Jos olet joskus kirjautunut hotellin Wi-Fi-verkkoon pankkisovellukseen, tiedät, että jotain tuntuu pielessä — hitaalta tai kömpelöltä. Se epämukavuus on oikeutettu, sillä juuri tällaisissa tilanteissa hyökkääjä voi iskeytyä kahden osapuolen väliin.

Määritelmä: Hyökkääjä salakuuntelee ja muokkaa viestintää kahden osapuolen välillä ·
Toinen nimi: On-path-hyökkäys ·
Tyypillinen menetelmä: Vääristely tai spooffaus ·
Estokeinot: Vahva salaus ja sertifikaattien tarkistus ·
Yleiset paikat: Langattomat verkot ja julkinen Wi-Fi

Pikakatsaus

1Vahvistetut faktat
  • MITM-hyökkäys sisältää salakuuntelua viestien välillä (Micro Magic)
  • Estetään salausprotokollilla kuten TLS:llä (Arctic Wolf)
  • DigiNotar-vuoto 2011 mahdollisti laajoja hyökkäyksiä väärennetyillä sertifikaateilla (Wiz)
2Mikä on epäselvää
  • Ei tuoreita dokumentoituja tapausesimerkkejä vuodelta 2025–2026
  • Reaaliaikaisen havaitsemisen tarkat kynnysarvot vaihtelevat lähteittäin
3Aikajanasignaali
4Mitä seuraavaksi
  • DNS over HTTPS -teknologia kehittyy MitM-estoon (Varonis)
  • Sertifikaattipinnaus yleistyy mobiilisovelluksissa (The Hacker News)
Ominaisuus Tieto
Hyökkäyksen nimi Man-in-the-middle (MITM)
Vaihtoehtoinen nimi On-path-hyökkäys, väliintulohyökkäys
Päämenetelmä Viestien välittäminen ja muokkaus
Tyypillinen sijainti Julkinen Wi-Fi
Vaiheita 3 (asettuminen, purku, hyödyntäminen)

Mikä on esimerkki man-in-the-middle-hyökkäyksestä?

Kuvittele, että istut kahvilassa ja avaat kannettavan tietokoneesi. Yhteys kahvin Wi-Fi-verkkoon tuntuu normaalilta, mutta jokin on vialla. Hyökkääjä on luonut väärennetyn tukiaseman, joka jäljittelee kahvin virallista verkkoa. Tietokoneesi yhdistää tähän varjoverkkoon, ja hyökkääjä alkaa välittää liikennettäsi — samalla kun napittaa salasanojasi, istuntojasi ja arkaluonteisia tietojasi.

Tämä on tyypillinen rogue access point -hyökkäys, jossa hyökkääjä asettuu langattoman verkon ja laiteesi väliin (Wiz). Yhteys näyttää lailliselta, mutta kaikki liikenne kulkee hyökkääjän kautta.

Langaton verkkoesimerkki

  • Hyökkääjä luo nimenomaisesti saman nimisen Wi-Fi-verkon kuin laillinen hotspot
  • Käyttäjä yhdistää automaattisesti tai manuaalisesti tietämättään
  • Kaikki liikenne — kirjautumiset, sähköpostit, pankkidata — kulkee hyökkääjän läpi

NordVPN:n mukaan yleinen esimerkki on julkisissa Wi-Fi-verkoissa, joissa hyökkääjä luo väärennetyn verkon houkutellakseen uhreja (NordVPN). Tämä on erityisen yleistä lentokentillä, hotelleissa ja kahviloissa.

Vääristelty Wi-Fi

HTTPS-salauksen yleistymisen jälkeen hyökkääjät ovat kehittäneet uusia menetelmiä. SSL-stripping-hyökkäys pyrkii estämään selaimen siirtymisen suojattuun yhteyteen, jolloin hyökkääjä näkee kaiken liikenteen (CrowdStrike). Väärennetyt SSL-sertifikaatit antavat illuusion turvallisesta yhteydestä, vaikka todellisuudessa hyökkääjä on ottanut yhteyden haltuun.

Mikä estää tällaisen hyökkäyksen? Ensisijaisesti se, että käyttäjä huomaa selaimen varoituksen tuntemattomasta sertifikaatista — ja ottaa sen vakavasti. Toiseksi VPN-yhteys salaa liikenteen alusta loppuun, jolloin väärennetty verkään ei pääse käsiksi dataan.

