Một người đàn ông trong cuộc tấn công giữa là gì


Một người đàn ông trong cuộc tấn công giữa là gì

Tấn công trung gian (MITM) là một loại lỗ hổng bảo mật WiFi phổ biến. Trong kiểu tấn công này, kẻ tấn công chặn dữ liệu truyền giữa hai thiết bị nhưng cho phép chúng tin rằng chúng vẫn liên lạc trực tiếp (và an toàn) với nhau. Cả hai bên đều nghĩ rằng họ đang liên lạc an toàn với một máy chủ từ xa, nhưng trên thực tế, tất cả lưu lượng truy cập này đều đi qua một ‘người đàn ông ở giữa’.


Bởi vì tất cả dữ liệu mà hai bên trao đổi có thể bị tin tặc chặn lại, nên chúng cũng có khả năng bị đọc hoặc thậm chí thay đổi. Do đó, sử dụng loại tấn công này, kẻ tấn công có thể có quyền truy cập vào thông tin nhạy cảm hoặc thậm chí thao túng giao tiếp giữa các thiết bị của bạn và các dịch vụ trực tuyến mà bạn sử dụng.

vpn-man-in-the-middle-middle

Nhảy tới

MITM Attack hoạt động như thế nào

Thông thường có hai giai đoạn đối với một người đàn ông ở giữa: đánh chặn và giải mã. Lỗ hổng của bạn ở mỗi bước sẽ phụ thuộc vào các biện pháp bảo mật bạn có tại chỗ.

Đánh chặn

Bước đầu tiên trong việc thiết lập một người đàn ông trong cuộc tấn công ở giữa là chặn dữ liệu truyền qua giữa nạn nhân và mạng của họ. Cách dễ nhất và cho đến nay là cách phổ biến nhất để thực hiện việc này là thiết lập một điểm truy cập Wi-Fi không bảo mật và đặt tên theo vị trí của nó. Người dùng không ngờ tới sau đó sẽ kết nối với mạng, nghĩ rằng đó là hợp pháp và kẻ tấn công có quyền truy cập vào tất cả dữ liệu đi qua bộ định tuyến.

Ngoài ra còn có nhiều phương pháp tinh vi hơn để chặn lưu lượng mạng, chẳng hạn như IP, ARP hoặc giả mạo DNS. Xem bên dưới để biết chi tiết về các loại tấn công này.

Giải mã

Khi kẻ tấn công đã chặn lưu lượng mạng, giai đoạn tiếp theo là giải mã lưu lượng SSL hai chiều. Điều này được thực hiện bằng nhiều phương pháp.

Sử dụng giả mạo HTTPS, kẻ tấn công có thể gửi chứng chỉ bảo mật giả đến thiết bị của nạn nhân. Điều này cho thấy rằng bất kỳ trang web nào nạn nhân truy cập đều an toàn, trong khi thực tế, kẻ tấn công đang thu thập bất kỳ thông tin nào được nhập vào chúng.

SSL BEAST là một phương pháp giải mã sử dụng javascript độc hại để chặn các cookie được mã hóa được gửi bởi một ứng dụng web. Một kỹ thuật liên quan là sử dụng hack SSL, trong đó kẻ tấn công gửi các khóa xác thực giả mạo cho cả người dùng và ứng dụng web. Điều này thiết lập một kết nối có vẻ an toàn cho cả hai bên nhưng được kiểm soát bởi người đàn ông ở giữa

Một cách tiếp cận trực tiếp hơn là sử dụng tước SSL. Kẻ tấn công sẽ hạ cấp kết nối của nạn nhân từ HTTPS xuống HTTP và gửi phiên bản không được mã hóa của bất kỳ trang web nào họ truy cập trong khi vẫn tự duy trì kết nối an toàn. Do đó, toàn bộ phiên của người dùng sẽ hiển thị cho kẻ tấn công.

Cuộc tấn công MITM có thể dẫn đến điều gì?

Hậu quả của một cuộc tấn công MITM có thể nghiêm trọng. Một cuộc tấn công thành công có thể cung cấp cho kẻ tấn công quyền truy cập vào mọi thứ bạn làm trực tuyến, bao gồm tất cả mật khẩu của bạn, bất cứ thứ gì bạn có trong bộ nhớ đám mây và thậm chí cả chi tiết ngân hàng của bạn.

