Търсене
Close this search box.

КАКВО ПРЕДСТАВЛЯВАТ MITM АТАКИТЕ

Определение и превенция

Атаката тип „човек по средата“ (MITM) е вид кибератака, при която нападателите прихващат съществуващ разговор или прехвърляне на данни, или чрез подслушване, или като се преструват на легитимен участник. За жертвата ще изглежда така, сякаш е в ход стандартен обмен на информация – но като се вмъкне в „средата“ на разговора или трансфера на данни, нападателят може тихо да отвлече информация.

Целта на атаката на MITM е да извлече поверителни данни като данни за банкова сметка, номера на кредитни карти или идентификационни данни за вход, които могат да се използват за извършване на допълнителни престъпления като кражба на самоличност или незаконни преводи на средства. Тъй като MITM атаките се извършват в реално време, те често остават неоткрити, докато не стане твърде късно.

Двете фази на атака от типа човек в средата

Успешната MITM атака включва две специфични фази: прихващане и декриптиране.

  1. Прихващане

Прихващането включва намесата на нападателя в легитимната мрежа на жертвата, като я прихваща с фалшива мрежа, преди да успее да достигне предназначената си дестинация. Фазата на прихващане е по същество как нападателят се вмъква като „човек в средата“. Нападателите често правят това, като създават фалшива Wi-Fi точка за достъп в публично място, която не изисква парола. Ако жертвата се свърже с горещата точка, нападателят получава достъп до всеки онлайн обмен на данни, който се извършва.

 

След като нападателят успешно се вмъкне между жертвата и желаната дестинация, той може да използва различни техники, за да продължи атаката:

 

  • IP спуфинг: Всяко устройство, свързано с Wi-Fi, има адрес на интернет протокол (IP), който е централен за това как комуникират мрежови компютри и устройства. IP спуфинг включва нападател, който променя IP пакетите, за да се представя за компютърната система на жертвата. Когато жертвата се опита да получи достъп до URL, свързан с тази система, вместо това несъзнателно се изпраща до уебсайта на нападателя.
  • ARP спуфинг: С подправяне на протокола за разрешаване на адреси (ARP), нападателят използва фалшифицирани ARP съобщения, за да свърже своя MAC адрес с легитимния IP адрес на жертвата. Чрез свързване на своя MAC адрес с автентичен IP адрес, нападателят получава достъп до всички данни, изпратени до IP адреса на хоста.
  • DNS Spoofing: Подвеждането на сървъра за имена на домейни (DNS), известно още като отравяне на DNS кеша, включва нападател, който променя DNS сървър, за да пренасочи уеб трафика на жертвата към измамнически уебсайт, който много наподобява целевия уебсайт. Ако жертвата влезе в това, което смята, че е неин акаунт, нападателите могат да получат достъп до лични данни и друга информация.
  1. Декриптиране

MITM атаката не спира при прихващане. След като нападателят получи достъп до криптираните данни на жертвата, те трябва да бъдат декриптирани, за да може нападателят да ги чете и използва. Редица методи могат да се използват за декриптиране на данните на жертвата, без да се предупреждава потребителят или приложението:

 

  • HTTPS спуфинг: HTTPS спуфингът е метод за подвеждане на браузъра ви да мисли, че определен уебсайт е безопасен и автентичен, когато не е. Когато жертвата се опита да се свърже със защитен сайт, до браузъра им се изпраща фалшив сертификат, който вместо това ги отвежда до злонамерения уебсайт на нападателя. Това дава на нападателя достъп до всички данни, които жертвата споделя на този сайт.
  • Отвличане на SSL: Всеки път, когато се свържете с незащитен уебсайт, обозначен с „HTTP“ в URL адреса, вашият сървър автоматично ви пренасочва към защитената HTTPS версия на този сайт. С отвличането на SSL, нападателят използва собствен компютър и сървър, за да прихване пренасочването, което му позволява да прекъсне всяка информация, предавана между компютъра на потребителя и сървъра. Това му дава достъп до всяка чувствителна информация, която потребителят използва по време на сесията си.
  • SSL премахване: SSL премахването включва нападателят да прекъсва връзката между потребител и уебсайт. Това се прави чрез понижаване на защитената HTTPS връзка на потребителя до незащитена HTTP версия на уебсайта. Това свързва потребителя с незащитения сайт, докато нападателят поддържа връзка със защитения сайт, правейки активността на потребителя видима за нападателя в некриптирана форма.

