Vad är en man in the middle attack?

Målet med en man-in-the-middle-attack

Syftet med en man-in-the-middle-attack är att angriparen ska komma åt känslig information. Det kan handla om inloggningsuppgifter, kontoinformation eller kreditkortsnummer.

De som oftast drabbas är användare av tjänster där man måste logga in, som bank- och betaltjänster, SaaS-tjänster, e-handel och andra hemsidor med personliga inloggningar. 

Informationen som angriparen får tag i kan sedan användas till flera saker, till exempel:

• Identitetsstöld
• Otillåtna överföringar av pengar
• Byte av lösenord utan tillåtelse

En MITM-attack kan också vara ett sätt för en angripare att ta sig in i ett skyddat nätverk, som ett första steg i en mer avancerad och långvarig attack (APT).

Tänk dig det som att en brevbärare skulle öppna ditt bankbrev, skriva ner dina kontouppgifter, sedan försegla kuvertet igen och leverera det som om inget hänt.

Hur går en MITM-attack till?

För att en man-in-the-middle-attack ska lyckas brukar den ske i två steg:

• Avlyssning (interception)
• Dekryptering (decryption)

1. Avlyssning (Interception)

   
   

Först behöver angriparen fånga upp trafiken mellan användaren och hemsidan/tjänsten, innan den når sin riktiga destination.

Det vanligaste är att angriparen skapar ett gratis WiFi-nätverk som ser “normalt” ut, exempelvis:

• “Café_WiFi”
• “Hotel_Guest”

Ofta saknar nätverket lösenord. Om någon kopplar upp sig kan angriparen se och följa datatrafiken som skickas.

Om angriparen vill göra mer än att bara “sitta och lyssna” kan hen använda olika knep för att lura trafiken att gå via angriparen:

• IP-spoofing

Angriparen låtsas vara en verklig hemsida eller tjänst. Då blir du skickad till angriparens sida istället för den riktiga, utan att du märker det.

• ARP-spoofing

Angriparen lurar nätverket så att din dator tror att angriparen är den riktiga mottagaren. Då kan information du skickar på nätverket råka hamna hos angriparen.

• DNS-spoofing (DNS cache poisoning)

Angriparen manipulerar DNS, som fungerar som internets adressbok. Då kan du skriva in rätt webbadress, men ändå hamna på den felaktiga hemsidan som angriparen kontrollerar.

2. Dekryptering (Decryption)

   
   

Efter att trafiken fångats upp måste angriparen ibland låsa upp (dekryptera) skyddad trafik utan att användaren märker något.

Några vanliga metoder innefattar:

• HTTPS-spoofing

Angriparen skickar ett falskt certifikat till hemsidan. Då kan angriparen se information som användaren skriver in innan det skickas vidare.

• SSL BEAST

En attack som utnyttjar en svaghet i äldre TLS (1.0). Offret kan infekteras med skadlig kod som fångar upp krypterade cookies och gör dem möjliga att knäcka.

• SSL hijacking

Angriparen manipulerar uppkopplingen i starten av anslutningen och kan skapa en anslutning som ser säker ut – men där angriparen kontrollerar hela sessionen.

• SSL stripping

Angriparen tvingar ner anslutningen från HTTPS till HTTP. Då tror användaren att sidan är normal, men kommunikationen går utan kryptering, vilket gör att angriparen kan läsa allt.

Hur skyddar man sig mot MITM-attacker? 

För att stoppa MITM-attacker behövs både bra användarbeteende och tekniska skydd.

För användare

• Undvik WiFi som inte har lösenord
• Lyssna på varningar i webbläsaren om “osäker webbplats”
• Logga ut från viktiga tjänster när du är klar
• Undvik publika nätverk (café/hotell) vid känsliga saker som bankärenden eller betalningar

För ägare av hemsidor och tjänster

• Använd TLS/HTTPS för att kryptera och verifiera trafiken
• Kryptera alla sidor, inte bara inloggningssidan (annars kan angripare stjäla session-cookies när användaren rör sig på oskyddade delar av sidan)

Vill du minska risken direkt? Aktivera 2FA på dina viktigaste konton.

Exempel på Man-in-the-middle attacker

Här är några färska exempel som visar hur MITM-attacker fortfarande används och är ett stort säkerhetshot runt om i världen. 

Intrång i amerikanska telekomnät (2024–2025)

Under 2024 och början av 2025 drabbades flera stora telekombolag i USA av attacker kopplade till en statsstödd grupp som kallas Salt Typhoon.

Angriparna tog sig djupt in i operatörernas nätverk och kunde genom MITM-liknande metoder fånga upp kommunikation, som samtalsdata och annan känslig information, utan att upptäckas direkt. Intrånget bedöms vara ett av de mest omfattande telekomintrången i USA.

Kombinerad phishing- och MITM-attack mot Tesla

Under 2024 kunde säkerhetsforskare visa hur en angripare kombinerade nätfiske (phishing) med en MITM-liknande attack mot Tesla-användare. 

Genom att lura användaren att logga in via en falsk sida kunde säkerhetsforskarna fånga upp inloggningsuppgifter i realtid och därefter registrera en ny “phone key” på offrets konto. Det gav angriparen möjlighet att få fjärråtkomst till bilen och på så sätt låsa upp och till och med starta den. 

Syftet var att visa att MITM-attacker inte bara handlar om osäkra WiFi-nätverk – de kan också ske genom att angriparen lägger sig mellan användaren och inloggningstjänsten och manipulerar själva inloggningsprocessen.