Tấn công Man-in-the-Middle (MitM) là gì và cách phòng tránh!

Một cuộc tấn công MitM thường là một cuộc tấn công linh hoạt, xâm chiếm và bí mật. Tấn công man-in-the-middle xảy ra khi ai đó ở giữa hai máy tính (máy tính xách tay và máy chủ từ xa) và có khả năng chặn lưu lượng truy cập. Kẻ đó có thể nghe trộm hoặc thậm chí chặn liên lạc giữa hai máy và đánh cắp thông tin nhạy cảm. Các cuộc tấn công man-in-the-middle là một vấn đề bảo mật nghiêm trọng.

Ngày nay khi mà nghe lén là nghề chính của gián điệp và những lời chế giễu của mọi người đang chờ sẵn ở phía sau chúng ta. Trong thời đại của Internet, việc lấy thông tin nhạy cảm càng trở nên dễ dàng hơn.

Mặc dù chúng ta có thể bỏ qua cho những người ít nhiều vô tình nghe thấy những tin nhắn bí mật của chúng ta ở những nơi công cộng, nhưng việc nghe trộm kỹ thuật số đang ở mức độ chưa từng có. Việc thực hiện nó cũng đơn giản hơn nhiều. Nó yêu cầu hai thứ: kết nối Wi-Fi (công khai, riêng tư, bảo mật hoặc không) và một cuộc tấn công vào mạng đó.

Trong trường hợp chỉ là nghe trộm, người thứ ba sẽ là người quan sát thụ động và không được tương tác theo bất kỳ cách nào giữa những người trao đổi thông tin. Đó không phải là MitM— không chỉ có tính năng nghe trộm truyền thống mà còn có thể kiểm soát cuộc trò chuyện. Thực tế này làm cho cuộc tấn công MitM trở thành một hoạt động nguy hiểm.

Cuộc tấn công Man-in the-Middle xảy ra như thế nào và ở đâu

Cuộc tấn công MitM nhằm nghe trộm trên mạng để lấy thông tin hoặc ảnh hưởng đến giao dịch, hội thoại và truyền dữ liệu thời gian thực. Kẻ tấn công có thể làm điều này bằng cách khai thác các điểm yếu trong mạng hoặc bất kỳ thành phần nào của mạng, chẳng hạn như trình duyệt hoặc VoIP.

Nhiều tổ chức thực hiện một hệ thống giám sát nào đó, về bản chất, là một chiến thuật MitM để giám sát nhân viên của họ (thường là không thừa nhận rõ ràng). Một cách sử dụng khác tương tự thì thường nhằm mục đích hiển thị quảng cáo (đây là trường hợp của nhà sản xuất máy tính xách tay Lenovo của Trung Quốc).

Một nhân tố khác được biết đến với việc sử dụng MitM là các chính phủ luôn tổ chức theo dõi công dân của họ, vượt qua bảo mật công nghệ, theo dõi các quốc gia thù địch, đánh cắp dữ liệu nhạy cảm hoặc tấn công các tổ chức tài chính của các quốc gia khác để lấy tiền cho các dự án của họ (như trường hợp rất thường xảy ra với Bắc Hàn).

Trên tất cả, MitM là một phần không thể thiếu trong cách một bộ phận rất lớn tội phạm mạng hoạt động. Trong trường hợp xảy ra cuộc tấn công Business Email Compromise (BEC), chúng thực hiện bằng cách xâm nhập vào mạng của nạn nhân, giành quyền truy cập vào thư từ, theo dõi các yêu cầu thanh toán của bên thứ ba và cuối cùng hướng dẫn nạn nhân gửi khoản thanh toán đến tài khoản ngân hàng mà chúng kiểm soát.

Các kiểu tấn công Men-in-the-Middle

  • Wi-Fi eavesdropping
  • Email acquisitions
  • ARP poisoning
  • DNS spoofing
  • Port stealing
  • STP mangling 

Hai kiểu tấn công đầu tiên là phổ biến nhất và chúng tôi đã mô tả chúng ở trên. Không phải mọi loại tấn công được liệt kê đều có thể được thực hiện trên bất kỳ loại mạng nào. Ví dụ, nhiễm độc ARP có thể được sử dụng để tấn công các hệ thống được kết nối với mạng LAN qua Ethernet.

Có nhiều cách khác nhau mà kẻ tấn công có thể thực hiện một cuộc tấn công MitM, chẳng hạn như đánh hơi, tiêm nhiễm, chiếm đoạt, lọc và tước bỏ.

Các hình thức tấn công Man-in-the-Middle

Một hình thức tấn công là man-in-the-browser (MitB), bắt đầu khi phần mềm độc hại được đặt vào hệ thống và hoạt động cùng với trình duyệt. MitB thường được sử dụng để gian lận tài chính, ví dụ: bằng cách chặn giao tiếp với ngân hàng.

Các cuộc tấn công MitB cực kỳ nguy hiểm vì chúng rất khó bị phát hiện. Chúng bỏ qua các biện pháp kiểm soát bảo mật và mã hóa phổ biến trên các trang ngân hàng và có thể ẩn mình với các chương trình chống virus.

