Атаки типа «человек посередине» (MITM)
Что такое атака «человек посередине» (MITM)?
Атака типа «человек посередине» (MITM) — это кибератака, при которой киберпреступник перехватывает данные, пересылаемые между двумя организациями или людьми. Целью перехвата является кража, прослушивание или изменение данных в какой-либо злонамеренной цели, такой как вымогательство денег.
Как происходит атака «человек посередине»?
Атаки MITM опираются на манипулирование существующими сетями или создание вредоносных сетей, контролируемых киберпреступниками. Киберпреступник перехватывает трафик и либо пропускает его, собирая информацию по мере ее поступления, либо перенаправляет его куда-то еще.
Киберпреступники, по сути, действуют как «посредники» между лицом, отправляющим информацию, и тем, кто ее получает, отсюда и название «человек посередине». Эти атаки на удивление распространены, особенно в общедоступных сетях Wi-Fi. Общедоступные сети Wi-Fi часто не защищены, поэтому вы не можете знать, кто отслеживает или перехватывает веб-трафик, поскольку кто угодно может войти в систему.
Виды MITM-атак
Существует несколько видов MITM-атак, что делает их одними из самых универсальных киберугроз на сегодняшний день.
Общедоступный Wi-Fi
Один из наиболее распространенных методов атаки MITM связан с использованием общедоступной сети Wi-Fi. Общедоступная сеть Wi-Fi часто бывает незащищенной, поэтому киберпреступники могут видеть веб-трафик с любого подключенного к сети устройства и получать информацию по мере необходимости.
Мошенническая точка доступа
Мошенническая точка доступа — это точка беспроводного доступа, установленная в законной сети. Это позволяет киберпреступникам перехватывать или отслеживать входящий трафик, часто перенаправляя его в другую сеть, чтобы побуждать к загрузке вредоносного ПО или вымогать у пользователей деньги. Вредоносное ПО устанавливается на устройство жертвы без ее ведома и используется в целях шпионажа и кражи данных.
IP-спуфинг
IP-спуфинг включает в себя изменение IP-адреса с целью перенаправления трафика на веб-сайт злоумышленника. Злоумышленник "подделывает" адрес, изменяя заголовки пакетов, чтобы замаскироваться под настоящее приложение или веб-сайт.
ARP-спуфинг
Эта атака связывает MAC-адрес злоумышленника с IP-адресом жертвы в локальной сети с помощью поддельных сообщений ARP. Любые данные, отправленные жертвой в локальную сеть, вместо этого перенаправляются на MAC-адрес киберпреступника, что позволяет киберпреступнику перехватывать данные и манипулировать ими по своему желанию.
DNS-спуфинг
Злоумышленник заходит на DNS-сервер веб-сайта и изменяет запись веб-адреса, после чего измененная DNS-запись перенаправляет входящий трафик на веб-сайт киберпреступника.
HTTPS-спуфинг
Когда пользователь подключается к защищенному сайту с префиксом https://, злоумышленник отправляет в браузер поддельный сертификат безопасности. Это «обманывает» браузер, заставляя считать, что соединение является безопасным, тогда как на самом деле киберпреступник перехватывает и, возможно, перенаправляет данные.
Перехват сеанса
Киберпреступники перехватывают сеанс, чтобы получить контроль над веб-сеансом или сеансом приложения. При этом законный пользователь исключается из сеанса, а киберпреступник удерживается в приложении или учетной записи на веб-сайте до тех пор, пока не получит нужную информацию.
Внедрение пакетов
Киберпреступник создает пакеты, кажущиеся обычными, и внедряет их в установленную сеть с целью доступа и мониторинга трафика или инициирования DDoS-атак. Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка нарушить нормальный трафик сервера, перегрузив его потоком интернет-трафика.
SSL-стриппинг
Киберпреступник перехватывает сигнал TLS от приложения или веб-сайта и изменяет его, чтобы сайт загружался по незащищенному соединению HTTP вместо HTTPS. Это делает сеанс пользователя доступным для просмотра киберпреступником и раскрывает конфиденциальную информацию.
