Атака типа man-in-the-middle (MITM), что буквально означает «человек посередине» - это тип кибер-атаки, при котором злоумышленники перехватывают разговор или передачу данных путем подслушивания, либо притворяясь его легальным участником. Жертве будет казаться, что происходит стандартный обмен информацией, но, вставив себя в «середину» схемы обеспечения разговора или передачи данных, злоумышленник может незаметно перехватить информацию.

20220222-What-Is-a-Man-in-the-Middle-(MITM)-Attack_2-RUS.png

Целью MITM-атаки является получение конфиденциальных данных, таких как данные банковского счета, номера банковских карт или учетные данные для входа, которые могут быть использованы для совершения дальнейших преступлений, таких как кража личных данных или незаконные переводы средств. Поскольку MITM-атаки осуществляются в режиме реального времени, они часто остаются незамеченными до тех пор, пока не становится слишком поздно.

Две фазы атаки Man-in-the-Middle

Успешная MITM-атака включает в себя две конкретные фазы: перехват и дешифрация.


1. Перехват

Перехват предполагает, что злоумышленник вмешивается в процесс передачи данных из/в сеть жертвы, перехватывая их с помощью «подставной» сети прежде, чем данные будут реально отправлены адресату или поступят в сеть жертвы. Фаза перехвата – это, по сути, то, как злоумышленник вводит себя в качестве «человека посередине». Злоумышленники часто делают с помощью создания в общественном месте поддельной точки доступа Wi-Fi, для подключения к которой не требуется пароль. Если жертва подключается к такой «подставной» точке доступа, то злоумышленник получает доступ к любому онлайн-обмену данными, который она выполняет.

Как только злоумышленник успешно вклинится между жертвой и другой желаемой стороной обмена информации, он сможет использовать различные методы для продолжения атаки:

  • IP-спуфинг (подмена IP-адресов): Каждое устройство, подключенное к Wi-Fi, имеет свой адрес Интернет-протокола (IP), который играет центральную роль в том, как взаимодействуют компьютеры и устройства в Сети. Спуфинг (подмена) IP-адресов предполагает, что злоумышленник изменяет IP-пакеты, чтобы выдать себя за компьютерную систему жертвы. Когда жертва пытается получить доступ к URL-адресу, подключенному к этой системе, вместо этого она неосознанно отправляется на веб-сайт злоумышленника.
  • ARP-спуфинг: При подмене протокола разрешения адресов (ARP) злоумышленник использует фальсифицированные сообщения ARP, чтобы связать свой MAC-адрес с легальным IP-адресом жертвы. Подключив свой MAC-адрес к IP-адресу жертвы, злоумышленник получает доступ к любым данным, отправленным на ее IP-адрес.
  • DNS-спуфинг: Подмена сервера доменных имен (DNS), также известная как «отравление» DNS- кэша, предполагает, что злоумышленник меняет IP-адрес DNS-сервера, чтобы иметь возможность перенаправлять веб-трафик жертвы с предполагаемого реального веб-сайта на мошеннический веб-сайт, который очень похож на оригинальный. В этом случае жертва уверена в том, что она подключается к оригинальному веб-сайту, и если жертва авторизуется с помощью своей учетной записи, то злоумышленники смогут получить доступ к персональным, регистрационным данным и другой конфиденциальной информации.

2. Дешифрация

MITM-атака не останавливается только на фазе перехвата. После того, как злоумышленник получит доступ к зашифрованным данным жертвы, они должны быть расшифрованы, чтобы злоумышленник мог их прочитать и использовать в своих вредоносных целях. Для расшифровки данных жертвы может быть использован ряд методов без предупреждения пользователя или появления в приложении жертвы какого-либо предупреждения:

  • Подмена HTTPS (HTTPS-спуфинг): Подмена HTTPS - это метод обмана вашего браузера, в результате которого браузер «считает», что загружаемый веб-сайт безопасен и аутентичен, хотя это не так. Когда жертва пытается подключиться к защищенному сайту, в ее браузер отправляется поддельный сертификат, который вместо этого приводит жертву на вредоносный веб-сайт злоумышленника. Это дает злоумышленнику доступ к любым данным, которыми жертва делится на этом сайте.
  • Перехват SSL (SSL Hijacking): Каждый раз, когда вы подключаетесь к незащищенному веб-сайту, адрес которого в поле для URL-адреса начинается с «HTTP», ваш сервер автоматически перенаправляет вас на защищенную версию HTTPS этого сайта. При перехвате SSL злоумышленник использует свой собственный компьютер и сервер для перехвата этого перенаправления, что позволяет ему прерывать любую информацию, передаваемую между компьютером пользователя и сервером. Это позволяет кибер-преступнику получить доступ к любой конфиденциальной информации, которую пользователь использует во время своего подключения к данному веб-сайту.
  • SSL Stripping: SSL stripping предполагает, что злоумышленник прерывает соединение между пользователем и веб-сайтом. Это делается путем понижения уровня защищенного HTTPS-соединения пользователя до небезопасной HTTP-версии веб-сайта. В этом случае пользователя подключают к незащищенному сайту, в то время как злоумышленник поддерживает соединение с защищенным сайтом, делая действия пользователя видимыми для злоумышленника даже в незашифрованном виде.

