackers kunnen uw sessie met de website op verschillende manieren kapen. Een populaire methode is uw browsercookies stelen. Voor wie het nog niet wist, cookies zijn kleine stukjes informatie die surfen of internet gemakkelijk maken. Dit kunnen uw online activiteiten, logingegevens, ingevulde formulieren en, in sommige gevallen, uw locatie zijn. Als hackers uw inlogcookies kunnen bemachtigen, kunnen ze makkelijk inloggen op uw accounts en uw identiteit aannemen.

Hoe kunt u uw netwerken beschermen tegen deze aanvallen?

MITM-aanvallen kunnen u echt overweldigen met hun basisconcept alleen, maar dat betekent niet dat u ze niet kunt voorkomen. PKI-technologie kan u beschermen tegen een aantal van de aanvallen die we hierboven hebben besproken.

S/MIME

Secure/Multipurpose Internet Mail Extensions, of afgekort S/MIME, versleutelt uw e-mails voor of tijdens de overdracht, zodat alleen bedoelde ontvangers deze kunnen lezen en hackers op geen enkele manier uw berichten kunnen onderscheppen en manipuleren.

Bovendien kunt u met S/MIME uw e-mail digitaal ondertekenen met een digitaal certificaat dat uniek is voor elk persoon. Dit koppelt uw virtuele identiteit aan uw e-mail en geeft uw ontvangers de zekerheid dat de e-mail die ze ontvangen werkelijk van u afkomstig is (en niet van een hacker die toegang heeft tot uw mailserver). Dit was uiteraard nuttig geweest in het eerdere voorbeeld van Europol. Hoewel de hackers toegang hadden tot de mailservers van het bedrijf, zouden ze om de berichten digitaal te ondertekenen ook toegang moeten hebben tot de privé sleutels van werknemers, die doorgaans elders op een veilige plaats worden bewaard. Berichten standaard digitaal ondertekenen en ontvangers leren dat ze alleen berichten van uw bedrijf mogen vertrouwen die ondertekend zijn, kan het verschil tussen legitieme en valse e-mails duidelijk maken.

Authenticatie certificaten

Hackers zullen nooit verdwijnen, maar u kunt het hen wel vrijwel onmogelijk maken om in uw systemen binnen te dringen (bijv. wifinetwerken, e-mailsystemen, interne netwerken) door authenticatie op basis van certificaten te implementeren voor alle machines en apparaten van werknemers. Dat betekent dat alleen eindpunten met correct geconfigureerde certificaten toegang krijgen tot uw systemen en netwerken. Certificaten zijn gebruiksvriendelijk (er is geen extra hardware of uitgebreide gebruikersopleiding nodig) en implementaties kunnen geautomatiseerd worden om het werk van de IT te vereenvoudigen en hackers hun haren uit het hoofd te laten trekken.

Wat is HTTP-interceptie?

HTTP is het meest gebruikte internetprotocol. De meeste dingen die we online doen zijn op HTTP geïmplementeerd, van gewoon surfen tot instant messaging. Helaas is HTTP-communicatie niet beveiligd en relatief makkelijk te onderscheppen, wat het een belangrijk doelwit voor MITM-aanvallen maakt. Zoals eerder vermeld kunnen hackers zich tussen eindgebruikers en de website waarmee deze verbonden zijn bevinden en hun communicatie onderscheppen, inclusief alle informatie die ze naar de website verzenden, zonder dat de gebruiker dit merkt.

Hoe voorkomt u de interceptie van HTTP?

SSL/TLS-certificaten

Als uw website nog steeds het kwetsbaardere HTTP-protocol gebruikt, is het tijd om te upgraden naar het veiligere HTTPS-protocol via SSL/TLS-certificaten. Een TLS-certificaat activeert het HTTPS-protocol, de veiligere versie van HTTP. Dit zorgt voor een versleutelde, veilige verbinding tussen uw server en de computers van uw klanten, waardoor alle informatie veilig is voor nieuwsgierige hackers.

TLS-certificaten kunnen uw domeinnaam en de identiteit van uw organisatie ook aan elkaar koppelen wanneer u een Organization Validated (OV)- of Extended Validation (EV)-certificaat gebruikt. EV-certificaten geven uw identiteitsgegevens een centrale plaats en geven de naam van uw organisatie rechts in de URL-balk weer. Dit geeft de bezoekers van uw site vertrouwen dat de site een legitieme site van uw bedrijf en geen valse site is.

Systeem- en serverconfiguraties

U kunt nog niet op uw lauweren rusten. Zodra TLS geïmplementeerd is, moet u dit nog configureren. Zorg ervoor dat uw website geen gemengde inhoud of pagina-elementen bevat die worden geladen via een HTTP-protocol (bv. foto's, scripts, widgets). Zo sluit u alle achterdeurtjes voor aspirant-hackers. U zorgt er best ook voor dat alle links naar andere sites via HTTPS gaan. Zorg ervoor dat uw inlogformulieren beveiligd zijn met HTTPS om te voorkomen dat aanmeldgegevens worden gestolen. Mozilla doet dit al uitstekend door te voorkomen dat gebruikers formulieren onder HTTP-protocollen invullen. In dat geval wordt de waarschuwing "onveilige verbinding" en een doorstreept hangslotpictogram weergegeven. Zorg ervoor dat alle hyperlinks op uw website het HTTPS-protocol gebruiken.

Het is ook belangrijk dat uw server correct geconfigureerd is (bijv. door de gangbare best practices voor protocollen, algoritmen enz. te gebruiken). U moet er bijvoorbeeld voor zorgen dat de protocollen SSL2, SSL3 en TLS1 zijn uitgeschakeld; alleen TLS 1.1 en 1.2 mogen zijn ingeschakeld. Bij de configuratie moet u met veel dingen rekening houden en de aanbevolen best practices veranderen voortdurend naarmate er nieuwe kwetsbaarheden ontdekt worden. De SSL Server Test van GlobalSign is een handige en uitgebreide tool waarmee u kunt controleren of uw server correct is geconfigureerd.

HSTS over HTTPS

Zoals eerder vermeld hebben hackers manieren gevonden om TLS te omzeilen. Zelfs als u een HTTPS-verbinding aanvraagt (u typt bijvoorbeeld https://www.voorbeeld.com in), kunnen hackers de aanvraag wijzigen in HTTP, waardoor u naar http://www.voorbeeld.com gaat, zonder versleutelde verbinding. Door HTTP Strict Transport Security of HSTS te implementeren, kunt u dit soort aanval helpen voorkomen. Deze richtlijn voor webservers dwingt elke webbrowser of app om verbinding te maken met HTTPS en alle inhoud die HTTP als protocol gebruikt te blokkeren. HSTS voorkomt ook dat hackers informatie uit uw browsercookies halen, waardoor uw website doeltreffend beschermd wordt tegen session hijackers.

Hebt u nog vragen over man-in-the-middle-aanvallen? Stuur ons uw vragen en suggesties naar verkoop@globalsign.com.

Bezoek onze website voor meer informatie over onze oplossingen voor de beveiligingsbehoeften van uw bedrijf.

Share this Post

Hoe bekijk je de gegevens van SSL-certificaten in iedere browser

Hoe onderscheid ik een valse e-mail van een echte?