SSL-спуфинг
Этот способ включает в себя подделку адреса защищенного сайта, чтобы жертва перешла по поддельному адресу. Киберпреступники перехватывают сообщения между жертвой и веб-сервером сайта, к которому они хотят получить доступ, маскируя вредоносный сайт под настоящий.
SSL BEAST
Киберпреступник заражает компьютер пользователя вредоносным кодом JavaScript. Затем вредоносная программа перехватывает файлы cookie и токены аутентификации веб-сайтов для дешифрования, открывая злоумышленнику доступ ко всему сеансу жертвы.
SSL-кража cookie-файлов браузера
Cookie-файлы, сохраняемые на ваших устройствах, дают фрагменты информации о посещаемых вами веб-сайтах. Они полезны для запоминания веб-активности и входа в систему, но киберпреступники могут украсть их, чтобы получить эту информацию и использовать в злонамеренных целях.
Сниффинг
Сниффинг-атаки отслеживают трафик с целью кражи информации. Слежение выполняется с помощью приложения или специального оборудования и открывает злоумышленнику доступ к веб-трафику жертвы.
Как обнаруживать атаки типа «человек посередине»?
Обнаружение MITM-атак может помочь бизнесу или частному лицу снизить потенциальный ущерб, который может нанести киберпреступник. Вот несколько методов обнаружения:
Анализируйте странные веб-адреса
- Следите, не появляются ли странные веб-адреса в строке поиска или строке URL-адреса веб-браузера. При перехвате DNS могут происходить подделка обычно используемых адресов, как правило, с едва заметными изменениями. Например, злоумышленник может заменить www.facebook.com на www.faceb00k.com. Этот метод спуфинга работает на удивление хорошо, и большинство из нас пропускают простые изменения, не присмотревшись повнимательнее.
Неожиданные разъединения и задержки в сети
- Определенные формы MITM-атак могут приводить к внезапным, неожиданным сетевым задержкам или полному отключению. Это может происходить с течением времени и обычно не сопровождается сбоями в работе сети или другими очевидными симптомами.
- Если вы сталкиваетесь с частыми сетевыми отсоединениям или задержками, возможно, стоит присмотреться повнимательнее, чтобы убедиться, что это не просто проблема с сетью.
Мониторинг общедоступной сети Wi-Fi
- Злоумышленники часто перехватывают информацию, отправляемую по общедоступным сетям, или даже создают поддельные сети в публичных местах. Эти сети позволяют киберпреступникам видеть всю вашу активность в Интернете, и при этом вы даже не подозреваете, что подвергаетесь атаке. По возможности избегайте общедоступных сетей Wi-Fi и используйте VPN, если вам необходимо подключиться к Интернету. Вам также следует избегать подключения к странным сетям с подозрительными именами.
Как предотвращать атаки типа «человек посередине»?
Предотвращение атак типа «человек посередине» может спасать частных лиц и компании от существенных убытков и сохранять их веб-идентификацию в целости и сохранности. Вот несколько важных инструментов, помогающих предотвратить MITM-атаки:
Диспетчер паролей
- Использование менеджера паролей с надлежащими функциями сетевой безопасности гарантирует надежное хранение всех учетных данных для входа. Одной из важных функций защиты от MITM является сквозное шифрование. В Keeper интегрировано сквозное шифрование с общим доступом между хранилищами с использованием инфраструктуры открытых ключей (PKI). Это означает, что киберпреступники не могут перехватывать пароли или другие общие записи при передаче. Для компаний Keeper также предлагает общие групповые папки команды и возможности управления на основе ролей, что позволяет администраторам ограничивать и распределять доступ в группах пользователей.
Виртуальная частная сеть
- Виртуальная частная сеть, или VPN, перенаправляет весь интернет-трафик на несколько разных серверов, эффективно скрывая IP-адрес пользователя и делая сеанс просмотра более приватным и безопасным. В VPN также встроено шифрование, что помогает защищать сообщения и другие данные.