Mục tiêu của một cuộc tấn công MITM thường tập trung vào hai điều:

  • Trộm dữ liệu và danh tính – vì một cuộc tấn công MITM cho phép hacker truy cập vào tất cả các chi tiết đăng nhập của bạn, một cuộc tấn công thành công có thể được sử dụng để đánh cắp danh tính của bạn. Kẻ tấn công cuối cùng có thể thỏa hiệp tất cả các tài khoản của bạn và sử dụng danh tính của bạn để mua hàng hoặc đơn giản là bán thông tin cá nhân của bạn trên Dark Web. Thậm chí tệ hơn, mỗi tài khoản của bạn có khả năng lưu giữ thông tin cá nhân hoặc nhạy cảm có thể bị đánh cắp.

  • Chuyển tiền bất hợp pháp – Tin tặc thường quan tâm đến một điều: tiền. Sau khi thực hiện một cuộc tấn công MITM, việc hacker đánh cắp tiền là tương đối đơn giản. Điều này có thể xảy ra theo nhiều cách khác nhau. Nếu chi tiết ngân hàng trực tuyến của bạn bị xâm phạm, việc chuyển tiền ra khỏi tài khoản của bạn là một vấn đề đơn giản.

    Một kỹ thuật tinh vi hơn là sử dụng một cuộc tấn công MITM để có được thông tin ngân hàng doanh nghiệp. Ví dụ, nếu một đồng nghiệp yêu cầu bạn gửi cho họ các chi tiết của tài khoản công ty và bạn là nạn nhân tích cực của một cuộc tấn công MITM, một hacker có thể chuyển các chi tiết bạn gửi cho các tài khoản của chính họ và sau đó các đồng nghiệp của bạn sẽ chuyển tiền cho tin tặc.

Biến thể tấn công MITM

Kẻ tấn công có thể sử dụng một số lỗ hổng để chặn và đọc dữ liệu như một phần của Man In The Middle. Bởi vì điều này, người đàn ông trong các cuộc tấn công ở giữa có thể được phân loại theo phần mềm nào đã bị xâm phạm.

  • Ví dụ, trong một người đàn ông trong cuộc tấn công trình duyệt, kẻ tấn công sẽ thỏa hiệp trình duyệt web và sử dụng lỗ hổng bảo mật này để lắng nghe thông tin liên lạc. Trong kiểu tấn công này, phần mềm độc hại độc hại được sử dụng để lây nhiễm trình duyệt của người dùng, sau đó sẽ truyền thông tin cho kẻ tấn công.

    Kiểu tấn công này thường được sử dụng để thực hiện hành vi gian lận tài chính bằng cách thao túng các hệ thống ngân hàng trực tuyến. Bằng cách chặn thông tin đăng nhập của người dùng, người tấn công có thể truy cập vào tài khoản nạn nhân và nhanh chóng chuyển tiền ra khỏi tài khoản đó.

  • Một biến thể khác của Man In The Middle là một người đàn ông trong vụ tấn công điện thoại. Do sự gia tăng mạnh mẽ trong việc sử dụng điện thoại thông minh và đặc biệt là sự phổ biến của chúng khi truy cập các dịch vụ ngân hàng trực tuyến, vấn đề chỉ là thời gian trước khi những kẻ tấn công bắt đầu nhắm mục tiêu vào chúng bằng phần mềm độc hại.

    Giống như các hình thức tấn công MITM khác, trong loại tấn công phần mềm độc hại này được tải lên điện thoại thông minh và điều này có thể đánh bại tất cả trừ các biện pháp bảo mật tiên tiến nhất. Điều này có nghĩa là kẻ tấn công có thể truy cập tất cả thông tin được truyền từ điện thoại thông minh vào mạng, bao gồm các chi tiết cá nhân và tài chính.

  • Một hình thức tấn công MITM tương đối mới khác là người đàn ông trong vụ tấn công đĩa. Điều này sử dụng thực tế là một số ứng dụng Android hơi cẩu thả khi nói đến cách chúng hoạt động với Bộ nhớ ngoài.

    Bằng cách tải mã độc vào Bộ nhớ ngoài của điện thoại, kẻ tấn công có thể tắt các ứng dụng hợp pháp hoặc thậm chí khiến Android bị sập và điều này mở ra cơ hội cho việc tiêm thêm mã sẽ chạy với các đặc quyền không an toàn.

Những kiểu người trong cuộc tấn công trung lưu

Người đàn ông trung bình điển hình cũng sử dụng nhiều kỹ thuật để chặn dữ liệu và giải mã nó. Các phương pháp phổ biến nhất là:

Giả mạo DNS

Giả mạo DNS là một phương pháp tận dụng điểm yếu trong hệ thống Máy chủ tên miền (DNS). Đây là cách trình duyệt của bạn tìm thấy các trang web bạn yêu cầu và nó thực hiện điều này bằng cách tra cứu địa chỉ IP của chúng trong danh sách nằm trên bộ định tuyến Wi-Fi của bạn. Bằng cách thay đổi danh sách này, kẻ tấn công có thể chuyển hướng bạn đến một trang web có vẻ hợp pháp nhưng được kiểm soát bởi chúng. Mọi thông tin bạn nhập vào trang web giả mạo sau đó sẽ được thu thập để sử dụng trong tương lai.