Реальные примеры MITM-атак в мире

За последние несколько десятилетий произошел ряд хорошо известных MITM-атак.

  • В 2015 году было обнаружено, что рекламная программа под названием Superfish, которая была предустановлена на компьютерах Lenovo с 2014 года, сканировала SSL-трафик и устанавливала поддельные сертификаты, которые позволяли третьим лицам перехватывать и перенаправлять безопасный входящий трафик. Поддельные сертификаты также использовались для размещения рекламы даже на зашифрованных страницах.
  • В 2017 году в ряде крупных банков была обнаружена серьезная уязвимость в приложениях для мобильного банкинга, которая позволяла осуществлять MITM-атаки против клиентов с iOS и Android. Эта брешь безопасности была связана с технологией «закрепления» сертификатов, используемой для предотвращения использования мошеннических сертификатов, в рамках которой тесты безопасности не могли обнаруживать злоумышленников из-за того, что закрепление сертификата скрывало отсутствие надлежащей проверки имени хоста. В конечном счете это позволило проводить MITM-атаки.

Как обнаружить MITM-атаку

Если вы не занимаетесь активным поиском признаков того, что ваши онлайн-сообщения были перехвачены или скомпрометированы, обнаружить атаку man-in-the-middle может быть крайне сложно. Хотя таким атакам легко остаться незамеченными, все же есть определенные вещи, на которые вам следует обратить внимание при просмотре веб-страниц - в основном это касается URL-адреса в вашей адресной строке.

URL-адрес защищенного веб-сайта начинается с «HTTPS». Если в URL-адресе отсутствует буква «S» в конце и он читается как «HTTP», это сразу же сигнализирует о том, что ваше соединение небезопасно. Вам также следует обратить внимание на SSL-значок замочка слева от URL-адреса, который также обозначает защищенный веб-сайт.


Кроме того, будьте осторожны при подключении к общественным сетям Wi-Fi. Как обсуждалось выше, кибер-преступники часто шпионят за публичными сетями Wi-Fi и используют их для совершения атаки man-in-the-middle. Лучше всего никогда не считать, что общедоступная сеть Wi-Fi является легальной, и вообще избегать подключения к неизвестным и общедоступным сетям Wi-Fi.

Как подготовиться и предотвратить

Хотя и важно знать, как обнаружить потенциальную MITM-атаку, но лучший способ защититься от подобного рода атак - это предотвратить их в принципе. Настоятельно советуем вам следовать нашим рекомендациям:

  • Избегайте сетей Wi-Fi, которые не защищены паролем, и никогда не используйте общедоступную публичную сеть Wi-Fi для выполнения таких конфиденциальных операций, которые требуют передачи ваших персональных данных
  • Используйте подключение через виртуальную частную сеть (Virtual Private Network, VPN) – особенно при подключении к Интернету в общественном месте. VPN шифрует вашу онлайн-активность и не позволяет злоумышленнику «прочитать» ваш Интернет-трафик и получить доступ к вашим персональным данным, таким как пароли или информацию о банковском счете.
  • Выходите при работе на критически важных веб-сайтах (например, на сайте онлайн-банка) сразу после того, как вы закончите работу с этим сайтом, чтобы исключить возможность перехвата вашей сессии злоумышленником.
  • Придерживайтесь правильных привычек по отношению к паролям, например, никогда не используйте одинаковые пароли для разных аккаунтов, используйте менеджер паролей для обеспечения максимального уровня их безопасности.
  • Используйте мультифакторную авторизацию для всех ваших аккаунтов.
  • Используйте файервол для обеспечения безопасных Интернет-соединений.
  • Используйте антивирусную программу для защиты ваших устройств от вредоносных программ.

По мере того как наш мир, связанный с цифровыми технологиями, продолжает стремительно развиваться, растет и уровень развития кибер-преступности и использования уязвимостей в системах безопасности. Забота о том, чтобы обучить себя передовым методам информационной безопасности, имеет решающее значение для защиты от атак man-in-the-middle и других видов кибер-угроз. По крайней мере, наличие мощной и надежной антивирусной программы имеет большое значение для обеспечения безопасности и сохранности ваших данных.