Определение и превенция

Атаката тип „човек по средата“ (MITM) е вид кибератака, при която нападателите прихващат съществуващ разговор или прехвърляне на данни, или чрез подслушване, или като се преструват на легитимен участник. За жертвата ще изглежда така, сякаш е в ход стандартен обмен на информация – но като се вмъкне в „средата“ на разговора или трансфера на данни, нападателят може тихо да отвлече информация.

Целта на атаката на MITM е да извлече поверителни данни като данни за банкова сметка, номера на кредитни карти или идентификационни данни за вход, които могат да се използват за извършване на допълнителни престъпления като кражба на самоличност или незаконни преводи на средства. Тъй като MITM атаките се извършват в реално време, те често остават неоткрити, докато не стане твърде късно.

Двете фази на атака от типа човек в средата

Успешната MITM атака включва две специфични фази: прихващане и декриптиране.

1. Прихващане

Прихващането включва намесата на нападателя в легитимната мрежа на жертвата, като я прихваща с фалшива мрежа, преди да успее да достигне предназначената си дестинация. Фазата на прихващане е по същество как нападателят се вмъква като „човек в средата“. Нападателите често правят това, като създават фалшива Wi-Fi точка за достъп в публично място, която не изисква парола. Ако жертвата се свърже с горещата точка, нападателят получава достъп до всеки онлайн обмен на данни, който се извършва.

След като нападателят успешно се вмъкне между жертвата и желаната дестинация, той може да използва различни техники, за да продължи атаката:

• IP спуфинг: Всяко устройство, свързано с Wi-Fi, има адрес на интернет протокол (IP), който е централен за това как комуникират мрежови компютри и устройства. IP спуфинг включва нападател, който променя IP пакетите, за да се представя за компютърната система на жертвата. Когато жертвата се опита да получи достъп до URL, свързан с тази система, вместо това несъзнателно се изпраща до уебсайта на нападателя.
• ARP спуфинг: С подправяне на протокола за разрешаване на адреси (ARP), нападателят използва фалшифицирани ARP съобщения, за да свърже своя MAC адрес с легитимния IP адрес на жертвата. Чрез свързване на своя MAC адрес с автентичен IP адрес, нападателят получава достъп до всички данни, изпратени до IP адреса на хоста.
• DNS Spoofing: Подвеждането на сървъра за имена на домейни (DNS), известно още като отравяне на DNS кеша, включва нападател, който променя DNS сървър, за да пренасочи уеб трафика на жертвата към измамнически уебсайт, който много наподобява целевия уебсайт. Ако жертвата влезе в това, което смята, че е неин акаунт, нападателите могат да получат достъп до лични данни и друга информация.

2. Декриптиране

MITM атаката не спира при прихващане. След като нападателят получи достъп до криптираните данни на жертвата, те трябва да бъдат декриптирани, за да може нападателят да ги чете и използва. Редица методи могат да се използват за декриптиране на данните на жертвата, без да се предупреждава потребителят или приложението:

• HTTPS спуфинг: HTTPS спуфингът е метод за подвеждане на браузъра ви да мисли, че определен уебсайт е безопасен и автентичен, когато не е. Когато жертвата се опита да се свърже със защитен сайт, до браузъра им се изпраща фалшив сертификат, който вместо това ги отвежда до злонамерения уебсайт на нападателя. Това дава на нападателя достъп до всички данни, които жертвата споделя на този сайт.
• Отвличане на SSL: Всеки път, когато се свържете с незащитен уебсайт, обозначен с „HTTP“ в URL адреса, вашият сървър автоматично ви пренасочва към защитената HTTPS версия на този сайт. С отвличането на SSL, нападателят използва собствен компютър и сървър, за да прихване пренасочването, което му позволява да прекъсне всяка информация, предавана между компютъра на потребителя и сървъра. Това му дава достъп до всяка чувствителна информация, която потребителят използва по време на сесията си.
• SSL премахване: SSL премахването включва нападателят да прекъсва връзката между потребител и уебсайт. Това се прави чрез понижаване на защитената HTTPS връзка на потребителя до незащитена HTTP версия на уебсайта. Това свързва потребителя с незащитения сайт, докато нападателят поддържа връзка със защитения сайт, правейки активността на потребителя видима за нападателя в некриптирана форма.

