Гладиаторы - меню
Гладиаторы - меню

Подмена сертификата и мошеннический сайт - откуда берутся атаки “Man in the middle”

Атака, о которой мы поговорим в этой статье, является распространенной в контексте общедоступных сетей Wi-Fi, где злоумышленники могут легко перехватывать и анализировать веб-трафик пользователей. Частный случай атак Человек посередине - спуфинг, о котором мы уже рассказывали.


Кроме этого, мы писали о таких распространенных атаках как фишинг, брутфорс, DDoS-атаки, атаки на цепочку поставок. О том, как защищаться от них, читайте по ссылкам.


В чем заключается атака "Человек посередине"?


Атака “человек посередине” (Man-in-the-Middle) - это вид кибератаки, при котором злоумышленник тайно вмешивается в общение между двумя сторонами, выдавая себя за каждую из них. Цель атаки - перехватить, изменить или украсть конфиденциальную информацию, такую как пароли, финансовые данные или личные сообщения.


Злоумышленник устанавливает связь с каждой из сторон, создавая иллюзию прямого общения между ними, хотя на самом деле вся коммуникация контролируется им. Это достигается путем перехвата и модификации сетевых пакетов, использования поддельных сертификатов или создания мошеннических Wi-Fi сетей. Примеры атак включают ARP спуфинг, DNS спуфинг, SSL/TLS Hijacking и другие методы, направленные на обман пользователей и серверов.


Один из громких случаев атаки “человек посередине” произошел в 2017 году, когда стало известно о масштабном использовании этой техники против пользователей мессенджера Telegram. Злоумышленники использовали подмену DNS для перенаправления пользователей на поддельные серверы, которые затем собирали и передавали их личные данные, включая переписку и контакты. Уязвимыми могут быть даже популярные и широко используемые приложения для обмена сообщениями перед лицом атак MitM. Это лишний раз подтверждает необходимость использования надежных методов шифрования и проверки подлинности серверов для защиты от подобных атак.


Но MITM это не только атака, это еще и технология, которая используется с благими целями. В крупных компаниях на периметре сети обычно используется устройство NGFW, которое применяет “атаку человек посередине” для анализа даже заширофанного веб трафика, чтобы фильтровать запросы пользователей не дать возможность передать наружу конфиденциальную информацию (или просто нарушать политику безопасности компании, проводя время на развлекательных сайтах). По аналогичному принципу также действуют современные антивирусы на домашних ПК (уже много раз говорили, что это одно из самых базовых и необходимых средств защиты), когда анализируют работу браузера и определяют подменные сайты, защищая нас от фишинга или загрузки опасного контента (вирусы, шифровальщики, трояны…)

Как происходит атака?

  1. Злоумышленник устанавливает соединение между жертвой и точкой назначения, притворяясь одной из сторон связи (например, сервером) - обычно это происходит при помощи подмены SSL сертификата, подменяя его через цепочку доверия и создавая аналогичный, похожий на настоящий (помните про предупреждения в браузере о недоверенном веб узле? Это демонстрация подмены, когда нет цепочки доверия).
  2. Установив доверенное соединение хакер перехватывает трафик между жертвой и точкой назначения, имея возможность просматривать, копировать и изменять передаваемую информацию.
  3. При необходимости злоумышленник может вставлять ложные данные в общение между сторонами или даже полностью блокировать передачу информации.
  4. Жертва и точка назначения обычно не замечают атаку, так как злоумышленник передает данные между ними, сохраняя видимость нормального соединения (и даже полностью его шифруя, чтобы скрыть от посторонних глаз).