Miksi tämä merkitsee

Suomalaisille hotellivieraille tämä on konkreettinen riski: Business Finland -matkailijat ja etätyöntekijät muodostavat suuren osan uhreista, koska heidän työtietokoneensa ovat usein yhteydessä kahviloiden ja hotellien Wi-Fi-verkkoihin.

Mitkä ovat man-in-the-middle-hyökkäyksen kaksi vaihetta?

Jokainen MITM-hyökkäys etenee vaiheissa, jotka Wiz on analysoinut tarkasti: hyökkääjä asettuu väliin, purkaa liikenteen ja hyödyntää kerätyt tiedot (Wiz). Nämä kolme vaihetta muodostavat yhtenäisen prosessin, jossa jokainen askel rakentuu edellisen päälle.

Ensimmäinen vaihe: Välittyminen

Ensimmäisessä vaiheessa hyökkääjä luo yhteyden kahteen osapuoleen samanaikaisesti — tai saa aikaan illuusion siitä. Tämä tapahtuu tyypillisesti kolmella tavalla:

  • ARP-spoofing: Hyökkääjä lähettää väärennettyjä ARP-viestejä paikallisessa verkossa, jolloin liikenne ohjataan hyökkääjän MAC-osoitteelle (Wiz)
  • DNS-huijaus: Hyökkääjä kaappaa DNS-kyselyt ja ohjaa liikenteen väärennetylle palvelimelle väärennetyillä vastauksilla (NordVPN)
  • Rogue access point: Hyökkääjä luo väärennetyn Wi-Fi-tukiaseman, johon käyttäjät vahingossa yhdistävät (Wiz)

Tämän vaiheen tavoitteena on päästä siihen pisteeseen, että hyökkääjä näkee molempien osapuolten liikenteen — tai uskoo näkevänsä sen.

Toinen vaihe: Muokkaus

Toisessa vaiheessa hyökkääjä ei enää vain seuraa liikennettä, vaan aktiivisesti muokkaa sitä. Tämä voi tarkoittaa:

  • Viestien muuttamista lennossa — esimerkiksi maksun vastaanottajatilin vaihtamista
  • Istuntoevästeiden kaappaamista ja uudelleenkäyttöä
  • Väliaikaisten tiedostojen tai ladattavien ohjelmien korvaamista haittaohjelmilla

Wikipedia toteaa, että hyökkääjä voi muuttaa viestejä, urkkia avaimia tai korvata julkisia avaimia omiinsa (Wikipedia). Tämä tekee hyökkäyksestä erityisen vaarallisen, koska uhri ei välttämättä huomaa mitään — kunnes on jo liian myöhäistä.

Mikään estokeino ei ole täydellinen, mutta vahva salaus kuten TLS estää tiedon lukemisen silloinkin, kun hyökkääjä on jo siepannut yhteyden (Arctic Wolf). Tämä tarkoittaa, että hyökkääjä voi nähdä liikenteen, mutta ei ymmärrä sen sisältöä.

Toimituksen huomautus

Jos havaitset epätavallista verkkoliikennettä tai sertifikaattihälytyksiä, älä ohita niitä. Crowdstriken mukaan epäilyttävä sertifikaatti tai hidas yhteys ovat merkkejä, joita ei pidä sivuuttaa (CrowdStrike).

Mikä estää man-in-the-middle-hyökkäyksen?

Ennaltaehkäisy on aina tehokkaampaa kuin jälkihoito. Arctic Wolf listaa useita toisiaan täydentäviä keinoja, joista jokainen vähentää riskiä merkittävästi (Arctic Wolf).

Salauksen käyttö

TLS ja SSL estävät tiedon lukemisen sieppauksen jälkeen. Käytännössä tämä tarkoittaa:

  • HTTPS-yhteyksien pakottamista kaikilla sivustoilla
  • WPA2-suojattujen reitittimien käyttöä kotona ja työpaikalla (Varonis)
  • VPN-yhteyksien käyttöä erityisesti julkisissa verkoissa (Varonis)

Varonis suosittelee myös HTTPS Everywhere -laajennusta, joka pakottaa SSL-yhteydet aina kun mahdollista (Varonis). The Hacker News lisää, että HSTS-suositusten noudattaminen varmistaa vain suojattuja yhteyksiä (The Hacker News).

Sertifikaattien tarkistus

Sertifikaattipinnaus sitoo sovellukset tiettyihin sertifikaatteihin, jolloin väärennetyt sertifikaatit eivät toimi (The Hacker News). Tämä on erityisen tärkeää mobiilisovelluksissa ja yritysjärjestelmissä.

