Vanlig förklaring av MITM stannar vid "någon lyssnar". Det fångar inte vad som faktiskt händer. Den här lektionen visar mekaniken: hur en angripare hamnar i mitten, vad de kan göra där, och varför "S" i HTTPS är det enda som faktiskt stoppar dem.
01Hur en normal anslutning ser ut
När du surfar går trafiken så här:
Din dator skickar paket till din router. Routern skickar dem vidare ut på internet. Internet får dem till sajtens server. Sajten svarar tillbaka samma väg.
02Hur en MITM ser ut
I en MITM-attack ser kedjan ut såhär:
Angriparen är inte "någon som lyssnar i bakgrunden". Hen är en obligatorisk station på vägen. Din trafik måste gå igenom hen för att nå sin destination. Och eftersom hen sitter i mitten kan hen göra fyra saker:
- Läsa — se exakt vad du skickar (lösenord, mejl, kreditkortsnummer)
- Ändra — modifiera det du skickar innan det når sajten (ändra mottagarkonto i en banköverföring)
- Injicera — lägga till saker (sätta in malware-länkar i de webbsidor du laddar)
- Sluta vidare — blockera vissa requests så de aldrig kommer fram
03Så hamnar de i mitten — tre vanliga sätt
Sätt 1 — Evil Twin på caféet
- Du sitter på "Café Karlsson" och vill kolla mejl. Du letar efter deras WiFi.
- I listan över WiFi-nät ser du både
Cafe_Karlsson_WiFiochCafé Karlsson Gratis WiFi. Du väljer den som ser ut att vara cafés. - Men den med "Gratis" i namnet är angriparens — hen sitter två bord bort med en bärbar Raspberry Pi som sänder ut ett fejk-WiFi med starkare signal än cafés.
- Din telefon kopplar upp sig till hens nät. Internet funkar fortfarande — angriparen vidarebefordrar trafiken till sin egen mobildata.
- Men nu går all din trafik genom angriparens dator först. Hen ser allt.
Sätt 2 — ARP-spoofing på samma WiFi
- Du är ansluten till det riktiga café-WiFi:t — inget Evil Twin den här gången.
- Angriparen är också på samma WiFi (det är offentligt).
- Med ett verktyg som
arpspoofskickar hens dator ut falska "ARP-meddelanden" — i princip skriker hen ut till alla på nätet: "Hej, jag är routern, skicka allt till mig." - Din dator tror på det (ARP är ett protokoll utan kontroll) och börjar skicka all sin internet-trafik till angriparens dator istället för till den riktiga routern.
- Angriparen läser det och skickar vidare till riktiga routern. Du märker inget — sajterna funkar lika snabbt som innan.
Sätt 3 — Komprometterad router
- Du sitter på hotellet och kopplar upp dig mot deras WiFi. Allt verkar normalt.
- Vad du inte vet: routern på hotellet är hackad sedan månader. Den var en billig konsumentmodell med ett känt sårbart firmware som aldrig uppdaterades.
- Angriparen som ligger bakom hacket har modifierat routern att skicka kopior av all trafik till en server hen kontrollerar.
- Det är inte längre en aktiv attack — det är permanent. Alla hotellgäster i månader får sin trafik avlyssnad utan att veta om det.
04Vad HTTPS faktiskt gör mot detta
HTTPS (det "S":et och hänglåset i webbläsaren) är specifikt designat för att stoppa MITM. Här är hur:
1. Kryptering. Hela kommunikationen är krypterad med en nyckel som bara du och sajten har. Angriparen i mitten ser bara obegriplig text. Hen vet att du surfar till example.com, men inte vad du skickar.
2. Certifikat. Innan kryptering startar visar sajten ett certifikat som bevisar "jag är example.com" — signerat av en pålitlig myndighet (Let's Encrypt, DigiCert, Sectigo). Din browser kontrollerar signaturen.
Om angriparen försöker fejka en HTTPS-anslutning till example.com behöver hen ett giltigt certifikat för example.com — och det får hen inte. Browserns reaktion blir då:
Klicka aldrig förbi den varningen. Det är browsern som upptäcker MITM och stoppar dig. Om du klickar "Fortsätt ändå" så ger du angriparen full insyn.
05Var HTTPS inte räcker
HTTPS skyddar innehållet men inte vissa metadata:
- DNS-frågor — angriparen ser att du frågade "vad är IP:n till instagram.com" (om du inte använder DNS-over-HTTPS)
- SNI (Server Name Indication) — i början av HTTPS-handskakning skickas sajtens namn i klartext
- IP-adresser — angriparen ser vilka IP:er du pratar med
- Trafikmönster — när och hur mycket data du skickar är synligt
En VPN (eller Tor) lägger ett extra lager och döljer även det här. Se lektion 18 om anonymitet.
06Andra MITM-varianter värd att kunna
- SSL Stripping — angriparen tvingar din anslutning att downgrad:a från HTTPS till HTTP, så de kan läsa innehållet. Försvar: HSTS (HTTP Strict Transport Security) som många sajter har på.
- BGP-hijacking — angriparen påverkar internet-routing så att hela trafiken till en sajt går via deras servrar. Sällsynt men förödande; mest statliga aktörer.
- Malware-MITM — malware på din dator agerar som MITM mellan din browser och resten. Den klassiska bank-trojanen Zeus fungerade så.
07Försvar
- Använd alltid HTTPS. Tillägget "HTTPS Everywhere" var standard förr; numera tvingar Chrome och Firefox HTTPS automatiskt. Men kolla låset — om det är ett "Inte säkert" i adressfältet, skicka aldrig in något du inte vill ska läsas.
- Klicka aldrig förbi certifikatvarningar. "Din anslutning är inte privat" betyder att MITM kan pågå just nu. Gå hem och prova från ett annat nätverk.
- VPN på offentligt WiFi. Mullvad, ProtonVPN. VPN krypterar all trafik från din dator till VPN-servern, så även en MITM på café-WiFi ser bara skräp.
- Använd 4G/5G istället för okänt WiFi när det är möjligt. Mobil-nät är inte immuna mot MITM, men avsevärt svårare att attackera än ett café-WiFi.
- Använd DNS-over-HTTPS i din browser. Inställningar → Sekretess → "Använd säker DNS". Då krypteras även namnuppslagen.
- Slå på 2FA överallt. Även om en angripare läser ditt lösenord kan de inte logga in utan din 2FA-kod.
08Vad du lärt dig
- MITM = någon placerar sig mellan dig och sajten, så trafiken går genom dem
- De kan både läsa OCH ändra det du skickar
- Vanliga vägar in: Evil Twin WiFi, ARP-spoofing på samma nät, komprometterade routrar
- HTTPS stoppar de flesta MITM eftersom innehållet är krypterat och certifikatet bevisar identitet
- Hänglåset i adressfältet är inte dekor — det är ditt försvar mot exakt detta
- Klicka aldrig förbi en "Din anslutning är inte privat"-varning