Что такое атака "человек посередине"? Типы, предотвращение и обнаружение

Articles Articles

Атака Man-in-the-Middle (MITM) происходит, когда хакер вставляет себя между пользователем и веб-сайтом. Этот вид атаки имеет несколько форм. Например, поддельный банковский сайт может быть использован для получения финансовой информации для входа в систему. Поддельный сайт находится "посередине" между пользователем и реальным веб-сайтом банка.

У злоумышленников много разных причин и методов для использования атаки MITM. Как правило, они пытаются что-то украсть, например, номера кредитных карт или учетные данные для входа в систему. Иногда они подглядывают за частными разговорами, в которых могут содержаться коммерческие секреты или другая ценная информация.

Почти все атаки объединяет то, что злоумышленник выдает себя за человека (или сайт), которому вы доверяете.

Типы атак типа "человек посередине"

Подслушивание Wi-Fi

Если вы когда-нибудь пользовались ноутбуком в кафе, вы могли заметить всплывающее окно с надписью "Эта сеть небезопасна". Общественный wi-fi обычно предоставляется "как есть", без каких-либо гарантий качества обслуживания.

Однако незашифрованные соединения wi-fi легко подслушать. Это похоже на разговор в общественном ресторане - любой может подслушать. Вы можете ограничить свою уязвимость, установив для своей сети режим "публичный", который отключает функцию Network Discovery. Это не позволит другим пользователям сети получить доступ к вашей системе.

Другая атака Wi-Fi Eavesdropping происходит, когда хакер создает свою собственную точку доступа Wi-Fi, называемую "злым двойником". Они делают так, чтобы подключение выглядело точно так же, как настоящее, вплоть до идентификатора сети и паролей. Пользователи могут случайно (или автоматически) подключиться к "злобному двойнику", что позволяет хакеру подглядывать за их действиями.

Перехват электронной почты

При этом типе атаки кибербезопасности хакер взламывает учетную запись электронной почты пользователя. Часто хакер молча ждет, собирая информацию и подслушивая разговоры по электронной почте. У хакеров может быть поисковый скрипт, который ищет определенные ключевые слова, например "банк" или "секретные стратегии демократов".

Перехват электронной почты хорошо сочетается с социальной инженерией. Хакеры могут использовать информацию из взломанного аккаунта электронной почты, чтобы выдать себя за друга в Интернете. Они также могут использовать фишинг копьем, чтобы заставить пользователя установить вредоносное программное обеспечение.

Атаки на подмену IP-адресов

Как уже говорилось, все системы, подключенные к сети, имеют IP-адрес. Во многих корпоративных интранет-сетях каждой системе присваивается свой собственный IP-адрес. При IP-спуфинге хакеры имитируют IP-адрес авторизованного устройства. Для сети устройство выглядит так, как будто оно разрешено.

Это может позволить неавторизованному пользователю проникнуть в сеть. Они могут оставаться в тишине и записывать активность, или они могут запустить атаку "Отказ в обслуживании" (DoS). Подмена IP-адреса также может быть использована в атаке MITM, если встать между двумя системами:

Система A ====== Хакер ====== Система B.

Система A и система B думают, что разговаривают друг с другом, но хакер перехватывает и разговаривает с обеими системами.

Согласно индексу IBM X-Force Threat Intelligence 2018 Index, 35% активности эксплуатации связаны с попытками атак MITM.

Подмена DNS

Интернет работает по числовым IP-адресам. Например, один из адресов Google - 172.217.14.228.

Большинство веб-сайтов используют сервер для преобразования этого адреса в привлекательное имя: например, google.com. Сервер, который переводит 127.217.14.228 в "google.com", называется сервером доменных имен, или DNS.

Хакер может создать поддельный DNS-сервер. Это называется "спуфинг". Поддельный сервер направляет настоящее имя веб-сайта на другой IP-адрес. Хакер может создать поддельный сайт на новом IP-адресе, который выглядит так же, как настоящий сайт. Посетив поддельный сайт, злоумышленник может получить доступ к вашей конфиденциальной информации и личным данным.

Подделка HTTPS

В настоящее время невозможно продублировать сайт HTTPS.

Однако исследователи безопасности продемонстрировали теоретический метод обхода HTTPS. Хакер создает веб-адрес, который выглядит как подлинный адрес.

Вместо обычных символов в нем используются буквы из иностранных алфавитов. Это выглядит как спам, который вы могли видеть в электронных письмах со странными символами. Например, Rolex может быть написан как Rólex.

SSL Stripping

SSL расшифровывается как Secure Socket Layer. SSL - это протокол шифрования, который используется, когда перед веб-адресом вы видите https://, а не http://. При использовании SSL Stripping хакер перехватывает и пересылает трафик от пользователя:

Пользователь ====== Хакер ====== Зашифрованный веб-сайт.

