مرتضی اسدی | 4 دقیقه مطالعه
در این مقاله شما را با حمله فرد در میان (مرد میانی) و انواع مختلف آن آشنا میکنیم. با ما همراه باشید تا با شیوه مقابله با این نوع حمله سایبری آشنا شوید.
فهرست مطالب
حمله فرد در میان Man in the Middle (MitM) (حمله مرد میانی)، نوعی از حمله سایبری است که مجرمان از وجود پروتکلهای ضعیف مبتنی بر وب سو استفاده کرده و خود را در میان موجودیتهای یک کانال ارتباطی برای سرقت دادهها وارد میکنند.
احراز هویت چند عاملی (MFA) یکی از بهترین شیوههای جلوگیری از حملات MitM است. بدین ترتیب کاربران در تراکنشهای برخط فقط به یک گذرواژه ساده وابسته نیستند. سازمانها لازم است استفاده از احراز هویت MFA را برای دستیابی به دستگاهها و سرویسهای برخط الزامی کنند.
در حالی که اکثر حملات سایبری بیسر و صدا و بدون اطلاع قربانیان انجام میشوند، برخی از حملات MitM برعکس ممکن است شامل یک ربات بوده که پیامهای متنی را باورپذیر کنند.
صنایع و افراد آسیب پذیر در حمله فرد در میان MitM
حمله فرد در میان MitM ممکن است هر کسب و کار، سازمان یا شخصی را مورد هدف قرار دهد. هر چه سود مالی بالقوه بیشتر باشد، احتمال حمله بیشتر است. نفوذگرها معمولا اطلاعات مالی یا سابقه سلامت اشخاص را دزیده و به فروش میرسانند. بدین ترتیب چنانچه آنها یک حمله موفقیتآمیز انجام دهند، امکان سرقت میلیونها رکورد اطلاعاتی را دارند.
صنایع محبوب برای حملات MitM معمولا بانکها، شرکتهای مالی و سیستمهای مراقبت بهداشتی هستند. همچنین کسب و کارهایی که دستگاههای مرتبط با اینترنت اشیاء (IOT) را در شبکههای صنعتی به هم متصل و مدیریت میکنند، از دیگر اهداف حمله MitM به شمار میروند. بدین ترتیب میلیونها دستگاه آسیبپذیر در تولید، فرآیندهای صنعتی، سیستمهای قدرت، زیرساختهای حیاتی و غیره را در معرض حمله قرار میدهند.
انواع حملات سایبری فرد در میان MitM
در ادامه نگاهی به انواع حملات فرد در میان میاندازیم.
ربایش ایمیل (Email Hijacking)
در این نوع حمله سایبری، مجرمان کنترل حسابهای ایمیل بانکها، موسسات مالی یا سایر شرکتهای قابل اعتمادی که به دادههای حساس (و پول) دسترسی دارند را تصاحب میکنند. بدین ترتیب مهاجمان پس از ورود قادرند تراکنشها و مکاتبات بین بانک و مشتریانش را زیر نظر بگیرند.
در سناریوهای مخربتر، مهاجمان آدرس ایمیل بانک را به صورت غیرقانونی جعل کرده و به مشتریان، ایمیلهایی ارسال میکنند که مثلا به یک حساب جعلی پول وازیر کنند.
استراق سمع وایفای (Wi-Fi Eavesdropping)
در استراق سمعهای وایفای، مجرمان سایبری، قربانیان را وادار میکنند تا به یک شبکه بیسیم با نامی معتبر ولی مخرب متصل شوند. هنگامی که قربانیان به Wi-Fi مخرب متصل میشوند، مهاجمین امکان نظارت بر فعالیت برخط کاربر یا در اختیار گرفتن اطلاعات حساس وی را خواهند داشت. بنابراین در خصوص تلفنهای همراه، کاربران بهتر است گزینه Wi-Fi auto connect را همیشه خاموش نگهدارند.
DNS Spoofing یا جعل DNS
جعل Domain Name System (DNS) یا سمی کردن DNS cache زمانی اتفاق میافتد که مهاجمین با استفاده از رکوردهای دستکاریشده DNS، ترافیک برخط را به یک پایگاه وب جعلی هدایت میکنند. مشابه همه تکنیکهای کلاهبرداری، مهاجمان از کاربران میخواهند تا اقدام خاصی مثلا پرداخت به یک حساب مشخص را انجام دهند.
ربایش نشست (Session Hijacking)
ربایش نشست نوعی حمله فرد در میان MitM است که در آن مهاجم منتظر میماند تا قربانی وارد برنامهای مانند بانک یا ایمیل شود و سپس کوکی نشست را میدزدد. مهاجم از کوکی مذکور حساب متعلق به قربانی را هک می کند. یک نشست در واقع بخشی از داده است که تبادل اطلاعات موقت بین دو دستگاه یا بین رایانه و کاربر را مشخص میکند.
ربودن لایه سوکتهای امن SSL (Secure Socket Layer)
امروزه اکثر پایگاههای وب، یک سرور امن را ترجیح می دهند. آنها بجای HTTP در اولین بخش آدرس، (HTTPS (Hypertext Transfer Protocol Secure را جایگزین کردند. این یک پروتکل امنیتی است و تمام دیتای اشتراکگذاری شده با آن سرور امن، را محافظت مینماید.
SSL و TLS (امنیت لایه ترابرد) پروتکلهایی برای ایجاد امنیت بین رایانههای شبکه هستند. در خصوص ربودن SSL، مهاجم قادر است تمام دادههای ارسالی بین سرور و رایانه کاربر را رهگیری کند. این کار کاملا امکانپذیر است زیرا SSL یک پروتکل امنیتی آسیبپذیر و قدیمی است که نیاز به جایگزینی دارد.
مسموم کردن ARP Cache
ARP (Address Resolution Protocol) یک پروتکل ارتباطی است که وظیفه کشف آدرس لایه پیوند، مانند آدرس MAC مرتبط با یک آدرس لایه اینترنت را برعهده دارد. ARP اهمیت زیادی دارد زیرا قادر است که آدرس لایه لینک را به آدرس IP روی شبکه محلی ترجمه کند.
در این نوع حمله، مجرم سایبری، رایانه قربانی را با اطلاعات نادرست فریب میدهد بطوریکه تصور کند رایانه کلاهبردار gateway شبکه است. به این ترتیب، رایانه قربانی پس از اتصال به شبکه، تمام ترافیک شبکه خود را به جای اینکه از طریق gateway واقعی شبکه ارسال کند، به رایانه عامل مخرب ارسال مینماید.
7IP Spoofing جعل IP
جعل IP شبیه جعل DNS است زیرا مهاجم، ترافیک اینترنت که قرار است به یک وبسایت قانونی برود، را به یک پایگاه وب تقلبی هدایت میکند. مهاجم به جای جعل رکورد DNS وبسایت، آدرس IP سایت مخرب را تغییر میدهد تا به نظر برسد آدرس IP قانونی وبسایتی است که کاربر هدف قصد بازدید از آن را دارد.
سرقت کوکی مرورگر (Stealing Browser Cookies)
کوکی مروگر که به عنوان کوکی HTTP نیز شناخته میشود، در واقع دادههایی است که یک مرورگر وب آنها را جمع آوری کرده و به صورت محلی در رایانه کاربر ذخیره می کند. کوکی مرورگر به وبسایتها کمک میکند تا اطلاعات را برای بهبود تجربه مرور کاربر به خاطر بسپارند.
فرد مهاجم باید یک تکنیک دیگر حمله فرد در میان MitM مانند استراق سمع وایفای یا ربودن نشست را در عملیات سرقت کوکی های مرورگر ترکیب کند. با دسترسی به کوکیهای مرورگر، مهاجمان میتوانند رمزهای عبور، شماره کارت اعتباری و سایر اطلاعات حساسی که کاربران به طور مرتب در مرورگرهای خود ذخیره میکنند را سرقت نمایند.
نحوه عملکرد و حفاظت از حمله فرد در میان (MitM)
صرفنظر از تکنیکهای خاص، مهاجمان برای انجام یک حمله فرد در میان MitM روند زیر را انجام میدهند:
- شخص A پیامی را به شخص B میفرستد
- مهاجم MitM پیام را بدون اطلاع شخص A یا شخص B رهگیری میکند
- مهاجم MitM محتوای پیام را تغییر داده یا پیام را به طور کلی حذف میکند (باز هم بدون اطلاع شخص A یا B).
از نظر محاسباتی، یک حمله MitM با بهرهبرداری از آسیبپذیریهای شبکه، وب یا پروتکلهای امنیتی مبتنی بر مرورگر برای منحرف کردن ترافیک قانونی و سرقت اطلاعات قربانیان کار میکند. لازم به ذکر است که هر کسی که از دستگاه تلفن همراه استفاده می کند یک هدف بالقوه است.
احراز هویت چند عاملی (MFA) یکی از بهترین شیوههای جلوگیری از حملات فرد در میان MitM است. بدین ترتیب کاربران در تراکنشهای برخط فقط به یک گذرواژه ساده وابسته نیستند. سازمانها لازم است استفاده از احراز هویت MFA را برای دستیابی به دستگاهها و سرویسهای برخط الزامی کنند.