Co to jest atak typu man in the middle? Na czym polega i jak się przed nim chronić

Atak man in the middle to cyberatak, w którym haker przejmuje dane przesyłane między dwiema stronami bez ich wiedzy. Cyberprzestępca staje między nimi i przechwytuje wysyłane komunikaty w celu kradzieży poufnych informacji, podsłuchiwania lub podszywania się pod inną osobę.

Ataki typu man in the middle (lub MITM) polegają na przechwytywaniu komunikatów przez tytułowego człowieka pośrodku (ang. man in the middle). Aby atak doszedł do skutku, potrzebne są trzy ogniwa:

• Ofiara
• Cyberprzestępca / człowiek pośrodku (tytułowy man in the middle)
• Odbiorca

Ofiara wysyła do sieci jakieś wrażliwe dane. Może to być na przykład adres e-mail lub dane logowania. Następnie docierają one do odbiorcy – użytkownika, aplikacji lub strony internetowej.

Pomiędzy nimi mamy „człowieka pośrodku”. Jest to haker/cyberprzestępca, który obserwuje dane przesyłane między ofiarą a odbiorcą i jest gotowy do przechwycenia i manipulowania komunikacją we właściwym czasie.

Prostym sposobem na przechwycenie danych przez hakera jest skonfigurowanie pułapek w postaci hotspotów Wi-Fi. Nie są one chronione hasłem, więc każdy może się do nich zalogować. Dzięki odpowiedniej nazwie hotspota – na przykład nazwa pobliskiej kawiarni – przestępcy mogą skłonić użytkowników do połączenia się z siecią. Gdy ofiara jest online, a wszystkie jej dane przechodzą przez hotspot hakera, może on śmiało rozpocząć działanie.

Istnieje wiele różnych ataków MITM, ale wszystkie mają jeden cel: znaleźć się między ofiarą a zamierzonym odbiorcą.

Cyberprzestępca może tak zmanipulować komunikację pomiędzy ofiarą a odbiorcą, że obie strony będą myślały, że komunikują się ze sobą, a tak naprawdę będą komunikować się z nim (człowiekiem pośrodku).

Istnieje kilka rodzajów ataków man in the middle:

Fałszowanie adresów IP (ang. IP Spoofing) może dać hakerom dostęp do urządzenia lub aplikacji z pominięciem procesów uwierzytelniania. Może to być szczególnie skuteczne, kiedy urządzenia są podłączone do jednej sieci, w której znajdują się tylko zaufane urządzenia. Umożliwienie użytkownikowi zalogowania się do aplikacji bez hasła w sieciach korporacyjnych nie jest niczym niezwykłym, pod warunkiem że wysyła on swoje dane z zaufanego adresu IP.

I tutaj pojawia się fałszowanie adresów IP. Jeśli haker może wstawić zmieniony adres IP do „pakietu” danych, które wysyła do urządzenia docelowego, może oszukać aplikację, aby myślała, że jest zaufanym użytkownikiem sieci i uzyskać do niej dostęp.

W naszych skrzynkach mailowych przechowujemy loginy do innych stron internetowych, informacje bankowe oraz ogólną komunikację. Twoja skrzynka odbiorcza jest więc łakomym kąskiem dla hakerów.

Cyberprzestępcy atakujący poczty e-mail często potrzebują czasu, aby monitorować Twoją aktywność, czekając na idealny moment do ataku. Niezależnie od tego, czy oznacza to wysłanie pracodawcy alternatywnych informacji bankowych w celu dokonania płatności, czy przekierowanie pieniędzy przeznaczonych na rachunek, możesz nie zdawać sobie sprawy, że zostałeś zhakowany, dopóki nie będzie za późno.

W przeciwieństwie do ataków MITM ataki MITB wykorzystują złośliwe oprogramowanie. Trojan ten przekierowuje ruch, aby np. kierować ofiary na fałszywą stronę logowania do poczty e-mail, przygotowując bazę pod klasyczny atak MITM. Po wykonaniu swojego zadania niektóre wersje złośliwego oprogramowania mogą nawet usunąć się same, nie pozostawiając żadnych śladów świadczących o obecności hakera.

