Главная страница » Термины

Man-in-the-Middle (MitM)

Атака «человек посередине» (MitM) - это форма кибератаки, при которой злоумышленники, используя слабые веб-протоколы, вставляют себя между объектами в канале связи, чтобы украсть данные.

Ни одна из сторон, отправляющих электронную почту, пишущих смс или общающихся по видеосвязи, не знает, что злоумышленник вмешался в разговор и что он крадет их данные.

В то время как большинство кибератак происходят бесшумно и без ведома жертв, некоторые MitM-атаки являются противоположными. Это может быть бот, генерирующий правдоподобные текстовые сообщения, выдающий себя за человека во время звонка или подменяющий всю систему связи для сбора важных, по мнению злоумышленника, данных с устройств участников.

Часто задаваемые вопросы об атаках человек посередине

Как работает атака «человек посередине»?

В общих чертах, атака «человек посередине» (MitM) работает путем использования уязвимостей в сетевых, веб- или браузерных протоколах безопасности для перенаправления законного трафика и кражи информации у жертв.

Защищают ли VPN от атаки Man-in-the-Middle?

Да. VPN шифруют данные, передаваемые между устройствами и сетью.

Предотвращает ли TLS атаки типа «человек посередине»?

Да. Безопасность транспортного уровня (TLS) - это протокол, пришедший на смену протоколу безопасности сокетов (SSL), который оказался уязвимым и был окончательно снят с производства в июне 2015 года. TLS обеспечивает самый надежный протокол безопасности между компьютерами в сети.

Типы отраслей и персон, которые наиболее уязвимы для MitM-атак

MitM-атака может быть направлена на любой бизнес, организацию или человека, если существует предполагаемая возможность получения финансовой выгоды киберпреступниками. Чем больше потенциальная финансовая выгода, тем выше вероятность атаки.

В темной паутине краденая личная финансовая или медицинская информация может продаваться по несколько долларов за запись. На первый взгляд, это не так уж много, пока вы не поймете, что в результате одной утечки данных могут быть скомпрометированы миллионы записей.

Популярными отраслями для MitM-атак являются банки и их банковские приложения, финансовые компании, системы здравоохранения, а также предприятия, управляющие промышленными сетями устройств, подключенных с помощью Интернета вещей (IoT). Миллионы этих уязвимых устройств подвергаются атакам в производстве, промышленных процессах, энергетических системах, критической инфраструктуре и т. д.

По данным SCORE и SBA, малый и средний бизнес сталкивается с большими рисками: 43 % всех кибератак направлены на малый и средний бизнес из-за отсутствия надежной защиты.

Типы атак типа «человек посередине» (MitM)

Перехват электронной почты

Как следует из названия, при этом типе атаки киберпреступники захватывают контроль над учетными записями электронной почты банков, финансовых учреждений или других надежных компаний, имеющих доступ к конфиденциальным данным и деньгам. Забравшись внутрь, злоумышленники могут отслеживать транзакции и переписку между банком и его клиентами.

В более вредоносных сценариях злоумышленники подделывают адрес электронной почты банка и отправляют клиентам письма, в которых просят их повторно отправить свои учетные данные или, что еще хуже, перевести деньги на счет, контролируемый злоумышленниками. В этом варианте MitM-атаки ключевым фактором успеха является социальная инженерия, или создание доверительных отношений с жертвами.

Подслушивание с помощью Wi-Fi

При подслушивании через Wi-Fi киберпреступники заставляют жертву подключиться к близлежащей беспроводной сети с легитимным названием. Но на самом деле эта сеть настроена на вредоносную деятельность. Беспроводная сеть может казаться принадлежащей близлежащему предприятию, которое часто посещает пользователь, или иметь общее, на первый взгляд безобидное название, например «Бесплатная общественная сеть Wi-Fi». В некоторых случаях пользователю даже не нужно вводить пароль для подключения.

После подключения жертвы к вредоносному Wi-Fi у злоумышленника есть выбор: следить за действиями пользователя в сети или выудить учетные данные, информацию о кредитных или платежных картах и другие конфиденциальные данные.

