Atak man in the middle: co to? Jak mu zapobiec?
Atak man in the middle – co to jest? Jak zagraża firmie?
Atak typu man in the middle polega na przechwyceniu pakietów danych, które przesyłają między sobą firmy. Cyberprzestępca jest wtedy pośrednikiem w komunikacji pomiędzy dwiema stronami. Sytuacja ta może dotyczyć dwóch użytkowników, ale coraz częściej atak tego rodzaju zakłada przechwytywanie komunikacji pomiędzy komputerem lub smartfonem użytkownika - ofiary oraz zaufanym serwerem (np. bankowym, pocztowym czy serwerem sklepu online). Oszust może jedynie przechwytywać dane (mówimy wtedy o pasywnym ataku) lub modyfikować komunikację dla osiągnięcia własnych celów.
Atak MiTM jest często wyłącznie narzędziem do przeprowadzenia kolejnych ataków. Cyberprzestępcy wykorzystujący tę metodę stosują także inne ataki, w tym socjotechniczne.
Przykłady i rodzaje MiTM
Istnieje kilka wyszczególnionych rodzajów ataków MiTM. Do najpopularniejszych z nich należą ataki wykorzystujące fałszywy, specjalnie skonfigurowany router lub dostępny publicznie router o podatności pozwalającej na przechwytywanie komunikacji.
- Wystarczy, że cyberoszust przebywający w miejscu publicznym skonfiguruje hotspot z wykorzystaniem własnego komputera, który nazwie np. „Darmowy internet – kawiarnia”. Ofiara łącząc się z taką siecią, po to by przykładowo zalogować się w aplikacji swojego banku lub dokonać zakupów online, pada ofiarą kradzieży ważnych danych uwierzytelniających. W przypadku pracownika firmy czekającego na samolot (łączącego się z publiczną siecią WIFI), wyciek danych może dotyczyć ważnych danych firmy i jej klientów.
- Szczególnym rodzajem ataku jest także MiTB (man-in-the-browser). Taki wariant polega na zainfekowaniu przeglądarki internetowej ofiary i sukcesywnym przechwytywaniu interesujących przestępcę informacji. Tego rodzaju atak może zostać przeprowadzony na dużą skalę i objąć dane uwierzytelniające, numery kart kredytowych oraz inne wrażliwe dane od setek ofiar.
- Jednym ze sposobów przechwytywania informacji w ramach ataku man in the middle jest wykradanie plików cookie. Choć na co dzień stanowią one duże ułatwienie w korzystaniu z sieci, zapamiętując loginy, hasła i dane teleadresowe, to ich przejęcie umożliwia postronnej osobie zalogowanie się do konta czy profilu. Taki wariant ataku jest możliwy do przeprowadzenia za pomocą złośliwego skryptu JavaScript pojawiającego się w witrynie. Podobną metodą oszust można przejąć aktywną sesję, wylogowując jednocześnie użytkownika (np. z bankowości internetowej).
Metodami powszechnie wykorzystywanymi przez oszustów przeprowadzających atak man in the middle jest sniffing oraz spoofing DNS/IP:
- Sniifing pozwala przez długi czas „podsłuchiwać” sieć Wi-Fi w celu przechwytywania wrażliwych danych. Sniffer zainstalowany na urządzeniu wchodzącym w skład sieci może dawać pełen wgląd w wysyłane w jej obrębie pakiety danych.
- Spoofing z kolei pozwala oszustom na podszywanie się pod konkretne adresy IP/MAC/, serwery DNS czy certyfikaty SSL/TLS w celu przechwycenia danych.
Historia zna kilka przypadków bardzo poważnych w skutkach ataków typu MiTM. Ofiarą jednego z nich padła chińska spółka venture capital finansująca rozwój izraelskiego start-upu. Oszuści przy wykorzystaniu fałszywych domen i modyfikacji danych bankowych, przesyłanych pocztą e-mail, zdołali wprowadzić specjalistów obu firm w błąd i ukraść aż 1 mln USD.
Atak man in the middle – jak mu zapobiec?
Podstawowym działaniem chroniącym przed tego rodzaju atakami jest profilaktyka. Wdrożenie w organizacji jasno sprecyzowanych praktyk cyberbezpieczeństwa i dodatkowe szkolenia z security awareness mogą uczulić pracowników na potencjalnie niebezpieczne nawyki. Przede wszystkim należy unikać publicznych, ogólnodostępnych sieci Wi-Fi, jeśli jest podejrzenie, że nie są dostatecznie zabezpieczone.
Konieczne jest także włączenie uwierzytelniania dwuskładnikowego – pozwoli ono klientowi zweryfikować autentyczność witryny, do której próbuje się zalogować.
Należy zwracać uwagę na bezwzględną unikalność haseł do routerów i kontrolować punkty dostępowe. Korzystając z witryn WWW, warto także zwracać uwagę na adres domeny. Pracownik powinien od razu powiadomić administratora, jeśli w witrynie na pasku adresu zauważył literówkę.
Ostatecznym środkiem ochrony przed atakami typu man in the middle jest proaktywny monitoring sieci, wyszukiwanie anomalii i podejrzanego ruchu. W przypadku zespołów pracujących zdalnie dobrym sposobem na zapewnienie poufności komunikacji jest konfiguracja bezpiecznych sieci VPN.
Ochrona Twojej firmy przed cyberatakami
W świetle wciąż rozwijających się skomplikowanych metod cyberataków należy uznać, że firmowa sieć nigdy nie jest dostatecznie bezpieczna. System bezpieczeństwa wymaga ciągłego udoskonalania. Ochrona przed atakami typu MiTM wymaga wykorzystania bardzo różnych środków technicznych, a podstawą jest jak zawsze monitorowanie ruchu sieciowego. Pomóc może usługa Netia Managed UTM, zapewniająca dostęp do firewalla nowej generacji, wraz z systemami IPS, antywirusowymi i szyfrowanymi połączeniami pomiędzy pracownikami. Usługa jest zarządzana przez zespół Netii, dlatego po stronie Twojej firmy nie ma żadnych dodatkowych obowiązków.
Najbardziej narażone na ataki organizacje powinny postawić na dedykowaną pomoc Netia SOC – zespołu kilkunastu specjalistów wyposażonych w systemy SIEM/SOAR, zajmujących się aktywnym monitoringiem sieci przez cały rok i całą dobę. Wysoka dostępność usługi poświadczona umową SLA zapewnia najwyższy poziom niezawodnej ochrony.
Może Cię również zainteresować...
English