حمله مرد میانی

حمله مرد میانی نوعی حمله سایبری است که در آن مهاجم مکالمه ی بین دو هدف را شنود می کند.

 

 هدف از حمله مرد میانی جمع آوری داده های شخصی، رمزهای عبور، حساب بانکی و یا متقاعد کردن قربانی برای اقداماتی دیگر است.

 

حمله مرد میانی(MITM) یا man-in-the-middle نوعی حمله سایبری است که در آن مهاجمان به وسیله ی استراق سمع یک مکالمه و یا انتقال یک داده، آن ها را رهگیری می‌کنند. در ظاهر به نظر می رسد که تبادل استاندارد اطلاعات در حال انجام است اما مهاجم با قرار گرفتن در میان این گفتگو و یا انتقال داده می تواند بی سر و صدا اطلاعات را بدزدد.

هدف حمله مرد میانی MITM بازیابی اطلاعات محرمانه مانند جزئیات حساب بانکی، شماره کارت اعتباری و یا اطلاعات ورود به حساب است که ممکن است برای انجام عملیاتی نظیر سرقت هویت یا انتقال غیرقانونی وجوه مورد استفاده قرار گیرد. از آنجا که حملات مرد میانی در زمان واقعی انجام می شود، اغلب زمانی شناسایی می شود که خیلی دیر شده است.

 

 

دو مرحله ی اصلی حمله مرد میانی

یک حمله موفق مرد میانی شامل دو مرحله است: رهگیری (interception)  و رمزگشایی (decryption).

 

 

رهگیری یا interception

مرحله رهگیری اساساً این است که چگونه مهاجم خود را به عنوان “مرد میانی” وارد می کند. مهاجمان اغلب این کار را با ایجاد یک نقطه اتصال Wi-Fi جعلی در یک فضای عمومی که نیازی به رمز عبور ندارد انجام می دهند. اگر قربانی به هات اسپات متصل شود، مهاجم به هرگونه تبادل داده آنلاینی که انجام می دهد دسترسی پیدا می کند.

هنگامی که یک مهاجم با موفقیت خود را بین قربانی و مقصد مورد نظر قرار می دهد، ممکن است از تکنیک های مختلفی برای ادامه حمله استفاده کند:

جعل IP (IP Spoofing): هر دستگاه متصل به Wi-Fi دارای یک آدرس IP است که برای ارتباط بین کامپیوترها و دستگاه‌های شبکه‌ای اهمیت دارد. در این تکنیک بسته های IP به منظور جعل هویت سیستم قربانی تغییر می یابند. به عنوان مثال هنگامی که قربانی سعی می کند به یک URL دسترسی پیدا کند بطور ناخواسته به وب سایت مهاجم دسترسی پیدا می کند.

جعل ARP (ARP Spoofing): با جعل آدرس پروتکل رزولوشن (ARP)، مهاجم از پیام های ARP جعلی برای پیوند آدرس MAC خود با آدرس IP قربانی استفاده می کند. با اتصال آدرس MAC به یک آدرس IP معتبر، مهاجم به هر داده ی ارسال شده به آدرس IP میزبان دسترسی پیدا می کند.

جعل (DNS DNS Spoofing): جعل سرور نام دامنه یا DNS شامل یک مهاجم است که سرور DNS را تغییر می دهد تا ترافیک وب قربانی را به یک وب سایت جعلی هدایت کند که بسیار شبیه به وب سایت مورد نظر است. اگر قربانی به حساب کاربری خود وارد شود، مهاجمان می توانند به داده های شخصی و سایر اطلاعات نیز دسترسی پیدا کنند.

 

 

رمزگشایی یا decryption

پس از اینکه مهاجم به داده های رمزگذاری شده قربانی دسترسی پیدا کرد، باید رمزگشایی شود تا مهاجم بتواند آنها را بخواند و از آن استفاده کند. ممکن است چندین روش برای رمزگشایی داده های قربانی مورد استفاده قرار گیرد:

جعل HTTPS (HTTPS Spoofing): جعل HTTPS روشی برای فریب دادن مرورگر شماست. در این روش یک وب سایت جعلی بصورت ایمن و معتبر نشان داده می شود در حالی که اینطور نیست و یک وب سایت جعلی است. هنگامی که قربانی تلاش می کند به یک وب سایت امن متصل شود، یک گواهی HTTPS جعلی به مرورگر او ارسال می شود. مهاجم قربانی را به وب سایت جعلی هدایت می کند. این امر به مهاجم اجازه می دهد تا به هر داده ای که قربانی در آن سایت به اشتراک می گذارد دسترسی داشته باشد.

ربودن (SSL Hijacking) SSL: زمانی که به یک وب سایت با آدرس HTTP متصل می شوید سرور شما را به طور خودکار به نسخه امن HTTPS آن سایت هدایت می کند. با ربودن SSL، مهاجم از کامپیوتر و سرور خود برای رهگیری مجدد مسیر استفاده می‌کند و به آنها اجازه می‌دهد تا هرگونه اطلاعات ارسال شده بین کامپیوتر و سرور کاربر را قطع کنند. این امر این امکان را به آنها می دهد که به اطلاعات حساسی که کاربر در طول حضور خود در وب سایت استفاده می کند دسترسی داشته باشند.

