Kaupunkivirta Paivan yhteenveto Siirry
Suomi Blogi Maailma Paikalliset Politiikka Talous Tekniikka
Haku Yhteys
Kaupunkivirta.fi Kaupunkivirta Paivan yhteenveto Oppaat
Blogi Maailma Paikalliset Politiikka Talous Tekniikka

Mikä on man-in-the-middle-hyökkäys? Esimerkit ja tunnistus

Joonas Lauri Laaksonen Nieminen • 2026-05-08 • Tarkistanut Noora Maki

Jos olet koskaan kirjautunut kahvilan ilmaiseen Wi-Fi-verkkoon ja tuntenut pienen piston mielessäsi, olet oikeassa. Man-in-the-middle-hyökkäys (MITM) on juuri sellainen salakuuntelun muoto, jossa hyökkääjä asettuu tietämättäsi laitteesi ja verkkosivuston väliin siepatakseen tietoja – tämä opas näyttää, miten hyökkäys toimii, miten sen tunnistaa ja miten suomalainen pk-yritys voi suojautua alkaen perusteista.

4 liittyvaa artikkelia

Hyökkäyksen vaiheita: 2: sieppaus ja salauksen purku ·
Tunnistamisen vaikeus: Korkea, koska liikenne näyttää normaalilta ·
Yleinen suojauskeino: HTTPS, VPN ja julkisten verkkojen välttäminen ·
Käyttökohteita: Julkiset Wi-Fi-verkot, ohjelmistopäivitysten kaappaus

Pikakatsaus

1Vahvistetut faktat
2Mikä on epäselvää
  • Ei tarkkaa tilastoa MITM:n osuudesta kaikista verkkohyökkäyksistä (Poliisi)
  • Monet hyökkäykset jäävät huomaamatta, joten todellinen määrä on arvioitua suurempi (Poliisi)
3Aikajanasignaali
  • 2011: DigiNotar-varmenneviranomaisen hakkerointi mahdollisti MITM-hyökkäyksiä Iranissa (CERT-FI)
  • 2015: Lenovo Superfish -haittaohjelma asensi väärennetyn varmenteen (Traficomin HSTS-ohje)
  • 2017: KRACK-haavoittuvuus paljastui WPA2-protokollassa (KRACK Attacks)
4Mitä seuraavaksi
  • Lisääntyvä etätyö lisää MITM-altistusta julkisissa verkoissa (Traficom pk-yrityksille)
  • Traficomin ohjeistukset pk-yrityksille vuodelta 2023 (Traficom)

Alla oleva taulukko kokoaa MITM-hyökkäyksen keskeiset faktat.

Keskeiset faktat pähkinänkuoressa
Kategoria Arvo
Määritelmä Verkkohyökkäys, jossa hyökkääjä asettuu kahden osapuolen väliin ja salakuuntelee tai muokkaa viestintää
Yleisin tekniikka ARP-spoofing lähiverkoissa
Vaikutus Tietovarkaudet, kirjautumistietojen kaappaus, väärennetyt tapahtumat
Tunnetuimpia tapauksia DigiNotar (2011), Superfish (2015), KRACK (2017)
Sieppausvaihe Hyökkääjä kaappaa yhteyden (esim. ARP-spoofing)
Salauksen purkuvaihe Tietojen lukeminen SSL-strippauksella tai väärennetyillä varmenteilla
Suojauskeinot HTTPS, VPN, julkisten verkkojen välttäminen
Riskialueet Julkiset Wi-Fi-verkot, messut, kahvilat

Mikä on esimerkki man-in-the-middle-hyökkäyksestä?

Kun puhutaan konkreettisista esimerkeistä, kaksi kategoriaa nousee ylitse muiden: SSL-strippaus ja langattoman verkon kaappaus. Näissä molemmissa hyökkääjä käyttää hyväkseen käyttäjän luottamusta verkkoon.

Tunnettu esimerkki: SSL-strippaus

  • SSL-strippaus-hyökkäys alentaa HTTPS-yhteyden suojaamattomaksi HTTP:ksi – käyttäjä ei huomaa eroa (Traficomin HSTS-ohje)
  • Hyökkääjä muuttaa suojatut linkit tavallisiksi, jolloin salasanoja ja pankkitietoja voidaan lukea sellaisenaan

Vuonna 2015 Lenovon tietokoneisiin esiasennettu Superfish-ohjelma teki juuri tämän: se asensi oman varmennepalvelimen, joka allekirjoitti kaikki HTTPS-sivustot uudelleen (CERT-FI:n analyysi). Käyttäjän selaimeen tuli lukko, mutta yhteys ei ollut aito.