ARP giả mạo

Giả mạo ARP là một kỹ thuật tương tự. Sử dụng phương pháp này, kẻ tấn công sẽ ngụy trang thành một ứng dụng bằng cách thay đổi các tiêu đề gói đi kèm với địa chỉ IP. Điều này có nghĩa là khi người dùng cố gắng truy cập ứng dụng web, họ sẽ được chuyển hướng đến phiên bản giả mạo của ứng dụng được điều khiển bởi kẻ tấn công.

Dứa Wi-Fi

Có lẽ cách đơn giản nhất để thực hiện một người trung gian là sử dụng Điểm truy cập Rogue. Đây là các bộ định tuyến (được gọi là các điểm truy cập trong ngành) trông giống như chúng cung cấp các mạng hợp pháp, nhưng "giả mạo," các mạng không bảo mật được kiểm soát bởi kẻ tấn công, người sau đó có thể lắng nghe chúng. Trong những năm gần đây, một cách phổ biến để thiết lập các mạng này là sử dụng Wi-Fi Pinnut: đây là một thiết bị nhỏ hoạt động như một bộ định tuyến Wi-Fi tiêu chuẩn nhưng có phạm vi rộng hơn nhiều.

Tấn công ác

An Cuộc tấn công của Evil Twin cũng được nhìn thấy khá thường xuyên. Trong hình thức tấn công này, một máy chủ lừa đảo được thiết lập và người dùng được mời đăng nhập vào nó bằng cách sử dụng các chi tiết có thể bị đánh cắp bởi chủ sở hữu của máy chủ. Kiểu tấn công này thực chất là phiên bản Wi-Fi của một trò lừa đảo tiêu chuẩn, một kỹ thuật để chặn các liên lạc trên máy tính. Tên của loại tấn công này xuất phát từ việc người dùng tin rằng máy chủ họ đang truy cập là hợp pháp, trong khi thực tế họ đang kết nối với ‘song sinh độc ác’ của nó.

Người đàn ông trong phòng chống tấn công trung

Làm thế nào bạn có thể tránh trở thành nạn nhân của một người đàn ông ở giữa? Mặc dù kiểu tấn công này khá phổ biến, nhưng có một số bước đơn giản bạn có thể thực hiện để giảm lỗ hổng của mình.

Sử dụng mã hóa mạnh

Lược đồ mã hóa bạn sử dụng phần cơ bản của thiết lập bảo mật Wi-Fi của bạn và cung cấp mức độ bảo vệ tốt trước các cuộc tấn công MITM. Khi công nghệ không dây đã phát triển qua nhiều năm, các giao thức mã hóa mạnh hơn đã được phát hành, nhưng không phải tất cả các bộ định tuyến Wi-Fi (được gọi là điểm truy cập trong giao dịch) đã được nâng cấp để sử dụng chúng..

Bạn nên sử dụng giao thức mã hóa mạnh mẽ trên bất kỳ mạng nào bạn chịu trách nhiệm: tốt nhất là WPA2 cùng với AES, cung cấp mức bảo vệ cao nhất. Mã hóa mạnh khiến kẻ tấn công gặp khó khăn hơn trong việc truy cập mạng chỉ bằng cách ở gần và cũng hạn chế hiệu quả của các cuộc tấn công vũ phu.

Sử dụng VPN

Bên cạnh việc mã hóa kết nối bạn có với bộ định tuyến Wi-Fi, bạn cũng nên mã hóa mọi thứ bạn làm trực tuyến. Sử dụng Mạng riêng ảo (VPN) là một cách dễ dàng và hiệu quả để thực hiện việc này. Máy khách VPN sẽ ngồi trên trình duyệt hoặc HĐH của bạn và sử dụng mã hóa dựa trên khóa để tạo một mạng con để liên lạc an toàn. Điều này có nghĩa là, ngay cả khi kẻ tấn công có quyền truy cập vào dữ liệu này, họ sẽ không thể đọc hoặc thay đổi dữ liệu đó và vì vậy họ sẽ không thể bắt đầu cuộc tấn công MITM.