Một loại MitM khác áp dụng cho các thiết bị di động là man-in-the-mobile (MitMo) hoặc còn được gọi là man-in-the-phone. MitMo là một phần mềm độc hại có nhiệm vụ chính là vượt qua nhận dạng hai bước qua SMS. Nó thực hiện điều này bằng cách giám sát các tin nhắn với mã xác minh. Phần mềm độc hại tập trung vào thiết bị Android có thể có quyền truy cập vào các tin nhắn được mã hóa trên WhatsApp.

Trong môi trường di động, có một kiểu tấn công khác được gọi là man-in-the-app, trong đó kẻ tấn công sử dụng chứng chỉ (do chính họ ký) để giao tiếp với ứng dụng bị tấn công.

Trong thời đại của Internet of Things, các cuộc tấn công man-in-the-cloud và man-in-the-IoT cũng có thể được ghi nhận.

Mức độ phổ biến của các cuộc tấn công man-in-the-middle

Các cuộc tấn công MitM rất phổ biến, mặc dù không đến mức ransomware hoặc lừa đảo. Các kiểu tấn công này rất dễ thực hiện và các công cụ hack được cung cấp công khai. Chúng được thực hiện không chỉ từ bên ngoài, mà còn có những sự cố bên trong tổ chức nơi MitM được sử dụng để tấn công mạng nội bộ.

Thật không may, những loại sự cố này rất khó phát hiện, đó là lý do tại sao hành động ngăn chặn là rất quan trọng, đồng thời cũng giúp cải thiện an ninh mạng và quyền riêng tư.

Internet of Things là một rủi ro nghiêm trọng

Các nhà phân tích dự đoán rằng số lượng thiết bị kết nối internet sẽ lên tới hàng chục tỷ trong vòng 5 năm tới. Không có gì là bí mật khi các thiết bị này không được bảo vệ tốt về mặt an ninh mạng. Điều này có thể đồng nghĩa là một bước nhảy vọt số lượng các cuộc tấn công MitM. Vấn đề chính trong trường hợp này sẽ là các thông báo trả về sai được gửi bởi các thiết bị IoT, cũng như các hướng dẫn độc hại được gửi đến chúng.

Phần mềm phổ biến được sử dụng cho cuộc tấn công Man-in-The-Middle

  • Windows – Ví dụ, Cain và Abel – không sử dụng, nhưng nó có vẻ là một công cụ mạnh mẽ để lấy mật khẩu trên mạng.
  • Android – cSploit. Là một ứng dụng mã nguồn mở được phát triển cho điện thoại Android. Để bắt đầu chạy nó, bạn phải có đặc quyền root trên điện thoại của mình. Nó yêu cầu cho phép rất nhiều và hoạt động của nó chỉ đơn giản là chọn từ menu những gì chúng ta muốn làm – thay thế hình ảnh, kiểm tra lưu lượng mạng hoặc giải mã các gói đã gửi. Có rất nhiều tính năng!
  • Linux – Kali Linux là một bản phân phối Linux dành cho tin tặc.

Chúng ta có thể làm gì để bảo vệ mình khỏi các cuộc tấn công MitM?

  • Cài đặt phần mềm chống virus – bằng cách này, bạn có thể tránh các cuộc tấn công trung gian dựa trên phần mềm độc hại đã cài đặt.
  • Tránh các điểm truy cập WiFi công cộng, đặc biệt khi chúng không được bảo vệ bằng mật khẩu. Nếu bạn buộc phải sử dụng một mạng như vậy, chỉ nên kết nối để sử dụng Internet một cách thụ động mà không sử dụng các trang web yêu cầu dữ liệu.
  • Đăng xuất khi bạn sử dụng xong một trang yêu cầu bạn đăng nhập. Một số trang thực hiện việc này tự động khi bạn đóng trình duyệt của mình.
  • Sử dụng xác thực nhiều bước nếu có thể. Hầu như tất cả các tổ chức tài chính đều có tùy chọn xác thực hai bước trở thành tiêu chuẩn bên ngoài ngành tài chính.
  • Sử dụng các trang sử dụng HTTPS. Đảm bảo rằng bạn đang ở trang có ‘ổ khóa’ khi bạn cung cấp bất kỳ dữ liệu nào – HTTPS cung cấp giao tiếp được mã hóa. Nếu bạn có tùy chọn này, hãy cài đặt plugin HTTPS Everywhere để buộc trình duyệt của bạn sử dụng phiên bản an toàn của trang web.
  • Sử dụng mạng riêng ảo (VPN) để thực hiện các giao dịch và liên lạc nhạy cảm. VPN thực sự cần thiết khi sử dụng WiFi công cộng.
  • Thiết lập bộ định tuyến của bạn. Đảm bảo rằng bạn không để lại thông tin đăng nhập mặc định của nhà sản xuất. Ngoài ra, hãy đảm bảo rằng bộ định tuyến đã được cập nhật mới nhất.
  • Đề phòng các email lừa đảo.

Tổng kết

Cách khắc phục tốt nhất cho các cuộc tấn công MITM là đọc kỹ tất cả các tin nhắn, thông báo cho quản trị viên về những điểm bất thường và cài đặt các bản vá mới nhất cho phần mềm bạn đang sử dụng, bên cạnh đó liên tục làm cho người dùng nhận thức được các mối đe dọa tiềm ẩn.