 

Реални примери за MITM атака

През последните няколко десетилетия имаше редица добре известни атаки от типанMITM.

 

  • През 2015г. беше установено, че рекламна програма, наречена Superfish, която беше предварително инсталирана на машини на Lenovo от 2014г., сканира SSL трафик и инсталира фалшиви сертификати, които позволяват на подслушватели на трети страни да прихващат и пренасочват защитен входящ трафик. Фалшивите сертификати също функционираха при въвеждане на реклами дори на криптирани страници.
  • През 2017г. беше открита голяма уязвимост в приложенията за мобилно банкиране за редица банки с висок профил, излагайки клиенти с iOS и Android на атаки „човек в средата“. Недостатъкът беше свързан с технологията за фиксиране на сертификати, използвана за предотвратяване на използването на измамни сертификати, при които тестовете за сигурност не успяха да открият нападатели поради закрепването на сертификата, криещо липсата на правилна проверка на името на хоста. Това в крайна сметка даде възможност за извършване на MITM атаки.

Как да открием MITM атака

Ако не търсите активно признаци, че вашите онлайн комуникации са били прихванати или компрометирани, откриването на атака „човек в средата“може да бъде трудно. Въпреки че е лесно да останат незабелязани, има някои неща, на които трябва да обърнете внимание, когато сърфирате в мрежата – основно URL адресът в адресната лента.

Знакът на защитен уебсайт се обозначава с „HTTPS“ в URL адреса на сайта. Ако в URL адреса липсва „S“ и се чете като „HTTP“, това е незабавен червен флаг, че връзката ви не е защитена. Трябва също да потърсите икона за заключване на SSL вляво от URL адреса, която също обозначава защитен уебсайт.

Освен това внимавайте когато се  свързвате с обществени Wi-Fi мрежи. Както беше обсъдено по-горе, киберпрестъпниците често шпионират обществени Wi-Fi мрежи и ги използват за извършване на атака „човек в средата“. Най-добре е никога да не приемате, че публичната Wi-Fi мрежа е легитимна и да избягвате свързването с неразпознати Wi-Fi мрежи като цяло.

Превенция и как да се подготвим

Въпреки че е важно да знаете как да откриете потенциална MITM атака, най-добрият начин да се предпазите от тях е като ги предотвратите на първо място. Не забравяйте да следвате тези най-добри практики:

 

  • Избягвайте Wi-Fi мрежи, които не са защитени с парола, и никога не използвайте обществена Wi-Fi мрежа за чувствителни транзакции, които изискват вашата лична информация.
  • Използвайте виртуална частна мрежа (VPN) — особено когато се свързвате с интернет на обществено място. VPN криптират вашата онлайн активност и не позволяват на нападателя да прочете личните ви данни, като пароли или информация за банкова сметка.
  • Излезте от чувствителни уебсайтове (като уебсайт за онлайн банкиране) веднага щом приключите, за да избегнете отвличане на сесия.
  • Поддържайте правилни навици за пароли, като например никога да не използвате повторно пароли за различни акаунти, и използвайте мениджър на пароли, за да сте сигурни, че паролите ви са възможно най-силни.
  • Използвайте многофакторно удостоверяване за всичките си пароли.
  • Използвайте защитна стена, за да осигурите безопасни интернет връзки.
  • Използвайте антивирусен софтуер, за да защитите устройствата си от злонамерен софтуер.

Тъй както нашият дигитално свързан свят продължава да се развива, така се развива и сложността на киберпрестъпленията и използването на уязвимостите в сигурността. Грижата да се образовате относно най-добрите практики за киберсигурност е от решаващо значение за защитата от атаки „човек в средата“ и други видове киберпрестъпления. Най-малкото, ако сте оборудвани със силен антивирусен софтуер, е много важно да запазите вашите данни безопасни и защитени.

Източник: Panda Media Center

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
Бъдете социални
Още по темата
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
09/04/2024

(Пре)откриване на скритата ...

Съвременното нулево доверие е модел за...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!