Zero Trust -malli rajoittaa pääsyn ja estää sivuttaisliikkeen, mikä tarkoittaa käyttäjän todentamista jokaisessa vaiheessa — ei vain verkon rajalla (Arctic Wolf). Guardz puolestaan korostaa, että monitekijätunnistautuminen (MFA) vähentää tunnusperustisten hyökkäysten riskiä merkittävästi (Guardz).

Käytännön toimenpide

Julkisissa Wi-Fi-verkoissa kannattaa aina käyttää VPN:ää. UpGuard suosittelee myös verkon tunkeutumisen havaitsemisjärjestelmää (NIDS), joka monitoroi liikennettä poikkeavuuksien varalta (UpGuard).

Mitkä ovat man-in-the-middle-hyökkäyksen tyypit?

MITM-hyökkäykset jakautuvat kahteen pääkategoriaan: passiivisiin ja aktiivisiin. Ero on yksinkertainen mutta merkittävä — passiivinen hyökkääjä vain kuuntelee, aktiivinen muokkaa dataa (Varonis).

Aktiivinen MITM

  • ARP-spoofing: Ohjaa paikallista liikennettä hyökkääjän MAC-osoitteelle, kohdistuu paikalliseen verkkoon (Wiz)
  • DNS-huijaus: Ohjaa liikenteen väärennetyille palvelimille väärennetyillä DNS-vastauksilla (NordVPN)
  • IP-spoofing: Muuttaa IP-osoitetta päästäkseen laitteeseen ilman tunnistautumista (NordVPN)
  • SSL-stripping: Estää selainta siirtymästä HTTPS-yhteyteen, paljastaa koko liikenteen

Passiivinen MITM

  • Vain kuuntelu: Hyökkääjä ei muuta dataa, vain kerää sitä
  • Liikenteen analysointi: Voi paljastaa arkaluonteisia tietoja ilman aktiivista puuttumista
  • Istuntojen kaappaus: Talteenotetut evästeet mahdollistavat myöhäisemmän pääsyn

NordVPN:n mukaan Man-in-the-browser (MITB) käyttää haittaohjelmaa ohjatakseen liikenteen väärennetylle sivustolle — tämä on erityisen vaarallinen, koska käyttäjän selain näyttää validoidun yhteyden (NordVPN). CrowdStrike varoittaa, että väärennetyt SSL-sertifikaatit antavat illuusion turvallisesta yhteydestä, vaikka hyökkääjä on jo keskellä (CrowdStrike).

Varoitus

Älä käytä julkisia Wi-Fi-yhteyksiä yritysverkkoihin. Guardz korostaa, että BYOD-politiikat vaativat erillisiä salasanoja ja erityistä varovaisuutta henkilökohtaisilla laitteilla työverkossa toimittaessa (Guardz).

Mitkä ovat MITM-hyökkäyksen merkit?

Havaitseminen on haastavaa, koska hyökkääjä pyrkii olemaan näkymätön. Kuitenkin tietyt merkit viittaavat mahdolliseen hyökkäykseen — tai ainakin siihen, että kannattaa tarkistaa yhteyden turvallisuus.

Epäilyttävät sertifikaatit

  • Selaimen varoitus tuntemattomasta sertifikaatista — älä ohita tätä
  • Sertifikaatin voimassaoloaika on epäilyttävän lyhyt tai pitkä
  • Sertifikaatin myöntäjä ei vastaa odotettua organisaatiota

CrowdStrike varoittaa, että väärennetyt SSL-sertifikaatit ovat yleinen työkalu MITM-hyökkäyksissä, ja ne antavat illuusion turvallisesta yhteydestä (CrowdStrike).

Hidastunut yhteys

  • Verkkoyhteys on huomattavasti hitaampi kuin tavallisesti
  • Sivut latautuvat odotettua hitaammin
  • Yhteys katkeilee tai pätkii

Varonis lisää, että epätavallinen verkkoliikenne tai sertifikaattihälytykset ovat merkkejä, joita kannattaa tutkia tarkemmin (Varonis). DNS over HTTPS estää DNS-kaappauksen, mikä on yksi yleisimmistä hyökkäysvektoreista (Varonis).