Чтобы защититься от этой атаки, пользователи должны всегда проверять, к какой сети они подключены. На мобильных телефонах следует отключать функцию автоматического подключения к Wi-Fi при локальном перемещении, чтобы предотвратить автоматическое подключение устройства к вредоносной сети.

Подмена DNS

Подмена системы доменных имен (DNS), или отравление кэша DNS, происходит, когда манипуляции с записями DNS используются для перенаправления законного интернет-трафика на поддельный или подставной сайт, созданный так, чтобы походить на сайт, который пользователь, скорее всего, знает и которому доверяет.

Как и во всех других методах подделки, злоумышленники побуждают пользователей невольно зайти на поддельный сайт и убеждают их в необходимости совершить определенное действие, например, заплатить комиссию или перевести деньги на определенный счет. При этом злоумышленники крадут у жертв как можно больше данных.

Перехват сеанса

Перехват сеанса - это тип MitM-атаки, при которой злоумышленник ждет, пока жертва войдет в приложение, например, банковское или электронное, а затем крадет сессионный cookie. Затем злоумышленник использует куки для входа в ту же учетную запись, которая принадлежит жертве, но уже из браузера злоумышленника.

Сессия - это фрагмент данных, который идентифицирует временный обмен информацией между двумя устройствами или между компьютером и пользователем. Злоумышленники используют сеансы, поскольку с их помощью можно идентифицировать пользователя, вошедшего на сайт. Однако злоумышленникам нужно действовать быстро, поскольку сессии истекают через определенное время, которое может составлять всего несколько минут.

Перехват протокола защищенных сокетов (SSL)

Большинство веб-сайтов сегодня показывают, что они используют защищенный сервер. В первой части унифицированного указателя ресурсов (URL), который отображается в адресной строке браузера, вместо «HTTP» или Hypertext Transfer Protocol Secure написано «HTTPS» (сокращение от Hypertext Transfer Protocol Secure). Даже если пользователь набирает HTTP - или вообще не набирает HTTP - в окне браузера отображается HTTPS или защищенная версия. Это стандартный протокол безопасности, и все данные, передаваемые на защищенный сервер, защищены.

SSL и его преемник - протокол безопасности транспортного уровня (TLS) - это протоколы для обеспечения безопасности между компьютерами в сети. При перехвате SSL злоумышленник перехватывает все данные, проходящие между сервером и компьютером пользователя. Это стало возможным потому, что SSL - старый, уязвимый протокол безопасности, который пришлось заменить - версия 3.0 была снята с производства в июне 2015 года - на более мощный протокол TLS.

Отравление кэша ARP

Протокол разрешения адресов (ARP) - это коммуникационный протокол, используемый для обнаружения адреса канального уровня, например адреса управления доступом к среде (MAC), связанного с заданным адресом интернет-уровня. Протокол ARP важен, поскольку он преобразует адрес канального уровня в адрес Интернет-протокола (IP) в локальной сети.

В этой схеме компьютер жертвы обманывается ложной информацией от киберпреступника, заставляя его думать, что компьютер мошенника является сетевым шлюзом. Таким образом, компьютер жертвы, подключившись к сети, по сути, отправляет весь свой сетевой трафик злоумышленнику, а не через настоящий сетевой шлюз. Затем злоумышленник использует этот перенаправленный трафик для анализа и кражи всей необходимой ему информации, например персональных данных (PII), хранящихся в браузере.

IP-спуфинг

IP-спуфинг похож на DNS-спуфинг тем, что злоумышленник перенаправляет интернет-трафик, идущий на легитимный сайт, на мошеннический сайт. Вместо того чтобы подменять DNS-запись сайта, злоумышленник изменяет IP-адрес вредоносного сайта, чтобы создать впечатление, будто это IP-адрес легитимного сайта, который собирались посетить пользователи.

Кража файлов cookie браузера

В компьютерной технике cookie - это небольшой хранимый фрагмент информации. Браузерный cookie, также известный как HTTP cookie, - это данные, собираемые веб-браузером и хранящиеся локально на компьютере пользователя. Браузерный cookie помогает веб-сайтам запоминать информацию, чтобы повысить удобство работы с сайтом. Например, при включенных cookies пользователю не нужно постоянно заполнять одни и те же пункты в форме, такие как имя и фамилия.