Реални примери за MITM атака

През последните няколко десетилетия имаше редица добре известни атаки от типанMITM.

• През 2015г. беше установено, че рекламна програма, наречена Superfish, която беше предварително инсталирана на машини на Lenovo от 2014г., сканира SSL трафик и инсталира фалшиви сертификати, които позволяват на подслушватели на трети страни да прихващат и пренасочват защитен входящ трафик. Фалшивите сертификати също функционираха при въвеждане на реклами дори на криптирани страници.
• През 2017г. беше открита голяма уязвимост в приложенията за мобилно банкиране за редица банки с висок профил, излагайки клиенти с iOS и Android на атаки „човек в средата“. Недостатъкът беше свързан с технологията за фиксиране на сертификати, използвана за предотвратяване на използването на измамни сертификати, при които тестовете за сигурност не успяха да открият нападатели поради закрепването на сертификата, криещо липсата на правилна проверка на името на хоста. Това в крайна сметка даде възможност за извършване на MITM атаки.

Как да открием MITM атака

Ако не търсите активно признаци, че вашите онлайн комуникации са били прихванати или компрометирани, откриването на атака „човек в средата“може да бъде трудно. Въпреки че е лесно да останат незабелязани, има някои неща, на които трябва да обърнете внимание, когато сърфирате в мрежата – основно URL адресът в адресната лента.

Знакът на защитен уебсайт се обозначава с „HTTPS“ в URL адреса на сайта. Ако в URL адреса липсва „S“ и се чете като „HTTP“, това е незабавен червен флаг, че връзката ви не е защитена. Трябва също да потърсите икона за заключване на SSL вляво от URL адреса, която също обозначава защитен уебсайт.

Освен това внимавайте когато се  свързвате с обществени Wi-Fi мрежи. Както беше обсъдено по-горе, киберпрестъпниците често шпионират обществени Wi-Fi мрежи и ги използват за извършване на атака „човек в средата“. Най-добре е никога да не приемате, че публичната Wi-Fi мрежа е легитимна и да избягвате свързването с неразпознати Wi-Fi мрежи като цяло.

Превенция и как да се подготвим

Въпреки че е важно да знаете как да откриете потенциална MITM атака, най-добрият начин да се предпазите от тях е като ги предотвратите на първо място. Не забравяйте да следвате тези най-добри практики:

• Избягвайте Wi-Fi мрежи, които не са защитени с парола, и никога не използвайте обществена Wi-Fi мрежа за чувствителни транзакции, които изискват вашата лична информация.
• Използвайте виртуална частна мрежа (VPN) — особено когато се свързвате с интернет на обществено място. VPN криптират вашата онлайн активност и не позволяват на нападателя да прочете личните ви данни, като пароли или информация за банкова сметка.
• Излезте от чувствителни уебсайтове (като уебсайт за онлайн банкиране) веднага щом приключите, за да избегнете отвличане на сесия.
• Поддържайте правилни навици за пароли, като например никога да не използвате повторно пароли за различни акаунти, и използвайте мениджър на пароли, за да сте сигурни, че паролите ви са възможно най-силни.
• Използвайте многофакторно удостоверяване за всичките си пароли.
• Използвайте защитна стена, за да осигурите безопасни интернет връзки.
• Използвайте антивирусен софтуер, за да защитите устройствата си от злонамерен софтуер.

Тъй както нашият дигитално свързан свят продължава да се развива, така се развива и сложността на киберпрестъпленията и използването на уязвимостите в сигурността. Грижата да се образовате относно най-добрите практики за киберсигурност е от решаващо значение за защитата от атаки „човек в средата“ и други видове киберпрестъпления. Най-малкото, ако сте оборудвани със силен антивирусен софтуер, е много важно да запазите вашите данни безопасни и защитени.