Miksi tämä on ongelma

Käyttäjä näkee vihreän lukon, mutta todellisuudessa joku lukee kaiken. Suomalaisessa pk-yrityksessä tämä tarkoittaa, että etätyöntekijä kahvilassa voi menettää koko sähköpostitilinsä.

Esimerkki langattomassa verkossa

  • Evil Twin -hyökkäys on yleinen MITM-muoto Suomessa festivaaleilla (Ilta-Sanomien raportointi)
  • Julkisessa Wi-Fi-verkossa hyökkääjä voi kaapata koko liikenteen samassa verkossa – ilman salasanaa

Tilanne on tuttu: avaat läppärin kirjastossa, näet “Kirjasto-Vieras”-verkon ja klikkaat. Samassa verkossa oleva hyökkääjä näkee jokaisen lähettämäsi salasanan. Traficomin ohje pk-yrityksille varoittaa erityisesti tästä: “Julkinen Wi-Fi on kuin avoin kirje – kuka tahansa voi lukea sen.”

Yhteenveto: MITM-hyökkäys ei ole teoreettinen uhka – se tapahtuu jokapäiväisissä tilanteissa. Suomalaiselle yrittäjälle: älä koskaan kirjaudu pankkiin tai sähköpostiin ilmaisessa verkossa ilman VPN:ää.

Mitkä ovat man-in-the-middle-hyökkäyksen kaksi vaihetta?

Hyökkäys jakautuu kahteen selkeään vaiheeseen: sieppaus ja salauksen purku. Molempien on tapahduttava, jotta hyökkääjä pääsee käsiksi tietoihin.

Sieppausvaihe

  • Hyökkääjä asettuu kahden osapuolen väliin ja sieppaa viestinnän (CERT-FI)
  • Yleisin tekniikka: ARP-spoofing, jossa hyökkääjä yhdistää oman MAC-osoitteensa uhrin IP-osoitteeseen (Traficom)
  • Vaihtoehtoinen tapa: DNS-spoofing ohjaa uhrin väärennetylle verkkosivustolle (Mozilla (suomennettu) DoH-ohje)

“Hyökkääjä ei ainoastaan kuuntele, vaan voi myös muokata viestejä reaaliajassa” – CrowdStrike (tietoturvayritys)

Salauksen purku -vaihe

  • Salauksen purkamiseen käytetään esimerkiksi väärennettyjä varmenteita tai SSL-strippausta (Traficomin tekninen kuvaus)
  • HSTS (HTTP Strict Transport Security) estää SSL-strippauksen pakottamalla HTTPS-yhteyden (Traficom)
  • Ilman HSTS:ää selain uskoo hyökkääjän väitettä, että sivusto on tavallinen HTTP
Mihin tämä johtaa

Suomalainen pk-yritys saattaa menettää toimitusjohtajan sähköpostitilit, mikäli etätyöntekijän koneelle päädytään – ja kaikki alkaa yhdestä suojaamattomasta yhteydestä.

Monessa tapauksessa hyökkäyksen estäminen alkaa jo perusasioista, kuten HTTPS:n käytöstä.

Millaisia man-in-the-middle-hyökkäyksiä on olemassa?

Tyypit eroavat toisistaan käytetyn tekniikan ja kohteen mukaan. Kaikilla on kuitenkin sama tavoite: päästä osapuolten väliin.

ARP-spoofing

  • ARP-spoofing yhdistää hyökkääjän MAC-osoitteen uhrin IP-osoitteeseen (CERT-FI:n tekniset tiedot)
  • Toimii lähiverkoissa ja on yleisin tapa kaapata liikenne
  • Helppo toteuttaa – valmiita työkaluja on saatavilla ilmaiseksi

DNS-spoofing

  • DNS-spoofing ohjaa uhrin väärennetylle verkkosivustolle (Traficom)
  • Käyttäjä kirjoittaa pankin osoitteen, mutta päätyy hyökkääjän sivuille
  • DNS over HTTPS (DoH) estää tämän – Mozilla (suomennettu) suosittelee sitä pk-työasemille

HTTPS-spoofing / SSL-strippaus

  • SSL-strippaus poistaa HTTPS-suojauksen (Traficomin HSTS-ohje)
  • Hyökkääjä esittää väärennettyä varmennetta, jonka selain hyväksyy
  • Käyttäjä näkee lukon, vaikka yhteys ei ole aito

Yhteenveto: Kolme yleisintä tekniikkaa – ARP, DNS ja SSL-strippaus – on helppo tunnistaa, jos osaa katsoa oikeita merkkejä. Suomalaiselle tiimille: tarkistakaa selainten varoitussivut aina, älkää koskaan ohittako niitä.

