Man-in-the-middle, czyli cichy złodziej w cyberprzestrzeni

19 listopada, 2024

Man-in-the-middle to rodzaj cyberataku, w którym osoba trzecia przechwytuje komunikację pomiędzy stronami bez ich wiedzy, aby wykraść lub zmodyfikować ważne informacje. Ataki tego rodzaju są poważnym zagrożeniem dla prywatności i bezpieczeństwa. Można im jednak zapobiegać, konsekwentnie przestrzegając kilku zasad.

Ataki man-in-the-middle (MITM) mogą przybierać bardzo różne formy. Najpopularniejsze z nich polegają na przejęciu poczty e-mail, podszywaniu się pod nazwy domen (DNS) i adresy IP, przejęciu kontroli nad SSL, kradzieży plików cookie’s przeglądarki czy session hijacking, czyli przejęciu sesji internetowej.

Podczas niektórych ataków mogą być wykorzystywane boty generujące wiadomości tekstowe czy naśladujące głos osoby podczas rozmowy telefonicznej, w celu pobrania z urządzeń istotnych informacji. MITM jest wyjątkowo niebezpieczny, ponieważ żadna ze stron wysyłających e-maile, SMS-y lub rozmawiających na czacie podczas połączenia wideo nie jest świadoma, że ktoś jeszcze włączył się do rozmowy i właśnie kradnie ich dane.

Ataków Man-in-the-Middle najczęściej doświadczają banki i ich aplikacje, firmy z sektora finansowego, systemy opieki zdrowotnej oraz przedsiębiorstwa obsługujące przemysłowe sieci urządzeń, które komunikują się ze sobą za pomocą protokołów Internetu Rzeczy (IoT).

Jak działa atak typu Man-in-the-Middle?

MITM polega na wykorzystaniu luk w protokołach bezpieczeństwa sieci, stron internetowych lub przeglądarek w celu przekierowania legalnego ruchu i kradzieży informacji od ofiar. Niezależnie od konkretnych technik, atak zawsze przebiega w następujący sposób: osoba A wysyła osobie B wiadomość, atakujący przechwytuje ją bez wiedzy osób A i B, a następnie zmienia treść wiadomości lub całkowicie ją usuwa. Ataki Man-in-the-Middle stoją za największymi masowymi naruszeniami danych, takimi jak atak na Cognyte przeprowadzony w 2021 r. (5 miliardów skradzionych rekordów), platformę streamingową Twitch (5 miliardów rekordów), Linkedin (700 milionów rekordów) czy Facebook (553 miliony rekordów).

Jednym z najsłynniejszych przykładów MITM jest ujawnienie w 2013 r. przez Edwarda Snowdena informacji o programie PRISM, który polegał na masowym podsłuchiwaniu rozmów Amerykanów i obywateli innych krajów, prowadzonych poprzez VoIP i Internet. W celu nielegalnego szpiegowania ludzi NSA (National Security Administration) podszywała się pod Google i przechwytywała cały ruch, fałszując także certyfikaty szyfrowania SSL. 

Jak wykryć atak typu MITM? 

O tym, że trwa właśnie atak może świadczyć nietypowe lub powtarzające się rozłączenia z usługą. Cyberprzestępcy szukają jak największej liczby okazji do wyłudzenia nazw użytkowników i haseł, a wielokrotne ich wpisywanie ułatwia im to zadanie.

Należy również uważać na podejrzane adresy URL. Chociaż fałszywe strony internetowe potrafią do złudzenia przypominać zaufane, to adres złośliwej witryny różni się od prawdziwego. Dlatego użytkownicy zawsze, a zwłaszcza w przypadku wszelkich transakcji finansowych, powinni dokładnie sprawdzać adres URL.

Dobre praktyki przeciwko MITM 

Ekspert Fortinet podkreśla, że ataki Man-in-the-Middle są poważnym zagrożeniem dla wszystkich przedsiębiorstw i to niezależnie od ich wielkości. Organizacje SCORE i SBA, które zapewniają przedsiębiorcom bezpłatny mentoring, w przeszłości oszacowały, że ok. 43% wszystkich ataków ukierunkowanych jest w sektor małych i średnich firm, ponieważ zwykle są one gorzej zabezpieczone. Z kolei Business News Daily poinformował, że straty spowodowane cyberatakami na małe firmy wyniosły średnio 55 tys. USD.

Każda firma powinna zatem stosować dobre praktyki w zakresie cyberbezpieczeństwa, które pozwolą jej uchronić się przed naruszeniami danych w wyniku ataku MITM. Należą do nich przede wszystkim: aktualizacja i zabezpieczenie domowych routerów Wi-Fi, korzystanie z VPN czy stosowanie tam, gdzie to możliwe szyfrowania end-to-end.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]