Для кражи файлов cookie браузера необходимо использовать другую технику MitM-атак, например подслушивание Wi-Fi или перехват сеанса. Киберпреступники могут получить доступ к устройству пользователя, используя один из других методов MitM, чтобы украсть файлы cookie браузера и использовать весь потенциал MitM-атаки. Получив доступ к cookies браузера, злоумышленники могут получить доступ к паролям, номерам кредитных карт и другой конфиденциальной информации, которую пользователи регулярно хранят в своих браузерах.

Как работает атака «человек посередине» (MitM)?

Независимо от конкретных методов или набора технологий, необходимых для проведения MitM-атаки, существует основной порядок работы:

  1. Человек A отправляет человеку B сообщение.
  2. MitM-злоумышленник перехватывает сообщение без ведома лица A или лица B.
  3. MitM-злоумышленник изменяет содержимое сообщения или вообще удаляет его, опять же, без ведома лица A или лица B.

В компьютерных терминах MitM-атака работает путем использования уязвимостей в сетевых, веб- или браузерных протоколах безопасности для перенаправления законного трафика и кражи информации у жертв.

Примеры атак типа «человек посередине

В 2013 году Эдвард Сноуден обнародовал документы, полученные им во время работы консультантом в Управлении национальной безопасности (АНБ). Из документов следовало, что АНБ выдавало себя за Google, перехватывая весь трафик с возможностью подмены сертификации SSL-шифрования. АНБ использовало эту MitM-атаку для получения записей поиска всех пользователей Google, включая всех американцев, что являлось незаконным внутренним шпионажем за гражданами США.

Интернет-провайдер Comcast использовал JavaScript для подмены своей рекламы рекламой со сторонних сайтов. Этот вид MitM-атаки называется инъекцией кода. Веб-трафик, проходящий через систему Comcast, давал Comcast возможность внедрить код и подменить всю рекламу, чтобы заменить ее на рекламу Comcast или вставить рекламу Comcast в контент, не содержащий рекламы.

Известным примером атаки типа «человек посередине» является Equifax, одна из трех крупнейших компаний, предоставляющих информацию о кредитных историях. В 2017 году у компании произошла утечка данных, в результате которой в течение многих месяцев злоумышленникам стали известны финансовые данные более 100 миллионов клиентов.

Дефект в банковском приложении, используемом HSBC, NatWest, Co-op, Santander и Allied Irish Bank, позволил злоумышленникам украсть личную информацию и учетные данные, включая пароли и пин-коды.

MitM-атаки способствовали массовым утечкам данных. Крупнейшими утечками данных в 2021 году стали утечки в Cognyte (пять миллиардов записей), Twitch (пять миллиардов записей), LinkedIn (700 миллионов записей) и Facebook (553 миллиона записей).

Проблемы MitM в мобильных приложениях

Каждый человек, использующий мобильное устройство, является потенциальной мишенью. Во многих приложениях не используется привязка сертификатов. Привязка сертификата связывает сертификат шифрования SSL с именем хоста в нужном месте назначения. Этот процесс требует включения в разработку приложения с использованием известных, действительных связей. Его нельзя реализовать позже, если уже работает вредоносный прокси, поскольку он подменит SSL-сертификат фальшивым.

Прокси перехватывает поток данных от отправителя к получателю. Если это вредоносный прокси, он изменяет данные без ведома отправителя или получателя.

Как обнаружить атаку «человек посередине» (MitM)?

Поскольку атаки MitM опираются на элементы, более тесно связанные с другими кибератаками, такими как фишинг или спуфинг - вредоносные действия, которые сотрудники и пользователи, возможно, уже обучены распознавать и пресекать, - на первый взгляд, обнаружить атаки MitM несложно.

Однако, учитывая растущую изощренность киберпреступников, обнаружение должно включать в себя целый ряд протоколов, как человеческих, так и технических. Как и в случае с любыми другими киберугрозами, ключевую роль играет их предотвращение.