Пользователь пытается подключиться к зашифрованному веб-сайту. Хакер перехватывает и подключается к зашифрованному сайту от имени пользователя. Часто хакер создает дубликат сайта, чтобы показать его пользователю. Пользователь думает, что он вошел на обычный сайт, но на самом деле это то, что хакер хочет, чтобы он увидел. Хакер "удалил" протокол SSL из сетевого соединения пользователя.

Перехват сеанса

Этот тип атаки "человек в атаке" обычно используется для компрометации учетных записей в социальных сетях. На большинстве сайтов социальных сетей веб-сайт хранит на компьютере пользователя "сессионный файл cookie браузера". Этот файл cookie аннулируется, когда пользователь выходит из системы. Но пока сессия активна, cookie предоставляет информацию об идентификации, доступе и отслеживании.

Перехват сеанса происходит, когда злоумышленник крадет файл cookie сеанса. Это может произойти, если компьютер пользователя заражен вредоносными программами или угонщиками браузера. Также это может произойти, если злоумышленник использует перекрестную XSS-атаку - когда злоумышленник внедряет вредоносный код на часто используемый сайт.

Подделка ARP

ARP означает протокол разрешения адресов.

Пользователь посылает ARP-запрос, а хакер отправляет поддельный ответ. В этом случае хакер притворяется устройством типа маршрутизатора, что позволяет ему перехватывать трафик. Обычно это ограничено локальными вычислительными сетями (LAN), которые используют протокол ARP.

Человек в браузере

Это тип атаки, использующий уязвимости в веб-браузерах.

Троянские кони, компьютерные черви, Java-эксплойты, атаки SQL-инъекций и дополнения к браузеру могут быть векторами атаки. Такие атаки часто используются для захвата финансовой информации.

Когда пользователь входит в свой банковский счет, вредоносная программа перехватывает его учетные данные. В некоторых случаях вредоносные скрипты могут переводить средства, а затем изменять квитанцию об оплате, чтобы скрыть транзакцию.

Предотвращение атак типа "человек посередине"

Используйте виртуальную частную сеть (VPN) для шифрования веб-трафика. Зашифрованная VPN значительно ограничивает возможности хакеров по чтению или изменению веб-трафика.

Будьте готовы предотвратить потерю данных; имейте план реагирования на инциденты кибербезопасности.

Сетевая безопасность

Защитите свою сеть с помощью системы обнаружения вторжений. Сетевые администраторы должны соблюдать правила сетевой гигиены для предотвращения атак типа "человек посередине".

Анализируйте шаблоны трафика, чтобы выявить необычное поведение.

Ваша сеть должна иметь надежные брандмауэры и протоколы для предотвращения несанкционированного доступа.

Используйте сторонние инструменты тестирования на проникновение, программное обеспечение и шифрование HTTPS для обнаружения и блокирования попыток подмены.

Установите активную защиту от вирусов и вредоносных программ, включающую сканер, который запускается в системе при загрузке.

Защитите свои коммуникации

Шифрование - лучшая защита от перехвата сообщений.

Наиболее эффективным методом предотвращения перехвата электронной почты является двухфакторная аутентификация. Это означает, что в дополнение к паролю вы должны предоставить еще один способ аутентификации. Одним из примеров является комбинация пароля и текстового сообщения на смартфон в Gmail.

Используйте основные правила безопасности в Интернете на всех устройствах, включая мобильные приложения.

Остерегайтесь фишинговых писем, поскольку они являются наиболее распространенным вектором атак. Внимательно изучайте ссылки, прежде чем нажать на них.

  • Устанавливайте плагины для браузеров только из надежных источников.
  • Минимизируйте вероятность атак, выходя из неиспользуемых учетных записей, чтобы аннулировать куки сеанса.
  • Принудительное шифрование путем ввода https в начале:https://www.website.com.
  • Если вы ожидаете зашифрованное соединение, но его нет, прекратите свои действия и запустите проверку безопасности.
  • Если вы используете Google Chrome, установите расширение безопасности Chrome, например HTTPS Everywhere, которое принудительно устанавливает SSL-соединение при любой возможности.
  • Вы должны увидеть зеленый или серый замок слева от веб-адреса в браузере. Если вы видите красный замок, значит, что-то не так с шифрованием - дважды проверьте доменные имена и браузер, прежде чем посещать небезопасный сайт.
  • Отключите "поддержку Punycode" (для рендеринга символов разных языков) в своем браузере.
  • Добавьте корпоративное решение для управления паролями; это позволит избежать автоматического заполнения паролей на небезопасном сайте.
  • Помните о лучших практиках мобильной безопасности. Мобильные приложения часто становятся мишенью для атак.
  • Избегайте использования общественных сетей wifi. Если вы вынуждены пользоваться общественным wi-fi, настройте свое устройство так, чтобы оно требовало ручного подключения.

Помните, что некоторые атаки являются формой социальной инженерии. Если что-то кажется неправильным на сайте или в электронном письме, потратьте несколько минут на то, чтобы копнуть глубже.

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий