حمله فرد در میان

خرداد 8, 1403
حمله فرد در میان Man in the Middle (MitM) شکلی از حمله سایبری است که در آن مجرمان از وجود پروتکل‌های ضعیف مبتنی بر وب سوء استفاده کرده و خود را در میان موجودیت‌های یک کانال ارتباطی برای سرقت‌ داده‌ها وارد می‌کنند.
احراز هویت چند عاملی (MFA) یکی از بهترین شیوه‌های جلوگیری از حملات MitM است. بدین ترتیب کاربران در تراکنش‌های برخط فقط به یک گذرواژه ساده وابسته نیستند. سازمان‌ها لازم است استفاده از احراز هویت MFA را برای دستیابی به دستگاه‌ها و سرویس‌های برخط الزامی کنند.
حمله فرد در میان

در حالی که اکثر حملات سایبری بی‌سر و ‌صدا و بدون اطلاع قربانیان انجام می‌شوند، اما برخی از حملات MitM برعکس هستند. آنها ممکن است شامل یک ربات بوده که پیام‌های متنی را باورپذیر کنند.

صنایع و افراد آسیب پذیر در حمله فرد در میان MitM

حمله فرد در میان MitM ممکن است هر کسب و کار، سازمان یا شخصی را مورد هدف قرار دهد. هر چه سود مالی بالقوه بیشتر باشد، احتمال حمله بیشتر است. نفوذگرها معمولا اطلاعات مالی یا سابقه سلامت اشخاص را دزیده و به فروش میرسانند. بدین ترتیب چنانچه آنها یک حمله موفقیت‌آمیز انجام دهند، امکان سرقت میلیون‌ها رکورد اطلاعاتی را دارند.

صنایع محبوب برای حملات MitM معمولا بانک‌ها، شرکت‌های مالی و سیستم‌های مراقبت بهداشتی می باشند. همچنین کسب و کارهایی که دستگاه‌های مرتبط با اینترنت اشیاء (IOT) را در شبکه‌های صنعتی به هم متصل و مدیریت می‌کنند، از دیگر اهداف حمله MitM به شمار می روند. بدین ترتیب میلیون‌ها دستگاه آسیب‌پذیر در تولید، فرآیندهای صنعتی، سیستم‌های قدرت، زیرساخت‌های حیاتی و غیره را در معرض حمله قرار میدهند.

انواع حملات سایبری فرد در میان MitM

در ادامه نگاهی به انواع حملات فرد در میان می اندازیم.

MitM
1- ربایش ایمیل (Email Hijacking)

در این نوع حمله سایبری، مجرمان کنترل حساب‌های ایمیل بانک‌ها، موسسات مالی یا سایر شرکت‌های قابل اعتمادی که به داده‌های حساس (و پول) دسترسی دارند را تصاحب می‌کنند. بدین ترتیب مهاجمان پس از ورود قادرند تراکنش‌ها و مکاتبات بین بانک و مشتریانش را زیر نظر بگیرند.  

در سناریو های مخرب‌تر، مهاجمان آدرس ایمیل بانک را به صورت غیرقانونی جعل کرده و به مشتریان، ایمیل‌هایی ارسال می‌کنند که مثلا به یک حساب جعلی پول وازیر کنند.

2- استراق سمع وایفای (Wi-Fi Eavesdropping)

در استراق سمع‌های وایفای، مجرمان سایبری، قربانیان را وادار می‌کنند تا به یک شبکه بی‌سیم با نامی معتبر ولی مخرب متصل شوند. هنگامی که قربانیان به Wi-Fi مخرب متصل می‌شوند، مهاجمین امکان نظارت بر فعالیت برخط کاربر یا در اختیار گرفتن اطلاعات حساس وی را خواهند داشت. بنابراین در خصوص تلفن‌های همراه، کاربران بهتر است گزینه Wi-Fi auto connect را همیشه خاموش نگهدارند.

3- DNS Spoofing یا جعل DNS

جعل Domain Name System (DNS) یا سمی کردن DNS cache زمانی اتفاق می‌افتد که مهاجمین با استفاده از رکوردهای دستکاری‌شده DNS، ترافیک برخط را به یک پایگاه وب جعلی هدایت می کنند. مشابه همه تکنیک‌های کلاهبرداری، مهاجمان از کاربران را مجبور کنند تا اقدام خاصی مثلا پرداخت به یک حساب خاص را انجام دهند.

4- ربایش نشست (Session Hijacking)

ربایش نشست نوعی حمله فرد در میان MitM است که در آن مهاجم منتظر می‌ماند تا قربانی وارد برنامه‌ای مانند بانک یا ایمیل شود و سپس کوکی نشست را می‌دزدد. مهاجم از کوکی مذکور حساب متعلق به قربانی را هک می کند. یک نشست در واقع بخشی از داده است که تبادل اطلاعات موقت بین دو دستگاه یا بین رایانه و کاربر را مشخص می‌کند. 