Hyödyt

  • TLS/SSL-salaus estää tiedon lukemisen
  • VPN salaa koko liikenteen
  • MFA estää luvattoman pääsyn
  • Zero Trust rajoittaa liikkeen

Haitat

  • Väärennetyt sertifikaatit voivat ohittaa varoitukset
  • Julkiset verkot ovat aina riski
  • Havaitseminen vaatii erityisosaamista
  • Päivitykset voivat jäädä tekemättä

Man-in-the-Middle-hyökkäys (MitM) on kyberhyökkäys, jossa hyökkääjä sieppaa ja mahdollisesti muokkaa kahden osapuolen välistä viestintää ilman, että kumpikaan osapuoli on tietoinen asiasta.

Micro Magic (Kyberturva-blogi)

The 2011 DigiNotar breach demonstrated how certificate authority compromise enables large-scale MITM.

— Wiz (Kyberturva-alusta)

Yhteenveto

Man-in-the-middle-hyökkäys on vanhimpia ja sitkeimpiä verkkouhkia. Se toimii, koska ihmiset luottavat näennäisesti turvallisiin yhteyksiin — olipa kyse kahvilan Wi-Fi-verkosta tai työpaikan sisäverkosta. DigiNotarin tapaus 2011 osoitti, miten laajamittaisesti sertifikaattiväärennös voi mahdollistaa hyökkäyksiä: Gmail-käyttäjät altistuivat laajalle vakoilulle, kun hollantilainen varmenteiden myöntäjä hakkeroitiin (Wiz).

Suomalaisille käyttäjille arkipäivän riskit ovat konkreettisia: etätyöntekijät kahviloissa, liikematkailijat hotelleissa ja opiskelijat kirjastoissa muodostavat suuren osan mahdollisista uhreista. Estäminen on mahdollista, mutta se vaatii johdonmukaisuutta. Yksittäinen VPN-yhteys ei riitä — tarvitaan kokonaisvaltainen lähestymistapa: salausta, todentamista, monitorointia ja tietoutta.

Suomalaisille yrityksille valinta on selvä: joko sijoitetaan kyberturvaan nyt tai maksetaan myöhemmin moninkertaisesti. Tieto on arvokkaampaa kuininfra kuin koskaan — ja hyökkääjät tietävät sen.

Aiheeseen liittyvää: neuroverkko · TP-Link Archer AX12

Man-in-the-middle-hyökkäys tunnetaan saksaksi MitM-angriffina, jonka MitM-angriffin riskeistä ja suojastariskeistä ja suojakeinoista} löytyy kattava erittely.

Usein kysytyt kysymykset

Mikä on man-in-the-middle-hyökkäyksen toinen nimi?

Hyökkäystä kutsutaan myös on-path-hyökkäykseksi tai väliintulohyökkäykseksi suomeksi (Wikipedia). Englanniksi käytetään myös lyhyempää muotoa MITM.

Missä man-in-the-middle-hyökkäykset yleensä tapahtuvat?

Yleisimmät kohteet ovat julkiset Wi-Fi-verkot — kahvilat, hotellit, lentokentät ja kirjastot. Hyökkääjä luo väärennetyn tukiaseman tai kaappaa olemassa olevan verkon (NordVPN).

Miten poistaa man-in-the-middle-hyökkäys?

Jos epäilet hyökkäystä, katkaise yhteys välittömästi. Käytä sen jälkeen VPN:ää tarkistaessasi tilisi ja vaihda salasanat. Ilmoita tapahtuneesta operaattorille ja kyberturvallisuuskeskukseen, jos kyse on yritysverkosta.

Onko man-in-the-middle-hyökkäys aktiivinen vai passiivinen?

Se voi olla kumpaakin. Passiivinen MITM vain kuuntelee liikennettä muokkaamatta sitä. Aktiivinen MITM muokkaa dataa lennossa — esimerkiksi vaihtaa maksun vastaanottajatilin (Varonis).

Mitkä ovat tunnetut man-in-the-middle-hyökkäykset?

Tunnetuimpia ovat DigiNotarin vuoto 2011, joka mahdollisti laajoja Gmail-hyökkäyksiä väärennetyillä Googlen sertifikaateilla (Wiz). Tämä tapaus johti lopulta DigiNotarin konkurssiin.

Miten man-in-the-middle-hyökkäys toimii langattomassa verkossa?

Langattomassa verkossa hyökkääjä luo väärennetyn tukiaseman (rogue access point) tai käyttää ARP-spoofingia kaapatakseen liikenteen. Käyttäjän laite yhdistää vahingossa hyökkääjän verkkoon, jolloin kaikki liikenne kulkee hyökkääjän kautta (Wiz).