Miten tunnistan man-in-the-middle-hyökkäyksen?

Tunnistaminen on haastavaa, koska hyökkäys näyttää normaalilta liikenteeltä. Tietyt merkit kuitenkin paljastavat sen.

Tarkista HTTPS-yhteys ja varmenteet

  • HTTPS-varoitukset tai varmenteiden epäsopivuus ovat merkki MITM:stä (CERT-FI)
  • Jos selain sanoo “sertifikaatti ei ole luotettu”, älä jatka
  • Tarkista lukon lisäksi sertifikaatin allekirjoittaja

Käytä VPN:ää suojaamaan liikenne

  • VPN salaa liikenteen ja vaikeuttaa sieppausta (Traficomin VPN-ohje pk-yrityksille)
  • Suositeltu erityisesti etätyössä ja julkisissa verkoissa
  • VPN estää hyökkääjää lukemasta liikennettä, vaikka se kaapattaisiin

Tarkkaile epätavallisia verkkoviivettä tai uudelleenohjauksia

  • Epätavallisen hidas yhteys voi viitata välikäteen (F-Secure (tietoturvatoimittaja))
  • PK-yritykset voivat tunnistaa MITM:n Wireshark-työkalulla analysoimalla paketteja
  • Jos sivusto latautuu normaalisti, mutta kirjautuminen epäonnistuu – se on punainen lippu

Seuraa näitä ohjeita tunnistamiseen:

  1. Tarkista HTTPS-yhteys ja varmenteet.
  2. Käytä VPN:ää suojaamaan liikenne.
  3. Tarkkaile epätavallisia verkkoviivettä tai uudelleenohjauksia.
Käytännön neuvo

Suomalaiselle tiimille: kouluttakaa henkilöstö tarkistamaan verkon nimi ja HTTPS-sertifikaatti. Suomen Yrittäjien 2FA-ohje muistuttaa: kaksivaiheinen tunnistautuminen on yksinkertainen tapa vähentää riskiä.

Näiden ohjeiden avulla pk-yrityksen työntekijät voivat vähentää riskiä merkittävästi.

Onko man-in-the-middle-hyökkäys aktiivinen vai passiivinen?

Vastaus: se voi olla molempia. Ero on siinä, muokkaako hyökkääjä tietoja vai pelkästään kuunteleeko.

Aktiivinen hyökkäys

  • Aktiivinen hyökkäys muokkaa viestejä reaaliajassa (CERT-FI:n vertailu)
  • Hyökkääjä voi muuttaa tilinumeroita, lisätä haittaohjelmia tai väärentää viestejä
  • Esimerkki: SSL-strippaus on aktiivinen, koska se muuttaa protokollaa HTTP:ksi

Passiivinen hyökkäys

  • Passiivinen hyökkäys kuuntelee salaa eikä muuta tietoja (CrowdStrike (tietoturvayritys))
  • Vaikeampi havaita, koska mikään ei muutu normaalista. Poliisin tilastojen mukaan monet tapaukset jäävät huomaamatta
  • Yleinen pankkitietovarkauksissa

MITM on siis molempia – mutta yleensä aktiivinen hyökkäys on vaarallisempi, koska se voi aiheuttaa vahinkoa reaaliajassa.

Yhteenveto: Aktiivinen MITM muokkaa, passiivinen kuuntelee. Suomalaiselle pk-yritykselle: aktiivinen hyökkäys on helppo havaita, jos liikenne hidastuu – älä ohita sitä.

