# Об атаке MITM ### В чем смысл атаки? Злоумышленник пропускает веб-трафик жертвы через себя. Жертва в этот момент думает, что работает напрямую с нужным ему веб-сайтом или приложением. Но на самом деле трафик проходит через промежуточный узел, что позволяет хакеру получить важные данные: логин, пароль и т.д. Это атака характера и для пары *человек-компания* → когда мы смотрим что-то в банке. \ И для пары *компания-компания* → когда мы смотрим что-то в том же банке через корпоративный аккаунт.\ \ Благодаря просмотру этого трафика злоумышленник может увидеть и украсть данные, чтобы использовать их для дальнейшей кражи или вымогательства. ### Какие есть виды MITM-атак


Общедоступный Wi-Fi Общедоступные сети часто не защищают. Это приводит к тому, что преступник может видеть веб-трафик с любого подключенного устройства.	Мошенническая точка доступа Злоумышленник создают свою точку доступа в сети. Так он перехватывает, отслеживает трафик, а ещё часто перенаправляет его в другую сеть, чтобы загрузить вредоносное ПО. А дальше по классике: шпионаж, вымогательство, кража.
IP-спуфинг Злоумышленник подделывает адрес, меняя заголовки пакетов, чтобы быть похожим на настоящий веб-сайт или приложение.	ARP-спуфинг Связывает MAC-адрес злоумышленника с IP-адресом жертвы в локальной сети с помощью поддельных сообщений ARP. Вот что после происходит: 1. Любые данные от жертвы направляются не в локальную сеть, а на МАС-адрес злоумышленника. 2. Кибержулик перехватывает данные и пользуется ими в своих целях.
DNS-спуфинг Злоумышленник заходит на DNS-сервер веб-сайта и изменяет запись веб-адреса. После этого DNS-запись перенаправляет входящий трафик на веб-сайт киберпреступника.	HTTPS-спуфинг Злоумышленник отправляет в браузер поддельный сертификат безопасности в момент, когда пользователь подключается через HTTPS. Браузер считает это безопасным, хотя злоумышленник, возможно, крадет и перенаправляет данные.
Перехват сеанса Перехватывание сеанса для контроля над ним. При этом пользователь исключается из сеанса, а злоумышленник остается внутри и просматривает все данные.	Внедрение пакетов Создает пакетов с целью доступа и мониторинга трафика. А порой для инициирования DDoS.
SSL-стриппинг Кибержулик перехватывает сигнал TLS от приложения или веб-сайта. Меняет его, чтобы сайт загружался по незащищенному соединению HTTP вместо HTTPS. А дальше — раскрытие конфиденциальной информации.	SSL-спуфинг Подделка сайта под настоящий. Жертва думает, что взаимодействует с реальным ресурсом, но это не так. Преступник в этот момент крадет данные.
SSL BEAST Заражение устройства вредоносным кодом JavaScript. Программа перехватывает cookie и токены аутентификации веб-сайтов для дешифрования, открывая злоумышленнику доступ к сеансу жертвы.	SSL-кража cookie-файлов браузера Кража информации с разных веб-сайтов, которую можно использовать для других атак.
Сниффинг Слежка за трафиком обычно с помощью приложений или специального оборудования.

Общедоступный Wi-Fi

Общедоступные сети часто не защищают. Это приводит к тому, что преступник может видеть веб-трафик с любого подключенного устройства.

Мошенническая точка доступа

Злоумышленник создают свою точку доступа в сети. Так он перехватывает, отслеживает трафик, а ещё часто перенаправляет его в другую сеть, чтобы загрузить вредоносное ПО. А дальше по классике: шпионаж, вымогательство, кража.

IP-спуфинг

Злоумышленник подделывает адрес, меняя заголовки пакетов, чтобы быть похожим на настоящий веб-сайт или приложение.

ARP-спуфинг

Связывает MAC-адрес злоумышленника с IP-адресом жертвы в локальной сети с помощью поддельных сообщений ARP. Вот что после происходит:

1. Любые данные от жертвы направляются не в локальную сеть, а на МАС-адрес злоумышленника.
2. Кибержулик перехватывает данные и пользуется ими в своих целях.

DNS-спуфинг

Злоумышленник заходит на DNS-сервер веб-сайта и изменяет запись веб-адреса.

После этого DNS-запись перенаправляет входящий трафик на веб-сайт киберпреступника.

HTTPS-спуфинг

Злоумышленник отправляет в браузер поддельный сертификат безопасности в момент, когда пользователь подключается через HTTPS. Браузер считает это безопасным, хотя злоумышленник, возможно, крадет и перенаправляет данные.

Перехват сеанса

Перехватывание сеанса для контроля над ним. При этом пользователь исключается из сеанса, а злоумышленник остается внутри и просматривает все данные.

Внедрение пакетов

Создает пакетов с целью доступа и мониторинга трафика. А порой для инициирования DDoS.

SSL-стриппинг

Кибержулик перехватывает сигнал TLS от приложения или веб-сайта. Меняет его, чтобы сайт загружался по незащищенному соединению HTTP вместо HTTPS. А дальше — раскрытие конфиденциальной информации.

SSL-спуфинг

Подделка сайта под настоящий. Жертва думает, что взаимодействует с реальным ресурсом, но это не так. Преступник в этот момент крадет данные.

SSL BEAST

Заражение устройства вредоносным кодом JavaScript. Программа перехватывает cookie и токены аутентификации веб-сайтов для дешифрования, открывая злоумышленнику доступ к сеансу жертвы.

SSL-кража cookie-файлов браузера

Кража информации с разных веб-сайтов, которую можно использовать для других атак.

Сниффинг

Слежка за трафиком обычно с помощью приложений или специального оборудования.

### Как обнаруживать MiTM? 1\. Следить за веб-адресами. Это можно заметить по строке поиска и URL-адресу в браузере. При перехвате DNS могут подделывать используемые адреса, как правило, с едва заметными изменениями.\ \ [www.google](http://www.google).com → это окей\ [www.go0gle.com](http://www.go0gle.com) → не окей 2\. Замечать неожиданные сетевые задержки или полные отключения. Если всё хорошо по соединению → это окей.\ Частные сетевые отсоединения или задержки → это не окей, лучше проверить 3\. Мониторить общественный Wi-Fi. Злоумышленники часто перехватывают информацию через этот канал, как и создают поддельные сети. Лучше вообще избегать общедоступных сетей Wi-Fi, ну или использовать VPN, если вам необходимо подключиться к Интернету. Само собой, тут тоже стоит избегать подключения к сетям со странными именами.\ \ Подключиться к ozmall\_wifi\_guest → это окей\ Подключиться к 0zmallwifi234 → это не окей, лучше не стоит ### Как предотвращать атаки MiTM? 1\. Использовать всегда и везде менеджеры паролей. Мы советуем [keepass](https://keepass.info/). 2\. Использовать VPN, чтобы перенаправлять весь трафик на несколько серверов. Мы за [WireGuard](https://www.wireguard.com/) и [OpenVPN](https://openvpn.net/).