W przebiegu tego rodzaju ataku haker „podsłuchuje” (atak typu sniffing) – a raczej podgląda – Twoją aktywność za pośrednictwem połączenia Wi-Fi, włamując się do legalnego hotspotu lub konfigurując własny (omówiony wcześniej przykład hotspota kawiarni).

Pliki cookies przeglądarki to małe fragmenty informacji, które strona internetowa zapisuje na Twoim urządzeniu. Te małe pakiety danych mogą również zawierać dane logowania, co czyni je bardzo przydatnymi dla hakerów. Jeśli ktoś uzyska dostęp do plików cookie na Twoim urządzeniu, a następnie je odszyfruje, może uzyskać klucze do szeregu innych kont internetowych. Warto co jakiś czas wyczyścić pliki cookies.

Strona internetowa wydaje się bezpieczna, kiedy adres URL zawiera protokół HTTPS zamiast HTTP, a obok widnieje ikona kłódki. Niestety, cyberprzestępcy mogą sfałszować protokół HTTPS (ang. HTTPS Spoofing), wykorzystując nazwę domeny, która wygląda dokładnie tak samo, jak docelowa strona internetowa – ofiara udostępni swoje wrażliwe dane na sfałszowanej stronie.

Walka z atakami man in the middle polega w dużej mierze na profilaktyce, choć istnieje kilka sposobów na wykrycie już aktywnego ataku. Pozostanie niewykrytym przez odpowiednio długi czas jest istotną częścią ataku MITM. Cyberprzestępca osiągnie sukces tylko wtedy, kiedy będzie działać w ukryciu.

Sprawdź i monitoruj ruch sieciowy – problemy z opóźnieniami oraz podejrzanym ruchem mogą wskazywać na ingerencję stron trzecich. Jeśli administrator wykryje w logach urządzenie, które regularnie próbuje wejść na stronę o przekręconej nazwie niż oryginalna (np. g00gle.com), może to wskazywać na atak man in the middle.

1. Zachowaj czujność, odczytując wiadomości e-mail.E-mail jest idealnym celem dla cyberprzestępców. Jeśli otrzymasz dziwną wiadomość – na przykład nietypową prośbę z Twojego banku lub link, który trzeba kliknąć – zachowaj szczególną ostrożność. Jeśli haker ma już dostęp do Twojej poczty e-mail, może to być próba wyłudzenia od Ciebie pieniędzy. Naucz się identyfikować e-maile phishingowe, aby zachować bezpieczeństwo.
2. Wdrożenie zabezpieczeń punktów końcowych.Jeśli prowadzisz firmę, zapewne martwisz się, że pracownicy przypadkowo udzielą hakerom dostępu do Twoich sieci. Najlepszym sposobem uniknięcia tego jest zabezpieczenie punktów końcowych.
3. Zabezpiecz swój router w domu.Nie tylko publiczne sieci Wi-Fi stanowią zagrożenie. Hasła do routerów domowych są łatwiejsze do złamania, niż mogłoby się wydawać. Wzmocnij bezpieczeństwo domowej sieci Wi-Fi, aby chronić domowe zacisze.
4. Używaj sieci VPNWiele z wymienionych ataków dochodzi do skutku z powodu niezabezpieczonych połączeń Wi-Fi. Jak temu zaradzić? Zaszyfruj swoje dane.

Po włączeniu sieci VPN wszystkie informacje dotyczące przeglądania będą przesyłane zaszyfrowanym tunelem VPN między urządzeniem a bezpiecznym serwerem zewnętrznym. Nawet jeśli połączysz się z hotspotem hakera, wszystko, co będzie mógł zobaczyć, to zaszyfrowane dane, których nie da się odczytać. Szyfrowanie jest przydatnym narzędziem zarówno dla firm, jak i osób prywatnych.

Jeśli haker włamie się do Twojej domowej sieci Wi-Fi lub zwabi Cię do złośliwego punktu dostępu, VPN zapewni Ci pełną ochronę. Dzięki szyfrowaniu danych i zwiększonej prywatności podczas przeglądania możesz powstrzymać atak MITM już u źródła.