مهاجمان با استفاده از «حملات مرد میانی» در مسیر اشتراکگذاری داده بین وبسایت و دستگاه کاربر، دست به استراق سمع و دستکاری اطلاعات میزنند.
به نقل از آیتیگاورننس، به با تبدیل شدن امنیت سایبری به نگرانی فزاینده سازمان ها و افراد، ممکن است با مفهوم حملات MITM (حمله مرد میانی) برخورد کرده باشید.
حمله مرد میانی چیست؟
حملات مرد میانی یا Man-in-the-Middle که به اختصار MITM گفته میشود، از نحوه به اشتراک گذاری داده ها بین یک وب سایت و دستگاه کاربر (چه رایانه، تلفن یا تبلت) سوء استفاده می کند.
هنگامی که از یک وب سایت بازدید می کنید، دستگاه شما دستورالعملی را از طریق یک روتر اینترنتی ارسال می کند که سپس به سرور وب سایت هدایت می شود. سرور دستورالعمل را تأیید و تکمیل می کند و اطلاعات را از طریق روتر به دستگاه کاربر ارسال می کند.
این فرآیند آنقدر سریع اتفاق می افتد که بسیاری از ما نمی دانیم که چقدر پیچیده است و این چیزی است که به مهاجمان MITM اجازه حمله می دهد.
مهاجمان با استفاده از چندین تکنیک (که در زیر توضیح میدهیم)، روتر را به خطر میاندازند و به آنها اجازه میدهد تا دادهها را در زمان واقعی در جریان بین رایانه قربانی و سرور رهگیری کنند.
این به آنها امکان میدهد چیزهایی را که به اشتراک گذاشته میشود استراق سمع کنند و در برخی موارد، آنها را دستکاری کنند. این شامل توانایی هدایت کاربران به یک وب سایت دیگر یا جعل آدرس وب مقصد است.
نحوه عملکرد حملات مرد میانی
این حملات به احتمال زیاد در وای فای عمومی رخ می دهند زیرا به طور کلی اتصالات اینترنتی از امنیت کمتری نسبت به روترهای خانگی برخوردار هستند.
این یک ضعف امنیتی نیست بلکه بخشی از طراحی آن است. وای فای عمومی برای استفاده هر کسی در مجاورت در نظر گرفته شده است. به طور طبیعی، از امنیت کمتری نسبت به شبکه خانگی یا اداری برخوردار خواهد بود، که حاوی محافظت هایی است که اطمینان می دهد فقط افراد مجاز می توانند به آن متصل شوند.
اما جنایتکاران چگونه در وسط این ماجرا قرار می گیرند؟
اولین گام این است که روتر اینترنت را به خطر بیندازند، این کار را میتوانند با ابزارهایی انجام دهند که نقصهای اصلاح نشده یا آسیبپذیریهای دیگر را اسکن میکنند. سپس، با استفاده از تکنیک های مختلف، داده های ارسال شده قربانی را رهگیری و رمزگشایی می کنند.
یک روش sniffing یا شنود است، که در آن مهاجمان ابزارهایی رابرای نظارت و بازرسی بسته های داده مستقر می کنند. اینها می توانند اطلاعات رمزگذاری نشده، مانند رمز عبور و نام کاربری را رهگیری کنند.
مهاجمان همچنین ممکن است تزریق بسته را انجام دهند، که در آن بسته های مخرب در جریان های ارتباطی داده قرار می گیرند تا توانایی قربانیان برای استفاده از سرویس ها یا پروتکل های شبکه خاص را مختل کنند.
نسخه مشابه این حمله، ربودن نشست (یا ربودن کوکی) است. مجرم برای شناسایی نشانه نشست قربانی، ترافیک حساس را بو می کشد. با این اطلاعات، مهاجم از بستههای IP مسیریابی شده برای رهگیری دادههایی که از رایانه قربانی به سرور منتقل میشوند استفاده میکند و طوری درخواست میکند که انگار خود کاربر است.
در نهایت، مجرمان سایبری که سعی در رهگیری ترافیک از یک وب سایت HTTPS دارند، ممکن است یک حمله SSL Strip انجام دهند. این شامل رهگیری بسته ها و تغییر آدرس آنها برای هدایت قربانی به معادل کمتر امن HTTP است. صفحات HTTP هنگام اشتراک گذاری اطلاعات را رمزگذاری نمی کنند، به این معنی که مهاجم می تواند اطلاعات را بشنود و تزریق بسته را انجام دهد.