5- ربودن لایه سوکتهای امن SSL (Secure Socket Layer)

امروزه اکثر پایگاه‌های وب، یک سرور امن را ترجیح می دهند. آنها بجای HTTP در اولین بخش آدرس، (HTTPS (Hypertext Transfer Protocol Secure را جایگزین کردند. این یک پروتکل امنیتی است و تمام دیتای اشتراک‌گذاری شده با آن سرور امن، را محافظت می نماید. 

SSL و TLS (امنیت لایه ترابرد) پروتکل‌هایی برای ایجاد امنیت بین رایانه‌های شبکه هستند. در خصوص ربودن SSL، مهاجم قادر است تمام داده‌های ارسالی بین سرور و رایانه کاربر را رهگیری کند. این کار کاملا امکان‌پذیر است زیرا SSL یک پروتکل امنیتی آسیب‌پذیر و قدیمی است که نیاز به جایگزینی دارد.

6- مسموم کردن ARP Cache

ARP (Address Resolution Protocol) یک پروتکل ارتباطی است که وظیفه کشف آدرس لایه پیوند، مانند آدرس MAC مرتبط با یک آدرس لایه اینترنت را برعهده دارد. ARP اهمیت زیادی دارد زیرا قادر است که آدرس لایه لینک را به آدرس IP روی شبکه محلی ترجمه کند.

در این نوع حمله، مجرم سایبری، رایانه قربانی را با اطلاعات نادرست فریب میدهد بطوریکه تصور کند رایانه کلاهبردار gateway شبکه است. به این ترتیب، رایانه قربانی پس از اتصال به شبکه، تمام ترافیک شبکه خود را به جای اینکه از طریق gateway واقعی شبکه ارسال کند، به رایانه عامل مخرب ارسال می‌نماید.

7- IP Spoofing جعل IP

جعل IP شبیه جعل DNS است زیرا مهاجم، ترافیک اینترنت که قرار است به یک وبسایت قانونی برود، را به یک پایگاه وب تقلبی هدایت می‌کند. مهاجم به جای جعل رکورد DNS وبسایت، آدرس IP سایت مخرب را تغییر می‌دهد تا به نظر برسد آدرس IP قانونی وبسایتی است که کاربر هدف قصد بازدید از آن را دارد.

8- سرقت کوکی مرورگر (Stealing Browser Cookies)

کوکی مروگر که به عنوان کوکی HTTP نیز شناخته می‌شود، در واقع داده‌هایی است که یک مرورگر وب آنها را جمع آوری کرده و به صورت محلی در رایانه کاربر ذخیره می کند. کوکی مرورگر به وبسایت‌ها کمک می‌کند تا اطلاعات را برای بهبود تجربه مرور کاربر به خاطر بسپارند.

 فرد مهاجم باید یک تکنیک دیگر حمله فرد در میان MitM مانند استراق سمع‌ وایفای یا ربودن نشست را در عملیات سرقت کوکی های مرورگر ترکیب کند. با دسترسی به کوکی‌های مرورگر، مهاجمان می‌توانند رمزهای عبور، شماره کارت اعتباری و سایر اطلاعات حساسی که کاربران به طور مرتب در مرورگرهای خود ذخیره می‌کنند را سرقت نمایند.

نحوه عملکرد و حفاظت از حمله فرد در میان (MitM)

صرفنظر از تکنیک‌های خاص، مهاجمان برای انجام یک حمله فرد در میان MitM روند زیر را انجام میدهند:

  • شخص A پیامی را به شخص B می‌فرستد.
  • مهاجم MitM پیام را بدون اطلاع شخص A یا شخص B رهگیری می‌کند
  • مهاجم MitM محتوای پیام را تغییر داده یا پیام را به طور کلی حذف می‌کند (باز هم بدون اطلاع شخص A یا B)

از نظر محاسباتی، یک حمله MitM با بهره‌برداری از آسیب‌پذیری‌های شبکه، وب یا پروتکل‌های امنیتی مبتنی بر مرورگر برای منحرف کردن ترافیک قانونی و سرقت اطلاعات قربانیان کار می‌کند. لازم به ذکر است که هر کسی که از دستگاه تلفن همراه استفاده می کند یک هدف بالقوه است.

احراز هویت چند عاملی (MFA) یکی از بهترین شیوه‌های جلوگیری از حملات فرد در میان MitM است. بدین ترتیب کاربران در تراکنش‌های برخط فقط به یک گذرواژه ساده وابسته نیستند. سازمان‌ها لازم است استفاده از احراز هویت MFA را برای دستیابی به دستگاه‌ها و سرویس‌های برخط الزامی کنند.

سبدخرید
فروشگاه
0 آیتم سبد خرید
حساب کاربری