Ataki typu „man-in-the-middle” (MITM)
Na czym polega atak typu Man-in-the-Middle (MITM)?
Atak Man-in-the-Middle (MITM) to cyberatak polegający na przejęciu przez cyberprzestępców danych przesyłanych między dwoma firmami lub osobami. Celem przechwycenia jest kradzież, podsłuchiwanie lub modyfikacja danych w złośliwym celu, takim jak wyłudzenie pieniędzy
Na czym polega atak „man-in-the-middle” (MITM)?
Ataki MITM polegają na manipulowaniu istniejącymi sieciami lub tworzeniu złośliwych sieci kontrolowanych przez cyberprzestępcę. Cyberprzestępca przechwytuje ruch i albo przepuszcza go, zbierając informacje, albo przekierowuje go w inne miejsce.
Cyberprzestępcy działają zasadniczo jako „pośrednicy” między osobą wysyłającą informacje a tą, która je odbiera, stąd nazwa „atak man-in-the-middle”. Ataki te są zaskakująco powszechne, zwłaszcza w publicznych sieciach Wi-Fi. Publiczne sieci WiFi są często niezabezpieczone, więc nie można wiedzieć, kto monitoruje lub przechwytuje ruch internetowy, ponieważ każdy może się zalogować.
Rodzaje ataków MITM
Istnieje kilka rodzajów ataków MITM, co czyni je jednymi z najbardziej wszechstronnych cyberzagrożeń w dzisiejszych czasach.
Publiczne Wi-Fi
Jedną z najczęstszych metod ataków MITM jest przeprowadzanie go przez publiczną sieć Wi-Fi. Sieci te są często niezabezpieczane, więc cyber-przestępcy mogą zobaczyć ruch sieciowy dowolnego podłączonego do sieci urządzenia i pozyskać informacje.
Wrogi punkt dostępowy
Wrogi punkt dostępowy to punkt dostępu zainstalowany jako zaufana sieć. Umożliwia on cyberprzestępcom przejęcie lub monitorowanie przychodzącego ruchu sieciowego, często całkowicie przekierowując go do innej sieci, aby zachęcić do pobierania szkodliwego oprogramowania lub wyłudzić dane od użytkownika. Złośliwe oprogramowanie to rodzaj niebezpiecznego oprogramowania instalowanego na urządzeniu ofiary, które służy do szpiegowania i kradzieży danych.
Fałszowanie IP
Spoofing adresów IP polega na modyfikacji adresu IP w celu przekierowania ruchu na stronę atakującego. Atakujący „fałszuje” adres poprzez zmianę nagłówków pakietów w celu podszycia się pod prawdziwą aplikację lub witrynę.
Fałszowanie ARP
Ten typ ataku polega na łączeniu adresu MAC atakującego z adresem IP ofiary w lokalnej sieci przy użyciu fałszywej wiadomości ARP. Wszelkie dane wysyłane do lokalnej sieci przez ofiarę są przekierowywane do adresu MAC cyber-przestępcy, dzięki czemu może on je przejąć i manipulować nimi.
Fałszowanie DNS
Cyber-przestępcy wprowadzają serwer DNS strony i zmieniają adres strony www. Zmieniony wpis DNS przekierowuje ruch przychodzący na stronę cyber-przestępców.
Fałszowanie HTTPS
Gdy użytkownik łączy się z bezpieczną stroną z prefiksem https://, cyber-przestępca wysyła fałszywy certyfikat bezpieczeństwa do przeglądarki. Przeglądarka zostaje w ten sposób „oszukana” i rozpoznaje połączenie jako bezpieczne, podczas gdy cyber-przestępcy przejmują i przekierowują dane.
Przejęcie sesji
Cyber-przestępcy przejmują sesje, aby uzyskać kontrole nad siecią lub sesją aplikacji. Powoduje to wyrzucenie zaufanego użytkownika z sesji. Cyber-przestępca z kolei blokuje konto w aplikacji lub na stronie do czasu, gdy uzyska informacje, których szuka.
Fałszowanie pakietów
Cyberprzestępca tworzy pakiety, które wydają się normalne i wstrzykuje je do istniejącej sieci w celu uzyskania dostępu i monitorowania ruchu lub zainicjowania ataków DDoS. Atak DDoS (Distributed Denial-of-Service) to próba zakłócenia normalnego ruchu serwera poprzez przytłoczenie go zalewem ruchu internetowego.
Usuwanie SSL
Cyberprzestępca przejmuje sygnał TLS z aplikacji lub strony i modyfikuje go w taki sposób, aby strona ładowała niezabezpieczone połączenie jako HTTP, a nie HTTPS. Dzięki temu sesja użytkownika staje się widoczna dla cyberprzestępca i uzyskuje on dostęp do poufnych informacji.