Ниже перечислены признаки того, что в вашей сети могут быть подслушивающие устройства и что идет MitM-атака:

  • Необычные отключения: Неожиданные или повторяющиеся отключения от службы - когда пользователя странным образом выкидывает из службы и ему приходится входить в нее снова и снова - обычно являются признаком попытки или атаки MitM. Киберпреступники ищут как можно больше возможностей для выведывания имен и паролей, и хотя необходимость многократно вводить имя пользователя и пароль может показаться пользователю незначительным неудобством, для успеха MitM-атаки это действие должно повторяться снова и снова.
  • Странные URL-адреса: При мошенничестве киберпреступники создают фиктивные веб-сайты, которые выглядят идентично узнаваемым, проверенным сайтам, чтобы заманить жертву и заставить ее ввести свои учетные данные. В MitM-версии этой атаки веб-страница, передаваемая пользователю в браузере, является поддельным сайтом, а URL в адресном окне явно не является узнаваемым адресом доверенного сайта или приложения. MitM-злоумышленники используют перехват DNS, чтобы пользователи взаимодействовали с поддельным сайтом, а вредоносный код перехватывал их сообщения и собирал данные. При любых личных финансовых операциях пользователям следует внимательно изучать веб-страницы своих финансовых учреждений, чтобы определить, не кажется ли что-то незнакомым.
  • Общественный, незащищенный Wi-Fi: По возможности следует избегать публичного Wi-Fi, доступного в незнакомых заведениях. Это отличается от муниципального Wi-Fi, который бесплатно предоставляется городами, чтобы жители могли подключаться к Интернету. Даже если пользователи не совершают банковские операции или другие действия с конфиденциальными данными через публичный Wi-Fi, атака MitM все равно может отправить вредоносный код на устройство, чтобы подслушивать чаты и сообщения. Известно, что преступники используют невинно звучащие названия сетей Wi-Fi, например «Local Free Wireless», поэтому будьте осторожны. Злоумышленники могут предлагать бесплатное подключение, но при этом они наблюдают за всеми действиями пользователя.

Влияние атак типа «человек посередине» на предприятия

Атаки MitM являются серьезным явлением и требуют предотвращения атак типа «человек посередине». Предприятия сталкиваются с повышенными рисками из-за мобильности бизнеса, удаленных сотрудников, уязвимости устройств IoT, более широкого использования мобильных устройств и опасности использования незащищенных соединений Wi-Fi.

Альманах кибербезопасности 2022 года, опубликованный журналом Cybercrime Magazine, сообщает, что в 2021 году ущерб от киберпреступлений составил 6 триллионов долларов. Ожидается, что к 2025 году эта цифра достигнет 10 триллионов долларов в год.

MitM-атаки собирают личные данные и информацию для входа в систему. В ходе атаки может быть установлено обновление скомпрометированного программного обеспечения, содержащее вредоносное ПО. Особенно уязвимы незашифрованные сообщения, передаваемые через незащищенные сетевые соединения с помощью мобильных устройств.

По данным Business News Daily, убытки от кибератак на малые предприятия составляют в среднем 55 000 долларов.

Как предотвратить атаки типа «человек посередине»?

Разумные методы обеспечения кибербезопасности в целом помогут защитить людей и организации от MitM-атак.