انواع حمله مرد میانی
حملات مرد میانی می توانند اشکال مختلفی داشته باشند، اما برخی از رایج ترین آنها عبارتند از:
جعل IP
هر دستگاهی که به اینترنت متصل می شود این کار را از طریق یک آدرس IP انجام می دهد، که شماره ای است که بر اساس موقعیت فیزیکی شما به دستگاه شما اختصاص داده می شود. هکرها با جعل یک آدرس IP، می توانند شما را فریب دهند تا فکر کنید در حال تعامل با وب سایت یا شخصی هستید که می خواهید با آن تماس بگیرید.
جعل ARP
ARP (پروتکل تفکیک آدرس) فرآیندی است که ارتباطات شبکه را قادر می سازد به یک دستگاه خاص در شبکه دسترسی پیدا کند. در واقع ARP یک پیام را به تمام دستگاه های موجود در شبکه محلی خود ارسال و آدرس MAC را به وسیله IP معتبر درخواست می کند. در نتیجه، هر داده ای که کاربر به آدرس IP میزبان ارسال می کند، در عوض به مهاجم هدایت می شود.
جعل DNS
این روش حمله، از رکوردهای تغییر یافته DNS (سرور نام دامنه) برای ارسال ترافیک به یک وب سایت جعلی استفاده می کند. این وبسایتها معمولاً شبیه سایت واقعی هستند، به این معنی که بازدیدکنندگان متوجه آن نمی شوند. سپس سایت از آنها می خواهد که جزئیات ورود خود را ارائه دهند و به مهاجم این فرصت را می دهد تا اعتبار دسترسی را حذف کند.
جعل HTTPS
یک قانون کلی برای دانستن واقعی بودن یک وب سایت این است که یک نماد قفل سبز در کنار آن وجود داشته باشد و به جای صرفاً «http://» با «https://» شروع شود. «s» اضافی مخفف « secure» به معنای امن است، که نشان می دهد که ارتباط بین شما و سرور رمزگذاری شده است و بنابراین نمی توان آن را هک کرد.
متأسفانه مهاجمان راهی برای دور زدن این موضوع ایجاد کرده اند. آنها وب سایت خود را ایجاد می کنند که شبیه به سایتی است که می خواهید به آن دسترسی پیدا کنید، اما با URL کمی متفاوت. به عنوان مثال، یک حرف کوچک ممکن است به یک حرف بزرگ تبدیل شود. هنگامی که قربانیان سعی می کنند به سایت قانونی دسترسی پیدا کنند، مهاجم آنها را به سایت خود هدایت می کند، جایی که می توانند اطلاعات را حذف کنند.
مهاجمان معمولاً این کار را برای سرقت اطلاعات ورود به ایمیل و حسابهای وبسایت انجام میدهند که میتوانند از آن برای انجام حملات هدفمند مانند ایمیلهای فیشینگ استفاده کنند. اما اگر مهاجم خوش شانس باشد، قربانی ناخواسته به درگاه بانک آنلاین خود مراجعه کرده و اطلاعات حساب خود را تحویل می دهد.
ربودن ایمیل
مجرمان سایبری اغلب ایمیل های بین بانک ها و مشتریان را با هدف جعل آدرس ایمیل بانک و ارسال دستورالعمل های خود هدف قرار می دهند. این یک ترفند برای واداشتن قربانی به ارائه اطلاعات کاربری و جزئیات کارت پرداخت است.
شنود وای فای
مهاجمان ممکن نقطه اتصال اینترنتی خود را راهاندازی کنند و نامی نامشخص برای آن بگذارند: مانند «Café Wi-Fi». تنها کاری که آنها باید انجام دهند این است که منتظر بمانند تا قربانی متصل شود، در این مرحله آنها می توانند فعالیت اینترنتی فرد را استراق سمع کنند.
چگونه می توانید حملات مرد میانی را تشخیص دهید؟
شناسایی حملات مرد میانی می تواند چالش برانگیز باشد. راه های تشخیص اینکه قربانی یک حمله شده اید عبارتند از:
به دنبال ارتباط غیرمنتظره باشید: اگر متوجه چیزهای عجیب یا غیرمنتظره ای در مورد پیام هایی که دریافت می کنید (مثلاً محتوا یا زمان آنها) شدید، این می تواند نشان دهنده ارتباط شما با یک مهاجم باشد.
