Odwiedzając stronę internetową banku, sklepu albo instytucji rządowych raczej nie oczekujemy, że będzie nam przy tym towarzyszył pośrednik. Niestety taka niechciana osoba może pojawić się pomiędzy nami a odwiedzanym serwisem – właśnie tym, w dużym skrócie, jest atak typu man in the middle. Przeczytaj poniższy artykuł, aby dowiedzieć się dokładnie, na czym polega atak MiTM, jakie są jego rodzaje i jak się przed nim chronić.
Atak man in the middle – co to takiego i na czym polega?
Man in the middle oznacza dosłownie człowieka pośrodku – to dobrze oddaje istotę tego typu ataku hakerskiego. Rzeczywiście atak MiTM oznacza, że cyberprzestępca (czyli właśnie człowiek pośrodku) ustawia się pomiędzy użytkownikiem a pewną usługą sieciową, dzięki czemu pośredniczy w kanale komunikacji i uzyskuje dostęp do poufnych danych. Jest to w istocie dość prosta, lecz bardzo niebezpieczna technika hakerska – przeprowadzona „prawidłowo” sprawia, że przez długi czas żadna ze stron będących ofiarami ataku nie ma świadomości o całym procederze.
Na czym polega atak man in the middle? Choć istnieje kilka jego rodzajów, to można uogólnić, że zaczyna się on od przechwycenia przez hakera informacji o próbie połączenia się użytkownika z jakimś zewnętrznym serwerem. Cyberprzestępca następnie podszywa się pod daną instytucję i zaczyna zbierać dane od ofiary, jednocześnie przekazując je pod prawidłowy adres.
Instytucja otrzymuje (zwykle prawdziwe, ale czasami także zmodyfikowane) dane i odsyła odpowiedź do użytkownika początkowego – oczywiście również mając hakera za pośrednika. W ten sposób obie strony mają złudzenie bezpośredniej komunikacji, a cyberprzestępca swobodnie może przechwytywać od obu stron przesyłane informacje w znanym sobie złośliwym celu.
Rodzaje ataków MiTM
Atak man in the middle może mieć wiele rodzajów; różnią się one przede wszystkim sposobem uzyskania przez hakera dostępu do kanału komunikacji sieciowej. Warto także wspomnieć, że w większości przypadków MiTM jest pasywną formą ataku – przestępca jest jedynie pośrednikiem przesyłu danych i przechwytuje je w celu kradzieży, podsłuchania i dalszego wykorzystania np. wyłudzenia pieniędzy.
Zdarza się jednak, że stosowany jest atak aktywny – wtedy haker modyfikuje otrzymywane dane przed ich dalszym przekazaniem, manipulując w ten sposób przebiegiem komunikacji. Może dojść do tego, że obie strony będą przekonane o prowadzeniu normalnej wymiany danych, podczas gdy w rzeczywistości z każdą z nich będzie „rozmawiał” haker.
Fałszowanie adresu IP
Nazywane także IP Spoofing. Fałszowanie adresów IP jest prostym i obecnie dość łatwym do udaremnienia rodzajem ataku. Polega on na tym, że haker wykorzystuje adres IP danego użytkownika i podszywa się pod niego, aby uzyskać dostęp do konkretnych usług. W ten sposób przestępca może w ramach jednej sieci umożliwić sobie logowanie do poufnych witryn nawet bez znajomości hasła. Aplikacja taka uważa bowiem wtedy hakera za zwykłego zaufanego użytkownika. Chociaż więc sam adres IP nie zawiera zbyt wielu wrażliwych danych o użytkowniku, to jego odpowiednie wykorzystanie może dać duże korzyści dla przestępcy.
Przejęcie poczty e-mail
Choć nie każdy zdaje sobie z tego sprawę, to skrzynka e-mail jest jednym z kluczowych i najbardziej wrażliwych na ataki miejsc w sieci. To tutaj zbierane są wiadomości z niemal wszystkich serwisów, z których korzystamy. W nich z kolei znaleźć można sporo poufnych danych – przede wszystkim loginy i hasła, ale też dane związane z finansami i bankowością. Nic więc dziwnego, że hakerzy bardzo chętnie obierają skrzynki e-mail za cel.
Przejęcie dostępu i podszycie się pod adres e-mail może mieć opłakane skutki dla właściciela. Dla przykładu: użytkownik wysyła standardowego maila w związku z koniecznością rozliczenia płatności (np. od pracodawcy), lecz zmiana treści wiadomości przez hakera wskazuje spreparowane dane i przekieruje tym samym pieniądze na należący do niego rachunek. Tak jak w przypadku innych rodzajów ataków, ofiara dowiaduje się o nim najczęściej w momencie, gdy doszło już do rzeczywistych strat.
Ataki typu man in the browser (MiTB)
Jest to metoda zbliżona pod względem działania do man in the middle, atak jednak wyprowadzany jest z pomocą złośliwego oprogramowania – przede wszystkim znanych wszystkim tzw. trojanów. Modyfikują one elementy wysyłanych przez użytkownika danych w taki sposób, by po ich dotarciu do docelowej aplikacji przestępca uzyskał określoną korzyść. Ten typ ataku może także działać w drugą stronę – zbliżoną do phishingu, przybiera on wtedy formę podszywania się np. pod panel logowania lub stronę główną firmy w celu bezpośredniego uzyskania wrażliwych danych. Taki atak jest zwykle dość trudny do wykrycia.