حذف SSL (SSL Stripping): حذف SSL شامل قطع ارتباط بین کاربر و وب‌سایت توسط مهاجم است. این کار با کاهش اتصال HTTPS ایمن کاربر به نسخه HTTP ناامن وب سایت انجام می شود. این امر کاربر را به سایت ناامن متصل می کند در حالی که مهاجم ارتباط خود را با سایت امن حفظ می کند و فعالیت کاربر را به صورت رمزگذاری نشده برای مهاجم قابل مشاهده می کند.

 

 

نمونه هایی از حملات مرد میانی (MITM)

در سال 2015 یک برنامه تبلیغاتی به نام Super Fish که از سال 2014 بر روی تمام سیستم های لنوو نصب شده بود کشف شد. این برنامه ترافیک SSL را اسکن و گواهی‌های جعلی صادر می کرد. که با این کار اجازه استراق سمع را‌ به اشخاص ثالث می داد تا ترافیک ورودی امن را رهگیری و هدایت کنند. این گواهی های جعلی حتی در صفحات رمزگذاری شده نیز عمل می کرد.

در سال 2017، یک آسیب‌پذیری بزرگ در برنامه‌های بانکداری تلفن همراه برای تعدادی از بانک‌های معروف کشف شد که کاربران iOS و Android را در معرض حملات مرد میانی قرار می‌داد. این نقص مربوط به فناوری پین کردن گواهی بود که برای جلوگیری از استفاده از گواهی‌های جعلی استفاده می‌شد. که در نهایت امکان انجام حملات MITM را فراهم کرد.

 

 

نحوه تشخیص حملات مرد میانی

موارد خاصی وجود دارد که باید هنگام وب گردی به آنها توجه کنید. یکی از عمده ترین آن ها URL موجود در نوار آدرس شماست.

یک وب سایت امن با “HTTPS” در URL سایت نشان داده می شود. اگر یک URL فاقد “S” باشد و به عنوان “HTTP” نشان داده شود این یک هشدار است که اتصال شما ایمن نیست. شما همچنین باید به دنبال نماد قفل SSL در سمت چپ URL بگردید. این امر نشان دهنده یک وب سایت امن است.

مقاله ای در این زمینه در وبسایت قرار گرفته است که با کلیک کردن بر روی لینک زیر می توانید مطالعه بفرمایید.

HTTPS به معنای امن بودن نیست!

 

علاوه بر این ها حتما مراقب اتصال به شبکه های Wi-Fi عمومی باشید. همانطور که در بالا نیز توضیح داده شد مجرمان سایبری اغلب از شبکه‌های Wi-Fi عمومی جاسوسی می‌کنند و از آن‌ها برای انجام یک حمله مرد میانی استفاده می‌کنند. بهتر است هرگز یک شبکه Wi-Fi عمومی را یک شبکه معتبر و قابل اطمینان فرض نکنید و به طور کلی از اتصال به شبکه های Wi-Fi ناشناس خودداری کنید.

 

 

پیشگیری و نحوه آماده سازی

در حالی که آگاهی از نحوه شناسایی یک حمله احتمالی MITM مهم است، بهترین راه برای محافظت در برابر آن در وهله اول جلوگیری از آنها است. حتما این روش ها را دنبال کنید:

-از شبکه های Wi-Fi که دارای رمز عبور نیستند اجتناب کنید و هرگز از شبکه Wi-Fi عمومی برای تراکنش های حساسی که به اطلاعات شخصی شما نیاز دارند استفاده نکنید.

-به محض پایان یافتن کارتان در وب سایت های حساسی مانند وبسایت های مربوط به بانکداری آنلاین حتما از حساب خود خارج شوید تا از ربودن session جلوگیری کنید.

-از رمزهای عبور مناسب استفاده کنید. استفاده از رمزهای عبور متفاوت برای حساب های مختلف و همچنین تا حد امکان از یک نرم افزار مدیریت رمزهای عبور برای اطمینان از قوی بودن رمزهای عبور خود استفاده کنید.

-برای همه رمزهای عبور خود از احراز هویت چند مرحله ای استفاده کنید.

-از فایروال برای اطمینان از اتصالات اینترنتی ایمن استفاده کنید.

-از نرم افزار آنتی ویروس برای محافظت از دستگاه های خود در برابر بدافزارها استفاده کنید.

 

همانطور که دنیای دیجیتال به تکامل خود ادامه می دهد پیچیدگی های جرایم سایبری و بهره برداری از آسیب پذیری های امنیتی نیز افزایش می یابد. مجهز بودن به یک نرم افزار آنتی ویروس قوی کمک زیادی به حفظ امنیت داده های شما می کند.

 

 

 

منابع:

pandasecurity.com

crowdstrike.com

veracode.com

bitdefender.co