Атака “человек посередине” может принести серьезные последствия, влияющие и на отдельных пользователей, и на всю систему:

  • Кража конфиденциальной информации: Злоумышленник может перехватывать и красть конфиденциальную информацию, такую как пароли, номера кредитных карт, личные данные и финансовые транзакции. Это может привести к финансовым потерям, краже личных данных и другим формам мошенничества.
  • Фишинг и мошенничество: Атака MITM может использоваться для создания поддельных сайтов или электронных писем, целью которых является сбор личных данных пользователей. Это может включать в себя фишинговые атаки, направленные на получение паролей или финансовой информации.
  • Подмена данных: Злоумышленник может изменять данные, передаваемые между клиентом и сервером, что может привести к искажению информации, отправке ложных сообщений или даже изменению финансовых транзакций.
  • Нарушение целостности данных: Атака MITM может нарушить целостность данных, что означает, что данные могут быть изменены или удалены без ведома пользователя или организации. Это может привести к потере важных данных или искажению информации.
  • Снижение доверия к сервисам и сайтам: Если пользователи узнают о случаях атак MITM, это может снизить их доверие к определенным сервисам и сайтам, что в свою очередь может повлиять на репутацию компаний и организаций.
  • Юридические последствия: В случае утечки данных или финансовых потерь, связанных с атакой MITM, пострадавшие могут обратиться в суд для возмещения ущерба и наказания виновных.
  • Финансовые потери: Кража личных данных, мошенничество с кредитными картами и другие формы финансового мошенничества могут привести к значительным финансовым потерям для отдельных лиц и организаций.
  • Нарушение работы системы: Атака MITM может вызвать сбои в работе системы, потерю данных и другие проблемы, которые могут потребовать значительных усилий и времени для восстановления.

Чтобы защититься от атаки “человек посередине”, рекомендуется следовать следующим рекомендациям:

  1. Используйте шифрование: защищенные протоколы, такие как HTTPS, помогут защитить сетевой трафик. Это затруднит злоумышленнику перехват и изменение данных. Но при этом не забывайте про цепочку доверия и правильность SSL сертификато!
  2. Обновляйте систему: Регулярно обновляйте операционную систему, браузеры и приложения, чтобы устранить уязвимости, которые могут быть использованы для проведения атак.
  3. Используйте VPN: VPN (виртуальная частная сеть) шифрует ваш трафик и перенаправляет его через защищенный канал, обеспечивая дополнительный уровень безопасности.
  4. Многофакторная аутентификация: Внедрите многофакторную аутентификацию (MFA) для защиты ваших учетных записей. MFA требует предоставления нескольких форм аутентификации, что делает кражу учетных данных менее эффективной.
  5. Избегайте общедоступных Wi-Fi сетей: Общедоступные Wi-Fi сети часто являются целью атак “человек посередине”. По возможности используйте защищенные соединения или VPN при подключении к публичным сетям.
  6. Используйте DNS поверх HTTPS (DoH): Эта технология шифрует ваши DNS-запросы, защищая их от перехвата.
  7. Следуйте принципам “нулевого доверия”: Создайте внутренние барьеры для доступа к данным, чтобы даже в случае проникновения злоумышленника в вашу сеть, он не мог свободно перемещаться и получать доступ к конфиденциальной информации.
  8. Мониторинг активности в сети: Используйте инструменты для мониторинга сетевой активности, чтобы обнаруживать подозрительные подключения или необычное поведение пользователей.
  9. Используйте менеджер паролей: Менеджер паролей помогает создавать сложные пароли и автоматически их заполнять, снижая риск использования слабых паролей.
  10. Будьте бдительны: Обращайте внимание на странные адреса в адресной строке браузера, неожиданные отключения и другие признаки возможной атаки.

Атака Человек посередине - серьезная угроза для малого и среднего бизнеса, но повышение устойчивости к ней обеспечивается базовыми средствами, их надо грамотно применить!

Перечень средств в статье - хороший набор, но не факт, что именно вам требуются все средства. Для уточнения и полноценного аудита оставляйте контакты, и мы свяжемся с вами для бесплатной консультации.

Есть вопросы или запрос на проект по безопасноcти?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Мы используем cookie в соответствии с политикой конфиденциальности для улучшения взаимодействия с Вашим браузером, сбора служебных данных об аналитике посещения сайта.