  • Обновляйте и защищайте домашние маршрутизаторы Wi-Fi: Этот пункт, пожалуй, самый важный, поскольку политика работы из дома (WFH) обычно требует, чтобы сотрудники использовали домашний маршрутизатор для подключения к Интернету, чтобы получить доступ к корпоративной сети. Программное обеспечение Wi-Fi роутера, известное как прошивка, необходимо время от времени обновлять. Этот процесс необходимо выполнять вручную, поскольку обновление прошивки не является автоматическим. Кроме того, убедитесь, что настройки безопасности роутера установлены на самый высокий уровень, который, по данным Wi-Fi Alliance, в настоящее время составляет WPA3.
    При подключении к Интернету используйте виртуальную частную сеть (VPN): VPN шифруют данные, передаваемые между устройствами и VPN-сервером. Зашифрованный трафик сложнее модифицировать.
  • Используйте сквозное шифрование: По возможности проинструктируйте сотрудников включать шифрование электронной почты и других каналов связи. Для дополнительной безопасности используйте только то коммуникационное программное обеспечение, которое предлагает шифрование прямо из коробки. Некоторые приложения автоматически включают шифрование в фоновом режиме, как, например, мессенджер WhatsApp. Однако если сотрудники захотят проверить, действительно ли их сообщения зашифрованы, им придется выполнить специальный процесс, например отсканировать и сравнить QR-коды, имеющиеся в приложении WhatsApp на телефоне каждого сотрудника.
  • Устанавливайте патчи и используйте антивирусное программное обеспечение: Это, возможно, базовые правила кибербезопасности, но о них стоит упомянуть, потому что о них легко забыть. Кроме того, с политикой WFH сотрудники теперь несут ответственность за установку всех патчей и обновление программного обеспечения безопасности на своих устройствах. ИТ-специалистам, возможно, придется объяснить сотрудникам важность этого, чтобы укрепить безопасность конечных точек.
  • Используйте надежные пароли и менеджер паролей: Поскольку пароли в ближайшее время не исчезнут, поощряйте сотрудников использовать надежные пароли и менеджер паролей. Для устройств, принадлежащих компании, ИТ-персонал может установить программное обеспечение для управления мобильными устройствами, которое содержит политику паролей с правилами, касающимися длины, сложности (т. е. использования специальных символов), старения, истории/повторного использования паролей, а также максимального количества попыток ввода пароля до удаленного стирания устройства.
    Если есть возможность, разверните многофакторную аутентификацию (MFA): Чтобы не полагаться только на пароли, организациям следует поощрять использование MFA для доступа к устройствам и онлайн-сервисам. Эта практика быстро стала лучшей защитой организаций от угроз.
  • Подключайтесь только к безопасным веб-сайтам: Ищите в адресной строке браузера крошечный значок висячего замка слева от URL-адреса сайта. Это знак того, что посещаемая вами веб-страница безопасна и использует протокол HTTPS. В целях безопасности сотрудники и веб-пользователи в целом никогда не должны подключаться к обычным HTTP-сайтам или тем, на которых не виден значок замка. Чтобы убедиться в этом, пользователи могут установить бесплатный плагин для браузера, который обеспечивает соблюдение этого правила. Кроме того, большинство комплексных платформ кибербезопасности включают протоколы веб-фильтрации, которые ограничивают доступ сотрудников к сайтам, не относящимся к протоколу HTTP.
  • Шифруйте трафик DNS: DNS - это распределенная служба каталогов в Интернете. Приложения используют DNS для преобразования доменного имени в IP-адрес. Однако когда DNS хочет подключиться к внешнему рекурсивному DNS-резольверу, конфиденциальность и безопасность становятся проблемой, поскольку DNS распределена, а единого протокола безопасности не существует. Несколько появившихся механизмов, включая DNS по TLS (DoT) и DNS-запросы по HTTPS, шифруют DNS-трафик между компьютером пользователя и внешним DNS-резольвером и проверяют подлинность резольвера с помощью сертификатов, чтобы убедиться, что никакая другая сторона не может выдать себя за резольвера.
  • Примите философию нулевого доверия: Нулевое доверие - это концепция безопасности, которая требует, чтобы организации не доверяли автоматически ничему внутри или за пределами своего периметра. Вместо этого они должны сначала проверить все, что пытается подключиться к их системам, прежде чем предоставлять доступ. Модель гласит: «Никогда не доверяй, всегда проверяй», и основана на непрерывной проверке каждого устройства, пользователя и приложения. Подходы с нулевым доверием могут предотвратить начало MitM-атаки или защитить активы организации, если MitM-атака уже началась.
  • Разверните решение UEBA: Аналитика поведения пользователей и объектов (UEBA) использует машинное обучение для обнаружения даже мельчайших аномалий в поведении пользователей и устройств, подключенных к корпоративной сети. Поскольку кибератаки становятся все более сложными, а векторы угроз могут появляться где угодно, инструменты машинного обучения все чаще используются для отслеживания небольших изменений в поведении, которые могут быть подозрительными и свидетельствовать о MitM-атаке.