اسکن ترافیک شبکه: ابزارهای نظارت بر شبکه و تجزیه و تحلیل بسته ها مانند tcpdump و Wireshark می توانند به جستجوی ناهنجاری ها در ترافیک کمک کنند.
تأیید گواهیهای SSL/TLS: بررسی گواهیهای SSL و سایر پروتکلهای احراز هویت میتواند تأیید کند که کاربران با موجودیت صحیح ارتباط برقرار میکنند.
نصب نرم افزار ضد بدافزار: نرم افزارهای ضد بدافزار و آنتی ویروس می توانند به شناسایی وجود برنامه ها و کدهای غیرمجاز که توسط مهاجم MITM تزریق شده کمک کنند.
چگونه از حملات مرد میانی جلوگیری کنیم؟
بهتر است از داده های تلفن همراه خود به جای وای فای عمومی استفاده کنید. اگر همچنان می خواهید از لپ تاپ خود استفاده کنید، از تلفن همراه به عنوان یک هات اسپات بی سیم استفاده کنید. با این حال، هنگام انجام این کار باید کنترل های امنیتی مناسب را اعمال کنید تا فقط شما به شبکه متصل شوید.
اگر استفاده از داده تلفن امکان ذیر نیست در اینجا چند مرحله دیگر وجود دارد که می توانید برای محافظت از خود انجام دهید:
از VPN استفاده کنید
شبکه خصوصی مجازی یا VPN، آدرس IP شما را با بازگرداندن آن از طریق یک سرور خصوصی پنهان می کند.
VPN ها همچنین داده ها را هنگام انتقال از طریق اینترنت رمزگذاری می کنند. این شما را در برابر حملات مرد میانی غیرقابل نفوذ نمی کند، اما کار کلاهبرداران را بسیار سخت تر می کند و احتمالاً باعث می شود که آنها به دنبال هدف آسان تری باشند.
فقط از وب سایت های امن دیدن کنید
همانند VPN ها، وب سایت های HTTPS داده ها را رمزگذاری می کنند و از رهگیری ارتباطات توسط مهاجمان جلوگیری می کنند.
اگرچه این امکان برای مجرمان وجود دارد که با جعل HTTPS یا حذف SSL این حفاظت ها را دور بزنند، اما می توانید تلاش های آنها را با کمی تلاش خنثی کنید. به عنوان مثال، می توانید با تایپ دستی آدرس وب به جای تکیه بر پیوندها، از جعل HTTPS جلوگیری کنید. به همین ترتیب، میتوانید با بررسی اینکه آیا آدرس وب واقعاً با «https://» شروع میشود یا دارای نماد قفل است که نشاندهنده امن بودن آن است، حذف SSL را تشخیص دهید.
مهاجم مرد میانی می تواند شما را از یک سایت امن به یک سایت ناامن هدایت کند، اما اگر نوار آدرس را بررسی کنید مشخص می شود که این اتفاق افتاده است.
اعمال گذرواژههای قوی و احراز هویت چند عاملی: بسیاری از حملات مرد میانی زمانی رخ میدهند که مهاجم بتواند دفاعیات یک سیستم را نقض و هویت یک کاربر قانونی را جعل کند. الزام کاربران به داشتن رمزهای عبور قوی و استفاده از احراز هویت چند عاملی برای تأیید هویت خود، اتخاذ این رویکرد را برای مهاجمان بسیار دشوارتر می کند.
مراقب کلاهبرداری های فیشینگ باشید
مهاجمان ممکن است از جعل HTTPS یا سرقت ایمیل برای ایجاد ایمیلهای فیشینگ سفارشی استفاده کنند.
خبر خوب این است که اگر بتوانید نشانههای کلاهبرداری فیشینگ را تشخیص دهید، میتوانید از خود در برابر هر تکنیکی که مهاجمان استفاده میکنند محافظت کنید.
برای مبارزه با این تهدید، سازمان ها باید کارکنان خود را در مورد تهدید فیشینگ آموزش دهند. در اینجا بیشتر در مورد این حمله بخوانید.