Атака «человек посередине» (MITM)

Атака «человек посередине» — это тип кибератаки, при которой злоумышленник подслушивает разговор между двумя целями. Злоумышленник может попытаться «подслушать» разговор между двумя людьми, двумя системами или человеком и системой.

Целью MITM-атаки является сбор личных данных, паролей или банковских реквизитов и/или убеждение жертвы предпринять какое-либо действие, например изменить учетные данные для входа, завершить транзакцию или инициировать перевод средств.

Хотя злоумышленники MITM часто нацелены на отдельных лиц, это также является серьезной проблемой для предприятий и крупных организаций. Одной из распространенных точек доступа для хакеров являются приложения «программное обеспечение как услуга» (SaaS) , такие как службы обмена сообщениями, системы хранения файлов или приложения для удаленной работы.

Злоумышленники могут использовать эти приложения в качестве входа в более широкую сеть организации и потенциально скомпрометировать любое количество активов, включая данные клиентов, интеллектуальную собственность или конфиденциальную информацию об организации и ее сотрудниках.

Как работает атака «человек посередине»?

Атака MITM обычно состоит из двух фаз: перехват и расшифровка.

Фаза №1: Перехват

На этапе перехвата киберпреступники получают доступ к сети через открытый или плохо защищенный маршрутизатор Wi-Fi и/или путем манипулирования серверами системы доменных имен (DNS). Затем злоумышленники сканируют маршрутизатор в поисках уязвимостей и возможных точек входа. Чаще всего это делается с помощью слабого пароля, хотя киберпреступники могут использовать и более продвинутые методы, такие как подмена IP-адреса или отравление кеша.

Как только цель идентифицирована, злоумышленник обычно развертывает инструменты сбора данных, чтобы получить доступ и собрать данные, переданные жертвой, стратегически перенаправить трафик или иным образом манипулировать работой пользователя в Интернете.

Фаза №2: Расшифровка

Второй этап атаки MITM — расшифровка. Это когда украденные данные расшифровываются и становятся понятными для киберпреступников. Расшифрованные данные могут быть использованы для различных целей, включая кражу личных данных, несанкционированные покупки или мошеннические банковские операции. В некоторых случаях атаки «человек посередине» проводятся без какой-либо очевидной цели, кроме как для нарушения бизнес-операций и создания хаоса для жертв.

Методы MITM

Киберпреступники используют самые разные методы для проведения MITM-атак. Некоторые распространенные методы включают в себя:

Имитация установленного интернет-протокола (IP), чтобы обманом заставить пользователей предоставить личную информацию или побудить к желаемому действию, например, инициировать банковский перевод или смену пароля.

Перенаправление пользователя с известного места назначения на поддельный веб-сайт для перенаправления трафика и/или сбора учетных данных для входа и другой личной информации.

Имитация точки доступа Wi-Fi для перехвата любой веб-активности и сбора личной информации.

Создание незаконных сертификатов уровня защищенных сокетов (SSL), которые создают видимость безопасного соединения для пользователей, даже если соединение было скомпрометировано.

Перенаправление трафика на незащищенный веб-сайт, который затем собирает учетные данные для входа и личную информацию.

Подслушивание веб-активности, включая электронную почту, для сбора личной информации и информирования о дальнейших мошеннических действиях, таких как попытки фишинга.

Кража файлов cookie браузера, которые содержат личную информацию.

Пример атаки «человек посередине»

Одним из недавних примеров атаки злоумышленников был модуль Trickbot под названием shaDll. Модуль устанавливал на зараженные компьютеры нелегитимные SSL-сертификаты, что позволяло инструменту получить доступ к сети пользователя. Затем модуль мог перенаправлять веб-активность, внедрять код, делать снимки экрана и собирать данные.

Что было особенно интересно в этой атаке, так это то, что это было явное сотрудничество между двумя известными киберпреступными группировками. Модуль использовал прокси-модуль в качестве основы, а затем развернул дополнительный модуль для завершения атаки. Вероятное сотрудничество между этими двумя злоумышленниками подчеркивает растущую изощренность MITM-атак и необходимость повышенной осведомленности.

Предотвращение атак «человек посередине»

Следующие рекомендации могут помочь защитить ваши сети от MITM-атак:

- Требуйте от пользователей сети выбирать надежные пароли и регулярно менять их.

- Включите многофакторную аутентификацию (MFA) для всех сетевых ресурсов и приложений.

- Внедрите надежные протоколы шифрования.

- Разверните комплексное решение для мониторинга и обнаружения угроз.

- Сегментируйте сеть, чтобы предотвратить возможные нарушения.

- Информируйте сотрудников о рисках, связанных с общедоступными сетями Wi-Fi.

Хотя для отдельных лиц может оказаться нецелесообразным устанавливать средства обнаружения атак «человек посередине», следующие общие методы кибербезопасности могут помочь предотвратить вторжение. Мы рекомендуем следующие рекомендации для отдельных пользователей:

- Установите программное обеспечение для обнаружения вредоносных программ

- Создавайте надежные пароли и регулярно меняйте их

- Включите возможности многофакторной аутентификации

- Избегайте использования открытых сетей Wi-Fi и/или плохо защищенных общедоступных сетей

- Всегда старайтесь просматривать только безопасные веб-сайты, на что указывает «https» в URL-адресе

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.