Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Man-in-the-middle aanval

Aanvallen

Een aanval waarbij een aanvaller zich tussen twee partijen bevindt. De partijen denken direct met elkaar te communiceren. Echter de aanvaller is in staat informatie af te luisteren en/of te wijzigen en hier misbruik van te maken.

Een man-in-the-middle aanval (MITM) is een aanvalstechniek waarbij een kwaadwillende zich onopgemerkt positioneert tussen twee communicerende partijen om verkeer af te luisteren, te manipuleren of te onderscheppen. De aanvaller fungeert als een onzichtbare tussenpersoon: beide partijen denken rechtstreeks met elkaar te communiceren, terwijl al hun verkeer via de aanvaller loopt. MITM-aanvallen bedreigen de vertrouwelijkheid en integriteit van elke vorm van digitale communicatie, van e-mail en chat tot financiele transacties en VPN-verbindingen.

MITM-aanvallen bestaan al sinds de vroegste dagen van netwerkcommunicatie, maar blijven relevant door de toenemende afhankelijkheid van digitale communicatie in zakelijke omgevingen. Met de opkomst van thuiswerken, openbare wifi-netwerken en cloudgebaseerde diensten is het aanvalsoppervlak voor MITM-aanvallen groter dan ooit geworden. Een succesvolle MITM-aanval kan dan leiden tot het onderscheppen van credentials, het manipuleren van financiele transacties, het stelen van bedrijfsgevoelige communicatie of het injecteren van malware in downloads updates en bestanden.

Hoe werkt een man-in-the-middle aanval?

Een MITM-aanval bestaat doorgaans uit twee fasen: interceptie en manipulatie. In de interceptiefase krijgt de aanvaller toegang tot het communicatiekanaal tussen twee partijen. Dit kan op verschillende manieren. Bij een wifi-gebaseerde MITM-aanval zet de aanvaller een nep-accesspoint op (evil twin) dat dezelfde naam draagt als een legitiem netwerk, zoals het wifi-netwerk van een hotel of luchthaven. Nietsvermoedende gebruikers verbinden zich met dit nepnetwerk, waarna al hun verkeer via de aanvaller loopt.

ARP spoofing is een techniek waarbij de aanvaller valse ARP-berichten verstuurt op een lokaal netwerk om zijn eigen MAC-adres te koppelen aan het IP-adres van een ander apparaat, zoals de default gateway. Hierdoor wordt al het netwerkverkeer dat bestemd is voor de gateway eerst via de aanvaller gerouteerd. DNS spoofing manipuleert DNS-antwoorden zodat domeinnamen naar IP-adressen van de aanvaller worden vertaald in plaats van naar de legitieme servers.

HTTPS spoofing en SSL stripping zijn technieken die beveiligde verbindingen ondermijnen. Bij HTTPS spoofing presenteert de aanvaller een nagemaakte website met een vervalst of zelfondertekend SSL-certificaat. Bij SSL stripping downgradet de aanvaller een beveiligde HTTPS-verbinding naar onversleuteld HTTP, waardoor het verkeer leesbaar wordt. Modernere browsers waarschuwen voor ongeldige certificaten, maar gebruikers klikken deze waarschuwingen regelmatig weg zonder de implicaties ervan te begrijpen.

In de manipulatiefase kan de aanvaller het onderschepte verkeer passief afluisteren (eavesdropping) of actief wijzigen. Bij actieve manipulatie kan de aanvaller transactiebedragen aanpassen, bestemmingsrekeningnummers wijzigen, malware injecteren in downloads, of communicatie-inhoud veranderen. Session hijacking is een variant waarbij de aanvaller sessiecookies steelt om een actieve ingelogde sessie over te nemen zonder het wachtwoord te kennen.

Hoe herken je een man-in-the-middle aanval?

MITM-aanvallen zijn per definitie ontworpen om onzichtbaar te zijn, maar er zijn signalen die erop kunnen wijzen. Let allereerst op je browser. Browserwaarschuwingen over ongeldige of onbetrouwbare SSL-certificaten zijn een van de meest directe indicatoren. Als je regelmatig certificaatwaarschuwingen ziet voor websites die je eerder zonder problemen hebt bezocht, kan er een MITM-aanval gaande zijn.

Onverklaarbare vertragingen in netwerkverkeer kunnen wijzen op een tussenpersoon die het verkeer moet verwerken en doorsturen. Onverwachte omleidingen van HTTPS naar HTTP, of het verdwijnen van het hangslotpictogram in je browser, zijn eveneens belangrijke waarschuwingssignalen. Controleer regelmatig de ARP-tabellen op je netwerk: meerdere IP-adressen die gekoppeld zijn aan hetzelfde MAC-adres kunnen wijzen op ARP spoofing. Op mobiele apparaten is een plotselinge afname van de verbindingssnelheid of het verschijnen van extra authenticatieverzoeken eveneens een waarschuwingssignaal.

