Co to jest atak Man-in-the-Middle i na czym polega?

Jeżeli przynajmniej raz korzystałeś z transportu zbiorowego lub siedziałeś w zatłoczonej kawiarni, istnieje duże prawdopodobieństwo, że ktoś Cię podglądał lub podsłuchiwał Twoje rozmowy. Tak samo wygląda to w Internecie – w każdej chwili ktoś może śledzić to, co robisz i umiejętnie to wykorzystywać na swoją korzyść. Zobacz, czym jest atak Man-in-the-Middle, jak wygląda jego mechanizm i co zrobić, by się uchronić przed tego typu atakami kryptologicznymi.

atak Man-in-the-Middle

Czym jest atak Man-in-the-Middle?

Man-in-the-Middle (z ang. „człowiek pośrodku”) to prosty atak cybernetyczny, w którym udział biorą tak naprawdę trzy strony – dwie osoby, które próbują się ze sobą skomunikować oraz napastnik. Ten ostatni podsłuchuje wymianę informacji, a następnie próbuje je w pewien sposób zmodyfikować lub całkowicie je przejmuje. Tym, co wyróżnia atak MITM, jest całkowity brak świadomości użytkownika o podsłuchu oraz to, że wszelkie dane, z których on korzysta, mogą być dowolnie modyfikowane przez napastnika.

Atak Man-in-the-Middle należy do kategorii ataków pasywnych, co wiąże się z tym, że polega on w dużej mierze na podsłuchu. Chociaż sama nazwa brzmi skomplikowanie, to w rzeczywistości cel takiego ataku jest prosty i związany głównie z kradzieżą danych osobowych, m.in. danych do logowania, numeru karty kredytowej czy też danych do konta bankowego. Celem cyberprzestępców są zazwyczaj użytkownicy korzystający z aplikacji finansowych, witryn e-commerce oraz wszystkich tych stron, na których wymagane jest logowanie.

Typy ataków Man-in-the-Middle

Jednym z najczęściej stosowanych ataków jest sniffing, czyli podsłuchiwanie ruchu w sieci wi-fi. Atakujący przechwytuje ruch użytkownika jeszcze przed tym, zanim dotrze on do miejsca docelowego. Zazwyczaj proces ten odbywa się jako atak pasywny, w którym cyberprzestępca oferuje dostęp do złośliwego hotspotu wi-fi, który nie jest chroniony hasłem. W momencie, gdy ofiara połączy się z siecią, atakujący zyskuje pełen dostęp do jej danych.

Kolejnym typem ataku jest BEC (Business Email Compromise), który polega na przejęciu skrzynki pocztowej poprzez zdobycie dostępu do korespondencji ofiary, a następnie monitorowanie transakcji płatniczych, tak, by ostateczne środki trafiły na konto bankowe kryminalisty. Wśród pozostałych ataków MITM wymienić można również:

  • spoofing ARP (zatruwanie ARP) – adres MAC przestępcy łączy się z adresem IP ofiary poprzez zastosowanie fałszywych wiadomości ARP, w efekcie czego dane wysyłane są bezpośrednio do atakującego;
  • spoofing DNS (zatruwanie DNS) – cyberprzestępca umiejętnie filtruje serwer DNS ofiary i zmienia poszczególne rekordy adresu witryny, przez co użytkownik próbujący dostać się na stronę jest kierowany na witrynę atakującego;
  • switch port stealing – napastnik ustala fałszywe adresy MAC i określa własny adres MAC jako miejsce docelowe. W sytuacji tzw. „wyścigu” pakietów ARP przełącznik w sieci ofiary zmienia swój adres MAC i trafia do portu atakującego;
  • Man-in-the-browser (MITB) – atakujący wprowadza zainfekowany kod do przeglądarki internetowej, która jest zainstalowana na komputerze ofiary. Złośliwe oprogramowanie rejestruje ruchy użytkownika, a zdobyte informacje przesyła do miejsca docelowego określonego przez napastnika.

Jak zabezpieczyć się przed atakiem MITM?

Możemy skorzystać z kilku metod obrony przed atakami Man-in-the-middle, jednak należy pamiętać, że praktycznie wszystkie są możliwe wyłącznie po stronie routera lub serwera, przez co użytkownik nie ma żadnej kontroli, jeśli chodzi o bezpieczeństwo przeprowadzanej transakcji. By móc jednak uniknąć typu ataków, użytkownik znać podstawowe zasady profilaktyki cybernetycznej. Oznacza to dla niego:

  • unikanie korzystania z darmowych hotspotów, czyli połączeń wi-fi, które nie są zabezpieczane hasłem;
  • zwracanie szczególnej uwagi na powiadomienia wysyłane przez przeglądarkę, która informuje o próbie przejścia na niezabezpieczoną witrynę;
  • wylogowywanie się z aplikacji chronionej hasłem w momencie, gdy nie jest ona już używana;
  • przeprowadzanie wrażliwych transakcji wyłącznie wtedy, gdy korzystamy z sieci chronionych hasłem.

Technologią, która chroni przed tego typu atakami, jest biometria behawioralna. Jej działanie polega na ciągłej analizie zachowań użytkownika, a w przypadku wykrycia anomalii (np. przejęcie dostępu do konta lub uruchomienie zdalnego pulpitu) blokuje dostęp. Jeśli chcesz dowiedzieć się więcej o naszym rozwiązaniu, przeczytaj artykuł o tym, czym jest biometria behawioralna

Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments