Об атаке MITM
В этой статье расскажем об атаке Men-in-the-middle: в чём её смысл и какие бывают виды. А ещё расскажем, как можно её заметить и как предотвратить.
В чем смысл атаки?
Злоумышленник пропускает веб-трафик жертвы через себя. Жертва в этот момент думает, что работает напрямую с нужным ему веб-сайтом или приложением. Но на самом деле трафик проходит через промежуточный узел, что позволяет хакеру получить важные данные: логин, пароль и т.д.
Это атака характера и для пары человек-компания → когда мы смотрим что-то в банке. И для пары компания-компания → когда мы смотрим что-то в том же банке через корпоративный аккаунт. Благодаря просмотру этого трафика злоумышленник может увидеть и украсть данные, чтобы использовать их для дальнейшей кражи или вымогательства.
Какие есть виды MITM-атак
Общедоступный Wi-Fi Общедоступные сети часто не защищают. Это приводит к тому, что преступник может видеть веб-трафик с любого подключенного устройства.
| Мошенническая точка доступа Злоумышленник создают свою точку доступа в сети. Так он перехватывает, отслеживает трафик, а ещё часто перенаправляет его в другую сеть, чтобы загрузить вредоносное ПО. А дальше по классике: шпионаж, вымогательство, кража. |
IP-спуфинг Злоумышленник подделывает адрес, меняя заголовки пакетов, чтобы быть похожим на настоящий веб-сайт или приложение.
| ARP-спуфинг Связывает MAC-адрес злоумышленника с IP-адресом жертвы в локальной сети с помощью поддельных сообщений ARP. Вот что после происходит: 1. Любые данные от жертвы направляются не в локальную сеть, а на МАС-адрес злоумышленника. 2. Кибержулик перехватывает данные и пользуется ими в своих целях. |
DNS-спуфинг Злоумышленник заходит на DNS-сервер веб-сайта и изменяет запись веб-адреса. После этого DNS-запись перенаправляет входящий трафик на веб-сайт киберпреступника.
| HTTPS-спуфинг Злоумышленник отправляет в браузер поддельный сертификат безопасности в момент, когда пользователь подключается через HTTPS. Браузер считает это безопасным, хотя злоумышленник, возможно, крадет и перенаправляет данные. |
Перехват сеанса Перехватывание сеанса для контроля над ним. При этом пользователь исключается из сеанса, а злоумышленник остается внутри и просматривает все данные.
| Внедрение пакетов Создает пакетов с целью доступа и мониторинга трафика. А порой для инициирования DDoS. |
SSL-стриппинг Кибержулик перехватывает сигнал TLS от приложения или веб-сайта. Меняет его, чтобы сайт загружался по незащищенному соединению HTTP вместо HTTPS. А дальше — раскрытие конфиденциальной информации.
| SSL-спуфинг Подделка сайта под настоящий. Жертва думает, что взаимодействует с реальным ресурсом, но это не так. Преступник в этот момент крадет данные.
|
SSL BEAST Заражение устройства вредоносным кодом JavaScript. Программа перехватывает cookie и токены аутентификации веб-сайтов для дешифрования, открывая злоумышленнику доступ к сеансу жертвы.
| SSL-кража cookie-файлов браузера Кража информации с разных веб-сайтов, которую можно использовать для других атак.
|
Сниффинг Слежка за трафиком обычно с помощью приложений или специального оборудования.
|
|
Как обнаруживать MiTM?
1. Следить за веб-адресами. Это можно заметить по строке поиска и URL-адресу в браузере. При перехвате DNS могут подделывать используемые адреса, как правило, с едва заметными изменениями. www.google.com → это окей www.go0gle.com → не окей
2. Замечать неожиданные сетевые задержки или полные отключения.
Если всё хорошо по соединению → это окей. Частные сетевые отсоединения или задержки → это не окей, лучше проверить
3. Мониторить общественный Wi-Fi. Злоумышленники часто перехватывают информацию через этот канал, как и создают поддельные сети. Лучше вообще избегать общедоступных сетей Wi-Fi, ну или использовать VPN, если вам необходимо подключиться к Интернету. Само собой, тут тоже стоит избегать подключения к сетям со странными именами. Подключиться к ozmall_wifi_guest → это окей Подключиться к 0zmallwifi234 → это не окей, лучше не стоит
Как предотвращать атаки MiTM?
1. Использовать всегда и везде менеджеры паролей. Мы советуем keepass.
2. Использовать VPN, чтобы перенаправлять весь трафик на несколько серверов. Мы за WireGuard и OpenVPN.
Last updated