In een bedrijfsomgeving kunnen intrusion detection systemen (IDS) MITM-gerelateerde activiteiten automatisch detecteren, zoals ARP anomalieen, DNS-afwijkingen en ongeautoriseerde DHCP-servers op het netwerk. Netwerkmonitoiring die ongebruikelijke verkeerspatronen signaleert, zoals verkeer dat via een onverwacht tussenstation wordt gerouteerd, helpt bij het identificeren van actieve MITM-aanvallen. Het monitoren van DNS-responses op afwijkingen ten opzichte van bekende goede waardes is een effectieve detectiemethode voor MITM.

Hoe bescherm je je tegen een man-in-the-middle aanval?

De primaire verdediging tegen MITM-aanvallen is sterke versleuteling van alle communicatie. Gebruik altijd HTTPS-verbindingen en controleer of het SSL-certificaat geldig is en is uitgegeven door een vertrouwde Certificate Authority. Implementeer HTTP Strict Transport Security (HSTS) op je webservers om te voorkomen dat verbindingen worden gedowngraded naar HTTP. Gebruik een VPN wanneer je verbindt via openbare wifi-netwerken om een versleutelde tunnel te creeren die MITM-aanvallen op het wifi-niveau neutraliseert.

Op netwerkniveau implementeer je Dynamic ARP Inspection (DAI) en DHCP snooping op je switches om ARP spoofing en rogue DHCP-servers te detecteren en blokkeren. Gebruik DNSSEC om DNS-antwoorden te authenticeren en DNS spoofing te voorkomen. Implementeer certificate pinning in kritieke applicaties om te garanderen dat alleen specifieke, bekende certificaten worden geaccepteerd.

Implementeer multi-factor authenticatie op alle kritieke systemen zodat gestolen credentials alleen onvoldoende zijn voor toegang. Gebruik end-to-end versleuteling voor gevoelige communicatie, zodat zelfs als het transportkanaal wordt gecompromitteerd, de inhoud onleesbaar blijft. Train medewerkers om certificaatwaarschuwingen serieus te nemen, geen gevoelige activiteiten uit te voeren op openbare wifi-netwerken, en verdachte netwerkomstandigheden te melden bij de IT-afdeling. Segmenteer je netwerk zodat een eventuele MITM-aanval beperkt blijft tot een enkel segment en niet het volledige bedrijfsnetwerk kan treffen. Overweeg e-mailbeveiliging met DMARC, SPF en DKIM om e-mail-gebaseerde MITM-aanvallen te voorkomen.

Veelgestelde vragen over man-in-the-middle aanvallen

Kan een MITM-aanval plaatsvinden op een beveiligd wifi-netwerk?

Ja, als een aanvaller toegang heeft tot hetzelfde netwerk, kan hij via ARP spoofing een MITM-positie innemen, zelfs op een met WPA2 of WPA3 beveiligd netwerk. Netwerkbeveiliging voorkomt alleen onderschepping van buitenaf, niet van binnenuit.

Beschermt HTTPS volledig tegen MITM-aanvallen?

HTTPS biedt sterke bescherming maar is zeker niet onfeilbaar. Als de aanvaller een geldig certificaat kan verkrijgen voor het doeldomein, of als de gebruiker certificaatwaarschuwingen negeert, kan een MITM-aanval alsnog slagen. HSTS en certificate pinning bieden extra bescherming.

Wat is een evil twin-aanval?

Een evil twin is een nep wifi-accesspoint dat dezelfde naam heeft als een legitiem netwerk. Apparaten verbinden automatisch met het sterkste signaal en kunnen zo met het nepnetwerk verbinden. De aanvaller kan vervolgens al het verkeer via dit accesspoint onderscheppen.

Kan een VPN beschermen tegen MITM-aanvallen?

Ja, een VPN creeert een versleutelde tunnel die het verkeer beschermt tegen onderschepping op het lokale netwerk. Zelfs als een aanvaller het wifi-verkeer kan onderscheppen, kan hij de versleutelde VPN-data niet lezen. Kies een betrouwbare VPN-provider met sterke encryptie.

Hoe verschilt een MITM-aanval van eavesdropping?

Eavesdropping is passief afluisteren van verkeer zonder het te wijzigen. Een MITM-aanval kan zowel passief als actief zijn: de aanvaller kan verkeer niet alleen afluisteren maar ook wijzigen, omleiden of blokkeren. MITM is daardoor gevaarlijker dan puur passieve eavesdropping.

Is een MITM-aanval ook mogelijk bij interne bedrijfscommunicatie?

Ja, interne netwerken zijn kwetsbaar voor ARP spoofing en DNS manipulatie als er geen bescherming is geconfigureerd op switchniveau. Implementeer Dynamic ARP Inspection, port security en 802.1X authenticatie om ongeautoriseerde apparaten en MITM-pogingen op je interne netwerk te detecteren en blokkeren.

Beveilig je netwerkverkeer. Vergelijk VPN & Secure Remote Access aanbieders op IBgidsNL.