Atak typu man in the middle polega na przechwyceniu pakietów danych, które przesyłają między sobą firmy. Cyberprzestępca jest wtedy pośrednikiem w komunikacji pomiędzy dwiema stronami. Sytuacja ta może dotyczyć dwóch użytkowników, ale coraz częściej atak tego rodzaju zakłada przechwytywanie komunikacji pomiędzy komputerem lub smartfonem użytkownika - ofiary oraz zaufanym serwerem (np. bankowym, pocztowym czy serwerem sklepu online). Oszust może jedynie przechwytywać dane (mówimy wtedy o pasywnym ataku) lub modyfikować komunikację dla osiągnięcia własnych celów.

Atak MiTM jest często wyłącznie narzędziem do przeprowadzenia kolejnych ataków. Cyberprzestępcy wykorzystujący tę metodę stosują także inne ataki, w tym socjotechniczne.

Istnieje kilka wyszczególnionych rodzajów ataków MiTM. Do najpopularniejszych z nich należą ataki wykorzystujące fałszywy, specjalnie skonfigurowany router lub dostępny publicznie router o podatności pozwalającej na przechwytywanie komunikacji.
 

• Wystarczy, że cyberoszust przebywający w miejscu publicznym skonfiguruje hotspot z wykorzystaniem własnego komputera, który nazwie np. „Darmowy internet – kawiarnia”. Ofiara łącząc się z taką siecią, po to by przykładowo zalogować się w aplikacji swojego banku lub dokonać zakupów online, pada ofiarą kradzieży ważnych danych uwierzytelniających. W przypadku pracownika firmy czekającego na samolot (łączącego się z publiczną siecią WIFI), wyciek danych może dotyczyć ważnych danych firmy i jej klientów.


• Szczególnym rodzajem ataku jest także MiTB (man-in-the-browser). Taki wariant polega na zainfekowaniu przeglądarki internetowej ofiary i sukcesywnym przechwytywaniu interesujących przestępcę informacji. Tego rodzaju atak może zostać przeprowadzony na dużą skalę i objąć dane uwierzytelniające, numery kart kredytowych oraz inne wrażliwe dane od setek ofiar.


• Jednym ze sposobów przechwytywania informacji w ramach ataku man in the middle jest wykradanie plików cookie. Choć na co dzień stanowią one duże ułatwienie w korzystaniu z sieci, zapamiętując loginy, hasła i dane teleadresowe, to ich przejęcie umożliwia postronnej osobie zalogowanie się do konta czy profilu. Taki wariant ataku jest możliwy do przeprowadzenia za pomocą złośliwego skryptu JavaScript pojawiającego się w witrynie. Podobną metodą oszust można przejąć aktywną sesję, wylogowując jednocześnie użytkownika (np. z bankowości internetowej).


•  

Metodami powszechnie wykorzystywanymi przez oszustów przeprowadzających atak man in the middle jest sniffing oraz spoofing DNS/IP:
 

• Sniifing pozwala przez długi czas „podsłuchiwać” sieć Wi-Fi w celu przechwytywania wrażliwych danych. Sniffer zainstalowany na urządzeniu wchodzącym w skład sieci może dawać pełen wgląd w wysyłane w jej obrębie pakiety danych.


• Spoofing z kolei pozwala oszustom na podszywanie się pod konkretne adresy IP/MAC/, serwery DNS czy certyfikaty SSL/TLS w celu przechwycenia danych.


•  

Historia zna kilka przypadków bardzo poważnych w skutkach ataków typu MiTM. Ofiarą jednego z nich padła chińska spółka venture capital finansująca rozwój izraelskiego start-upu. Oszuści przy wykorzystaniu fałszywych domen i modyfikacji danych bankowych, przesyłanych pocztą e-mail, zdołali wprowadzić specjalistów obu firm w błąd i ukraść aż 1 mln USD.