Man in the middle là gì?

Man in the middle (MITM) là một thuật ngữ chung để chỉ khi thủ phạm đặt mình vào cuộc trò chuyện giữa người dùng và ứng dụng.

Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nhưng sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó.

Mục tiêu của cuộc tấn công là đánh cắp thông tin cá nhân, chẳng hạn như thông tin đăng nhập, chi tiết tài khoản và số thẻ tín dụng. Mục tiêu thường là người dùng của các ứng dụng tài chính, doanh nghiệp SaaS, các trang web thương mại điện tử và các trang web khác, nơi yêu cầu đăng nhập.

Nói chung, một cuộc tấn công MITM tương đương với việc một người đưa thư mở bảng sao kê ngân hàng của bạn, ghi chi tiết tài khoản của bạn và sau đó đóng lại phong bì và giao nó đến tận nhà.

Quy trình tấn công Man in the middle

Tấn công man in the middle có 2 giai đoạn:

Đánh chặn/ Interception: Bước đầu tiên chặn lưu lượng truy cập của người dùng thông qua mạng. Cách phổ biến nhất (và đơn giản nhất) để thực hiện điều này là một cuộc tấn công thụ động, trong đó kẻ tấn công tạo ra các điểm truy cập WiFi miễn phí. Thường được đặt tên theo cách tương ứng với vị trí của chúng, chúng không được bảo vệ bằng mật khẩu. Khi nạn nhân kết nối với một điểm phát sóng, kẻ tấn công sẽ có toàn quyền hiển thị đối với bất kỳ cuộc trao đổi dữ liệu trực tuyến nào. Ngoài ra kẻ tấn công có thể thực hiện một trong các bước sau:

• Giả mạo IP là quá trình kẻ tấn công cải trang thành một ứng dụng bằng cách thay đổi tiêu đề gói trong địa chỉ IP. Do đó, người dùng cố gắng truy cập vào một URL được kết nối với ứng dụng sẽ được chuyển đến trang web của kẻ tấn công.
• Giả mạo ARP là quá trình liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của người dùng hợp pháp trên mạng cục bộ bằng cách sử dụng các thông báo ARP giả. Do đó, dữ liệu do người dùng gửi đến địa chỉ IP của máy chủ sẽ được truyền đến kẻ tấn công.

• Giả mạo DNS, còn được gọi là nhiễm độc bộ nhớ cache DNS, liên quan đến việc xâm nhập vào máy chủ DNS và thay đổi bản ghi địa chỉ của trang web. Do đó, người dùng cố gắng truy cập trang web sẽ bị bản ghi DNS đã thay đổi gửi đến trang web của kẻ tấn công.
• Đánh cắp email/ Email hijacking: Một cuộc tấn công trung gian phổ biến khác là Email hijacking. Giả sử bạn đã nhận được một email có vẻ là từ ngân hàng của bạn, yêu cầu bạn đăng nhập vào tài khoản để xác nhận thông tin liên hệ. Bạn nhấp vào một liên kết trong email và được đưa đến trang đăng nhập và thực hiện nhiệm vụ được yêu cầu. Kể tấn công sẽ gửi cho bạn email giả mạo, làm cho nó có vẻ hợp pháp. Khi bạn truy cập vào thông tin trong mail, bạn đang bàn giao thông tin đăng nhập cho kẻ tấn công.

Giải mã/Decryption: Sau khi bị chặn, bất kỳ lưu lượng SSL hai chiều nào đều cần được giải mã mà không cần thông báo cho người dùng hoặc ứng dụng. Một số phương pháp có thể thực hiện:

• Giả mạo HTTPS sẽ gửi một chứng chỉ giả đến trình duyệt của nạn nhân sau khi yêu cầu kết nối ban đầu tới một trang web an toàn được thực hiện. Nó chứa một chứng thực số liên kết với ứng dụng bị xâm nhập, được trình duyệt xác minh theo danh sách các trang đáng tin cậy hiện có. Sau đó, kẻ tấn công có thể truy cập bất kỳ dữ liệu nào do nạn nhân nhập trước khi dữ liệu đó được chuyển đến ứng dụng.
• SSL BEAST (khai thác trình duyệt chống lại SSL/ TLS) nhắm vào lỗ hổng TLS phiên bản 1.0 trong SSL. Tại đây, máy tính của nạn nhân bị nhiễm JavaScript độc hại chặn các cookie được mã hóa do một ứng dụng web gửi. Sau đó, chuỗi khối mật mã (CBC) của ứng dụng bị xâm phạm để giải mã cookie và mã thông báo xác thực của ứng dụng.
• Việc tước SSL hạ cấp kết nối HTTPS xuống HTTP bằng cách chặn xác thực TLS được gửi từ ứng dụng tới người dùng. Kẻ tấn công sẽ gửi phiên bản không được mã hóa của trang web của ứng dụng cho người dùng trong khi vẫn duy trì phiên bảo mật với ứng dụng. Trong khi đó, kẻ tấn công hiển thị toàn bộ phiên của người dùng

Ngăn chặn tấn công man in the middle

Vì có khá nhiều cách để thực hiện tấn công MITM, không có giải pháp tất cả trong một cho các cuộc tấn công. Việc chặn các cuộc tấn công từ phía người dùng như:

• Tránh các kết nối WiFi không được bảo vệ bằng mật khẩu.
• Chú ý đến các thông báo của trình duyệt báo cáo một trang web không an toàn.
• Đăng xuất ngay lập tức khỏi ứng dụng an toàn khi ứng dụng đó không được sử dụng.
• Không sử dụng mạng công cộng (ví dụ: quán cà phê, khách sạn) khi thực hiện các giao dịch nhạy cảm.
• Hãy cảnh giác với các email lừa đảo từ những kẻ tấn công yêu cầu bạn cập nhật mật khẩu hoặc bất kỳ thông tin đăng nhập nào khác. Thay vì nhấp vào liên kết được cung cấp trong email, bạn nên nhập thủ công địa chỉ website vào trình duyệt.
• Bạn phải ý thức rằng MITM có thể làm tổn hại đến thông tin cá nhân, tài sản. Bạn cần trang bị các giải pháp bản mật cho thiết bị của mình như phần mềm diệt virus, dịch vụ VPN bản quyền( Sử dụng VPN miễn phí sẽ có thể biến bạn thành nạn của của cuộc tấn công MITM)…

Một số bài viết có thể bạn quan tâm:

• Virus máy tính là gì? Các dấu hiệu nhận biết máy bị nhiễm virus và loại bỏ chúng
• Clickjacking là gì?
• Phần mềm mã độc Emotet là gì?
• Endpoint Encryption là gì?
• Endpoint Protection Platform (EPP) là gì?
• Endpoint Security là gì?
• Endpoint Detection and Response (EDR) là gì?
• 7 lời khuyên về lập kế hoạch ứng phó sự cố an ninh mạng
• Hacker hack điện thoại của bạn như thế nào? Phòng ngừa ra sao?
• Nhận biết và tự bảo vệ lại Phishing như thế nào?
• Phishing là gì? và những điều bạn cần biết