Fałszowanie SSL
Ta metoda polega na fałszowaniu bezpiecznego adresu strony, aby zachęcić ofiarę do jej odwiedzenia. Cyber-przestępcy przejmują komunikację między ofiarą a serwerem strony, do której chcą uzyskać dostęp, ukrywając złośliwą stronę za istniejącym i zaufanym adresem URL.
SSL BEAST
Cyber-przestępcy infekują komputer użytkownika złośliwym skryptem JavaScript. Następnie złośliwe oprogramowanie przejmuje pliki cookie strony i tokeny autoryzacyjne, aby odszyfrować i ujawnić cyber-przestępcom całą sesję ofiary.
SSL Wykradanie plików cookie przeglądarki
Pliki cookie to częściowe informacje o stronie internetowej przechowywane przez odwiedzane przez Ciebie strony na Twoim urządzeniu. Są przydatne do zapamiętywania aktywności sieciowej i danych logowania, ale cyber-przestępcy mogą wykryć je i uzyskać tym samym informacje mogące posłużyć złym celom.
Sniffing
Ataki typu „sniffing” polegają na monitorowaniu ruchu sieciowego, aby wykraść informacje. Są przeprowadzane za pośrednictwem aplikacji lub sprzętu, a w ich wyniku cyber-przestępca uzyskuje widoczność ruchu internetowego ofiary.
Jak wykryć ataki typu „man-in-the-middle”
Wykrycie ataku MITM może pomóc firmie lub osobie indywidualnej zminimalizować potencjalną szkodę, jaką może wyrządzić cyber-przestępca. Oto niektóre sposoby wykrywania tych ataków:
Analizowanie dziwnych adresów internetowych
- Konieczne jest monitorowanie przeglądarek internetowych w poszukiwaniu podejrzanych adresów stron w pasku wyszukiwarki. Przejęcie DNS może skutkować fałszowaniem popularnych adresów z minimalnie zauważalnymi zmianami. Na przykład, atakujący może zastąpić stronę „www.facebook.com” adresem „www.faceb00k.com”. Ta metoda działa zaskakująco dobrze, bo większość z nas nie sprawdza dokładnie adresów stron i nie zauważa drobnych zmian.
Niespodziewane rozłączanie sieci lub wolno działająca sieć
- Niektóre formy ataków MITM powodują nagłe i niespodziewane opóźnienia sieci lub jej całkowite rozłączanie. Może się to zdarzać sporadycznie i zazwyczaj nie jest łączone z problemami sieciowymi czy innymi typowymi symptomami.
- Jeśli doświadczasz częstych rozłączeń lub opóźnień w sieci, dobrym pomysłem może być przyjrzenie się temu bliżej, aby upewnić się, że nie jest to tylko problem z siecią.
Monitorowanie publicznych sieci Wi-Fi
- Atakujący często przejmują informacje wysyłane przez publiczne sieci lub sztuczne sieci w miejscach publicznych. Te sieci zapewniają cyberprzestępcom widoczność całej aktywności Twojego zespołu bez jakichkolwiek oznak ataku. Unikaj publicznych sieci Wi-Fi, gdy jest to możliwe, i upewnij się, że Twój zespół korzysta z VPN, jeśli musi się połączyć z publiczną siecią. Zachęć swój zespół do unikania łączenia się z dziwnymi sieciami o podejrzanych nazwach.
Jak zapobiegać atakom typu „man-in-the-middle”
Zapobieganie atakom typu man-in-the-middle może ochronić osoby fizyczne i firmy przed ogromnymi szkodami oraz zachować ich tożsamość internetową i publiczną w nienaruszonym stanie. Oto kilka podstawowych narzędzi pomagających zapobiegać atakom MITM:
Menedżer haseł
- Korzystanie z menedżera haseł odpowiednimi zabezpieczeniami sieciowymi zapewnia, że wszystkie dane logowania są bezpiecznie przechowywane. Jedną z ważnych funkcji przeciwdziałających atakom MITM jest pełne szyfrowanie. Keeper ma zintegrowane pełne szyfrowanie z funkcją udostępniania sejfów, która wykorzystuje infrastrukturę klucza publicznego (PKI). Oznacza to, że cyberprzestępcy nie mogą przechwycić haseł ani innych udostępnianych danych podczas ich przesyłania. W przypadku firm Keeper oferuje również udostępnione foldery zespołów, a także funkcje kontroli opartej na rolach, które pozwalają administratorom ograniczać i rozdzielać dostęp między członkami zespołu.
Wirtualna sieć prywatna (VPN)
- Wirtualna sieć prywatna, czyli VPN, przekierowuje cały ruch internetowy na kilka różnych serwerów, skutecznie ukrywając adres IP użytkownika i zapewniając prywatność i bezpieczeństwo sesji przeglądarki. VPN zapewnia również niezbędne szyfrowanie, które pomaga zabezpieczyć wiadomości i inne dane.