Có rất nhiều VPN khác nhau để lựa chọn, nhưng bạn nên luôn luôn tìm kiếm VPN cung cấp bảo mật tốt nhất và mã hóa mạnh mẽ nhất. Rốt cuộc, lựa chọn bất cứ điều gì ít hơn, giống như muốn mở ra cho mình các cuộc tấn công MITM.

Buộc HTTPS

HTTPS là một hệ thống để liên lạc an toàn qua HTTP bằng cách sử dụng trao đổi khóa riêng-công khai. Công nghệ này đã xuất hiện từ nhiều năm nay và vì vậy mọi trang web đều nên sử dụng nó, nhưng đây không phải là trường hợp. Một số công ty thậm chí còn cung cấp hai phiên bản của trang web chính của họ, một phiên bản được bảo mật bằng HTTPS và một phiên bản mở bằng HTTP, cho phép người dùng tự mở để tấn công một cách tình cờ.

Rất may, có một cách xung quanh vấn đề này. Bạn có thể dễ dàng cài đặt một plugin cho trình duyệt của mình, nó sẽ buộc nó sử dụng HTTPS trên bất kỳ trang web nào bạn truy cập và đưa ra nhiều cảnh báo nếu điều này không khả dụng. Bằng cách này, ngay cả khi kẻ tấn công có quyền truy cập vào mạng của bạn, họ sẽ không thể giải mã dữ liệu bạn trao đổi với nó và do đó sẽ không thể khởi chạy một cuộc tấn công MITM.

Xác thực dựa trên cặp khóa công khai

Ở cấp độ kỹ thuật hơn, cũng có thể sử dụng hệ thống xác thực dựa trên cặp khóa công khai như RSA để xác thực các máy, máy chủ và ứng dụng bạn đang kết nối. Do phần lớn các cuộc tấn công MITM được thực hiện bằng cách giả mạo một cái gì đó, cho dù đây là chuyển hướng đến một trang web giả mạo hoặc mạo danh ứng dụng web, yêu cầu tất cả các cấp của ngăn xếp để xác thực bằng khóa công khai có thể đảm bảo rằng các thực thể duy nhất được kết nối với mạng của bạn là mà bạn muốn.

Phần kết luận

Man-in-the-middles là một số hình thức tấn công mạng phổ biến nhất và có thể gây ra hậu quả đáng kể. Bằng cách thực hiện kiểu tấn công này, kẻ tấn công có thể đánh cắp thông tin nhạy cảm, bao gồm cả chi tiết xác thực, có thể nhanh chóng thỏa hiệp toàn bộ hệ thống. Thậm chí tệ hơn, các cuộc tấn công như vậy thường kéo dài, cho phép kẻ tấn công thu thập dữ liệu trong một thời gian dài và thường không được phát hiện cho đến khi chúng xảy ra.

Hạn chế lỗ hổng của bạn đối với các cuộc tấn công MITM có thể được thực hiện theo một số cách. Đầu tiên, điều quan trọng là phải nhận ra rằng phần lớn các vectơ tấn công cho các cuộc tấn công MITM dựa vào một số hình thức giả mạo, cho dù đây là máy của kẻ tấn công giả vờ là máy chủ hoặc trang web giả mạo tự xưng là thật. Ở cấp độ cơ bản nhất, sau đó, tránh các cuộc tấn công MITM đòi hỏi sự cảnh giác cao độ. Nói tóm lại, nếu mạng Wi-Fi hoặc trang web có vẻ đáng ngờ, hãy tin vào bản năng của bạn và không chia sẻ bất kỳ thông tin nào!

Một cách hiệu quả khác để hạn chế rủi ro của bạn đối với các cuộc tấn công MITM là mã hóa mọi thứ bạn làm trực tuyến. Điều này có nghĩa là sử dụng các giao thức bảo mật mạnh mẽ nhất trên bộ định tuyến Wi-Fi tại nhà của bạn và cũng nên bao gồm việc sử dụng VPN với mức mã hóa cao nhất. Mã hóa mọi thứ có nghĩa là, ngay cả khi kẻ tấn công có thể chặn các liên lạc của bạn, họ sẽ không thể đọc hoặc thay đổi chúng, và vì vậy sẽ không thể khởi động một cuộc tấn công MITM.

Dưới đây là một số hướng dẫn khác về các mối đe dọa WiFi:

Hãy xem các hướng dẫn khác của chúng tôi để đảm bảo bạn có thể phát hiện ra các kiểu tấn công khác.

  • Tấn công ác
  • Gói tấn công đánh hơi
  • Phiên phòng chống cướp
  • Giả mạo DNS
  • Hướng dẫn sử dụng dứa WiFi
  • Kim Martin Administrator
    Sorry! The Author has not filled his profile.
    follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map