Атака “людина посередині” (Man-in-the-Middle, MITM) – це ситуація, коли зловмисник перехоплює обмін даними між двома комп’ютерами, наприклад, між вашим ноутбуком і віддаленим сервером. Він може непомітно прослуховувати або навіть втручатися у ваш зв’язок, щоб вкрасти важливу інформацію.
Атаки MITM становлять серйозну загрозу безпеці, тому важливо знати, як вони працюють і як захистити себе від них.
Коли двоє спілкуються, третій краде
Небезпека атак MITM полягає в тому, що зловмиснику не потрібен фізичний чи віддалений доступ до вашого комп’ютера. Він може просто знаходитись в одній мережі з вами і непомітно збирати ваші дані. Зловмисник навіть може створити власну фальшиву мережу, щоб обманом залучити вас до неї.
Найпростіший спосіб здійснити таку атаку – скористатися незашифрованою публічною мережею Wi-Fi, наприклад, в аеропорту або кафе. Зловмисник може легко підключитися до цієї мережі і за допомогою безкоштовного інструменту, наприклад, Wireshark, перехопити всі пакети даних, що передаються між пристроями. Потім він зможе проаналізувати цю інформацію і виявити ваші персональні дані.
Поширення протоколу HTTPS, який забезпечує шифрування з’єднання з веб-сайтами, дещо ускладнило життя зловмисникам. Тепер вони не можуть розшифрувати дані, які передаються між двома комп’ютерами через зашифроване з’єднання HTTPS.
Однак, HTTPS не є панацеєю. Зловмисники вигадують нові методи, щоб обійти цей захист.
Наприклад, зловмисник може спробувати обманом змусити ваш комп’ютер перейти з зашифрованого з’єднання на незашифроване. Потім він зможе вільно переглядати трафік між вами та сервером.
Інший вид атаки – “викрадення SSL”. Зловмисник вклинюється між двома сторонами зашифрованого з’єднання, перехоплює, можливо змінює трафік, а потім пересилає його нічого не підозрюючий стороні.
Атаки на мережу та підроблені точки доступу
Атаки MITM також можуть відбуватися на рівні мережі. Один з методів – “отруєння ARP-кешу”. Зловмисник намагається прив’язати свою MAC-адресу (апаратну адресу) до IP-адреси жертви. Якщо йому це вдасться, всі дані, що призначаються жертві, будуть перенаправлені йому.
“Підміна DNS” – це схожий тип атаки. DNS – це “телефонна книга” інтернету, яка перетворює зрозумілі доменні імена (наприклад, google.com) на числові IP-адреси. Зловмисник може перенаправляти ваші запити на підробний веб-сайт, який він контролює, щоб вкрасти ваші дані або встановити шкідливе програмне забезпечення.
Ще один метод – створення фальшивої точки доступу Wi-Fi, або розміщення свого комп’ютера між вами та вашим маршрутизатором чи віддаленим сервером.
Багато людей бездумно довіряють публічним точкам доступу Wi-Fi. Вони бачать напис “Безкоштовний Wi-Fi” і не замислюються про те, що за цим може стояти зловмисник. Наприклад, деякі публічні точки доступу можуть вимагати від вас прибирання брудних туалетів або відмову від свого первістка в обмін на безкоштовний інтернет.
Створити фальшиву точку доступу набагато простіше, ніж здається. Існують навіть спеціальні пристрої, які це спрощують. Звісно, вони розроблені для фахівців з інформаційної безпеки, але їх можуть використовувати і зловмисники.
Також важливо пам’ятати, що маршрутизатори – це комп’ютери, які часто мають поганий захист. Багато людей використовують паролі за замовчуванням, які часто повторюються, і не завжди вчасно оновлюють програмне забезпечення. Зловмисник може скористатися цим, щоб інфікувати ваш маршрутизатор шкідливим кодом, що дозволить йому здійснювати атаки MITM з віддаленого доступу.
Шкідливе програмне забезпечення та атаки MITM
Зловмисник може провести атаку MITM, не перебуваючи з вами в одній кімнаті, або навіть на одному континенті. Він може використовувати для цього шкідливе програмне забезпечення.
Атака “людина в браузері” (Man-in-the-Browser, MITB) відбувається, коли ваш веб-браузер інфіковано шкідливим програмним забезпеченням. Іноді це робиться через підробне розширення, яке надає зловмиснику майже повний доступ.
Зловмисник може, наприклад, підмінити сторінку веб-сайту на фальшиву. Він також може перехоплювати активні сесії на веб-сайтах, наприклад, на банківських сторінках або сторінках соціальних мереж, щоб поширювати спам або красти кошти.
Одним з таких прикладів був троян SpyEye, який використовувався як кейлоггер для крадіжки облікових даних для веб-сайтів. Він також міг додавати нові поля до форм, щоб отримати ще більше особистої інформації.
Як захистити себе
На щастя, існують способи захистити себе від атак MITM. Як і в будь-якій справі, пов’язаній з онлайн-безпекою, головне – постійна пильність. Намагайтеся уникати публічних точок доступу Wi-Fi. Користуйтеся лише мережами, які ви самі контролюєте, наприклад, мобільною точкою доступу або Mi-Fi.
Якщо вам все ж таки необхідно використовувати публічний Wi-Fi, використовуйте VPN. VPN зашифрує весь ваш інтернет-трафік, захищаючи вас від атак MITM. Звичайно, ваша безпека залежить від надійності VPN-провайдера, тому вибирайте його з розумом. Іноді варто заплатити за надійну послугу. Якщо ваш роботодавець надає вам VPN для використання під час подорожей, обов’язково скористайтеся ним.
Щоб захистити себе від атак MITM, пов’язаних зі шкідливим програмним забезпеченням (наприклад, “людина в браузері”), дотримуйтесь правил гігієни безпеки. Не встановлюйте програми або розширення для браузера з невідомих джерел. Виходьте з сесій веб-сайтів, коли закінчите роботу, і використовуйте надійне антивірусне програмне забезпечення.