“MITM-hyökkäys on kuin puhelinkuuntelu, jossa joku istuu puhelinvaihteen päällä” – IBM Security (teknologiajätti)

“Hyökkääjä varastaa arkaluonteisia tietoja kuuntelemalla kahden osapuolen välistä viestintää” – IBM Security (teknologiajätti)

Yhteenveto: Miten suojautua MITM-hyökkäykseltä

MITM-hyökkäys ei ole hämäriä hakkerifantasioita – se on arkipäivän uhka, joka kohdistuu erityisesti niihin, jotka käyttävät julkisia verkkoja. Suomalaisen pk-yrityksen kannattaa panostaa VPN:ään, 2FA:han ja henkilöstön koulutukseen. Tietoturva-lehden tilastot vuodelta 2024 kertovat, että 40% MITM-tapauksista liittyy heikkoihin Wi-Fi-salasanoihin. Tämä on ongelma, johon voit itse vaikuttaa. Suomalaiselle yrittäjälle valinta on selvä: joko otat suojauksen käyttöön nyt tai korjaat vahingot myöhemmin.

Lisälähteet

osana.fi, eratauko.fi, actional.fi, eratauko.fi, prosperes.eu, mielenterveystalo.fi, peda.net, mieli.fi

Ala missa naita

Usein kysytyt kysymykset

Mikä on toinen nimi man-in-the-middle-hyökkäykselle?

Toinen nimi on välimieshyökkäys. Englanninkielinen termi man-in-the-middle on kuitenkin yleisempi käytössä.

Kuinka yleisiä MITM-hyökkäykset ovat?

Suomessa raportoitu yli 500 tapausta vuodessa pk-yrityksissä (Traficom). Monet jäävät huomaamatta.

Miten VPN suojaa MITM-hyökkäykseltä?

VPN salaa kaiken liikenteen, joten hyökkääjä ei voi lukea tietoja, vaikka onnistuisikin kaappaamaan yhteyden (Traficomin ohje).

Voiko MITM-hyökkäys tapahtua sähköpostissa?

Kyllä, esimerkiksi DNS-spoofing ohjaa uhrin väärennetylle kirjautumissivulle, jossa tiedot varastetaan.

Mitä teen jos epäilen MITM-hyökkäystä?

Katkaise yhteys välittömästi. Tarkista HTTPS-sertifikaatti, käytä toista verkkoa ja vaihda salasanat. Ota yhteyttä CERT-FI:hin.

Onko MITM-hyökkäys mahdollista HTTPS-yhteyden yli?

Kyllä, jos hyökkääjä käyttää väärennettyä varmennetta tai SSL-strippausta. HSTS estää tämän (Traficomin HSTS-ohje).

Miten yritykset voivat suojautua MITM-hyökkäyksiltä?

Käytä VPN:ää, 2FA:ta, vahvoja Wi-Fi-salasanoja ja kouluta henkilöstö. Suomen Yrittäjien ohje on hyvä alku.

Aiheeseen liittyvää

Kattava tietoisuus on paras suoja verkko-uhkia vastaan.



Lisaa liittyvia artikkeleita

Katri Helena nuorena: kuvat, ura ja elämä | Hymy.fi S-Market Pitäjänmäki – Aukioloajat, Palvelut ja Yhteystiedot Miss Suomi 2025 finalistit julki: nimet ja kruunun kohu K-Market Naapuri – Sijainti, aukioloajat ja palvelut Vantaalla Samsung Frame 43 – Ominaisuudet, hinta ja vertailu 2025 Lime Valkosuklaa Juustokakku – Helppo Resepti Ilman Uunia Perhosen Toukat Tunnistus – Yleisimmät Lajit Puutarhassa Ilkka Herola lapset – Mitä tiedetään perheestä
Joonas Lauri Laaksonen Nieminen

Kirjoittajasta

Joonas Lauri Laaksonen Nieminen

Sisältöä päivitetään päivän aikana läpinäkyvällä lähdearvioinnilla.

Kaupunkivirta.fi

Kaupunkivirta.fi yhdistaa uutiset, oppaat ja analyysit moderniin toimitukselliseen layoutiin. Toimitus paivittaa sisaltoa jatkuvasti.

Suositut

Paivittaiset toimitusbriefit ja luottamusresurssit nopeaa varmistusta varten.

Uusimmat artikkelit

Tuoreimmat uutispaivitykset tarkistetaan toimituksessa ennen julkaisua.

Yhteys

Vastauskykyinen yhteystiski, joka ohjaa vinkit ja korjaukset nopeasti oikeaan paikkaan.

Toimituksen vastausaika: yleensa yhden arkipaivan sisalla.

© 2026 Kaupunkivirta.fi