Podsłuchiwanie Wi-Fi
Sieci Wi-Fi to kolejny element infrastruktury, który jest bardzo podatny na ataki cyberprzestępców. Podsłuchiwanie Wi-Fi może przybierać dwie formy. W pierwszej haker korzysta ze słabo chronionej sieci publicznej lub domowej, by zbierać wszelkie informacje o aktywności połączonych do tej sieci użytkowników. W drugim wariancie przestępca tworzy fałszywy hotspot Wi-Fi udający sieć publiczną (np. kawiarnię), by „podsłuchiwać” niczego nieświadome osoby.
Kradzież plików cookies przeglądarki
Pliki cookies, choć niepozorne, zawierają wiele informacji o odwiedzanych stronach internetowych – w niektórych przypadkach np. o danych logowania. Przechwycenie i odszyfrowanie takich danych może być zatem bardzo groźne.
Fałszowanie HTTPS
Protokół HTTPS jest powszechnie stosowany jako najbezpieczniejszy, szyfrowany i uwierzytelniany sposób na łączenie się z wszelkimi usługi internetowymi. Można łatwo rozpoznać, że używamy tego protokołu, jeśli przy pasku adresu znajduje się charakterystyczna ikona kłódki. Fałszowanie HTTPS polega na podsunięciu użytkownikowi fałszywej strony identycznej pod względem wizualnym z oryginałem. Ofiara ataku widząc na tej stronie zabezpieczenie HTTPS, w większości przypadków z dużą ufnością poda na niej wrażliwe dane, które bezpośrednio trafią do przestępcy.
Nowe rodzaje zagrożeń
Należy pamiętać, że man in the middle to szeroka kategoria ataków i poza tymi opisanymi powyżej, istnieje wiele wyrafinowanych metod, które różnią się od siebie przede wszystkim wykorzystaniem różnych luk zabezpieczeń i rozwiązaniami technicznymi. Wciąż powstają też nowe sposoby przechwytywania i nieautoryzowanego uczestniczenia w komunikacji sieciowej.
Wykrywanie ataków MiTM
Chociaż niektóre z ataków MiTM wykorzystują zaawansowane technologie i nie sposób wykryć ich bez równie nowoczesnego oprogramowania, to część takich zdarzeń można rozpoznać, jeśli zachowa się czujność. Oto kilka takich wskazówek:
- podejrzane adresy stron – większość z nas nie zwraca uwagi na to, jaki adres widnieje na pasku adresowym przeglądarki. Zwykle kątem oka widzimy, że jest to po prostu oczekiwany adres. Hakerzy wykorzystują to, zmieniając adres w minimalnym stopniu, np. „o” na „0”. Należy zatem częściej przyglądać się temu elementowi, zwłaszcza na stronach, na których podajemy poufne dane;
- znaczne zwolnienie działania sieci – jeśli dana strona przez większość czasu działa dobrze, a w konkretnym momencie jej działania zaczyna mocno szwankować, to może być sygnał, że do naszej sesji w internecie dołączył nieproszony obserwator;
- błędy certyfikatów i zmiana ustawień – jeśli zauważymy, że dana strona wyświetla błędy certyfikatów SSL lub ustawienia sieciowe zmieniły się w niewyjaśnionych okolicznościach, to wskazuje na to, że jesteśmy ofiarą MiTM. Jest to szczególnie podejrzane jeśli mamy zaufanie do danej strony i nie mieliśmy z nią nigdy wcześniej problemów.
Jak ochronić się przed takim atakiem MiTM?
Ataki MiTM bywają trudne do wykrycia, ale można zwiększyć ogólny poziom swojego bezpieczeństwa trzymając się kilku zasad:
- czujność podczas wizyt na stronach internetowych – zwłaszcza na tych, na których podajemy wrażliwe dane. Każdy najmniejszy szczegół odbiegający od normy powinien nas zaalarmować.
- ostrożność przy klikaniu na linki niewiadomego pochodzenia – dotyczy to szczególnie tych przesyłanych za pośrednictwem poczty e-mail, ale również tych znalezionych na social mediach i forach.
- w firmie należy zabezpieczyć wszystkie komputery używane przez pracowników oprogramowaniem ochronnym, a także przeszkolić personel pod kątem tego rodzaju zagrożeń.
- przechowywanie haseł w bezpiecznym miejscu – trudniej będzie je przechwycić hakerom nawet przy udanym ataku. W tym celu można wykorzystać np. menadżera haseł.
- bezpieczne Wi-Fi – jeśli to możliwe, unikaj publicznych sieci, a w tych należących do Ciebie używaj sprawdzonych standardów szyfrowania np. WPA3.
To tylko niektóre ze sposobów na zmniejszanie ryzyka ataków MiTM. W ASCO Cyber bezwzględnie zalecamy również korzystanie z wirtulanej sieci prywatnej:
- używanie VPN skutecznie szyfruje połączenie i ukrywa adres IP użytkownika, zapewniając prywatność i bezpieczeństwo sesji przeglądarki lub dostępu do zasobów firmowych.
W ramach rozwiązań dla firm dostarczamy również narzędzia klasy ZTNA (Zero Trust Network Access) zwanych również SDP – zapewniających bezpieczny dostęp do prywatnych aplikacji bez dawania użytkownikowi dostępu do sieci firmowej, co znacznie zwiększa bezpieczeństwo. W przypadku chęci zabezpieczenia sieci, usług, bądź urządzeń firmowych skontaktuj się z nami, chętnie doradzimy w sprawie odpowiednich dla Was form zabezpieczeń it.
