حمله مرد میانی (Man-in-the-middle)

حمله مرد میانی (man-in-the-middle) نوعی حمله سایبری است که طی آن داده های مهم توسط یک مهاجم رهگیری می شوند. حمله مرد میانی هنگامی اتفاق می افتد که یک هکر خود را میان یک کاربر و یک وب سایت یا برنامه قرار می دهد. این حمله انواع مختلفی دارد. به عنوان مثال ممکن است از یک سایت جعلی بانکی برای گرفتن اطلاعات ورود به سیستم مالی افراد استفاده شود. در این مثال سایت جعلی “میان” کاربر و سایت اصلی بانک قرار دارد.

مهاجمان دلایل و روش های مختلفی برای استفاده از یک حمله مرد میانی (MITM) دارند. معمولا ، آنها در تلاش برای سرقت چیزی مانند شماره کارت اعتباری یا اطلاعات ورود به سیستم کاربران هستند. در برخی از موارد مهاجمان بر روی مکالمات خصوصی که ممکن است شامل اسرار تجاری یا دیگر اطلاعات با ارزش باشند، استراق سمع می‌کنند.

نکته مشترکی که در این حملات وجود دارد این است که فرد متخاصم ادعا می‌کند وب سایت یا شخصی قانونی و مورد اعتماد است.

باید به این نکته توجه کرد که هیچ یک از طرفین ارسال ایمیل ، پیام کوتاه یا تماس ویدیویی از این موضوع آگاه نیستند که یک مهاجم وارد مکالمه آنها شده و در حال سرقت اطلاعات آنها است.

انواع حملات مرد میانی

شنود Wi-Fi

اگر شما تا به حال از لپ‌ تاپ در یک فضای عمومی استفاده کرده‌ باشید، ممکن است با این پیغام مواجه شده ‌باشید که می‌گوید: “این شبکه امن نیست” و هیچ تضمینی بر کیفیت خدمات ندارد.

در شنود Wi-Fi ، مجرمان سایبری قربانیان را وادار می کنند که به یک شبکه بی سیم نزدیک با نامی کاملاً شناخته شده متصل شوند. در حالی که این شبکه برای انجام فعالیت های مخرب راه اندازی شده است. به نظر می رسد این شبکه بی سیم متعلق به یک کسب و کار مجاور است که کاربر به آن مراجعه می کند یا ممکن است یک نام عمومی و به ظاهر بی ضرر مانند “شبکه عمومی Wi-Fi رایگان” داشته باشد ،. در برخی موارد ، کاربر حتی نیازی به وارد کردن رمز عبور برای اتصال ندارد.

بنابراین شنود اتصالات وای فای رمزگذاری نشده به راحتی امکان پذیر است. این موضوع بسیار شبیه مکالمه در یک رستوران عمومی است که هر کسی میتواند به آن گوش کند.

نوع دیگری از حمله وای فای زمانی رخ می دهد که یک هکر وای فای هات اسپات خود را ایجاد می کند که به “Evil Twin” معروف است. آنها این اتصال را دقیقاً مانند اتصال معتبر نشان می دهند. کاربران ممکن است به طور تصادفی (یا خودکار) به “Evil Twin” متصل شده و به هکر اجازه جستجو و ردیابی فعالیت های خود را بدهند.

برای محافظت در برابر این حمله ، کاربران همیشه باید بررسی کنند که به چه شبکه ای متصل هستند. در تلفن های همراه ویژگی اتصال خودکار Wi-Fi را خاموش کرده تا از اتصال خودکار دستگاه هایشان به یک شبکه مخرب جلوگیری کنند.

ایمیل ربایی

در این نوع حمله سایبری، هکر، حساب ایمیل کاربر را به خطر می‌اندازد. در این حالت غالبا هکر با جمع آوری اطلاعات کاربران به صورت مخفیانه به استراق سمع مکالمات ایمیل می پردازد. هکرها ممکن است یک اسکریپت جستجو داشته و به دنبال کلمات کلیدی خاصی مانند “بانک” باشند.

همانطور که از نام این حمله مشخص است ، در این نوع حمله ، مجرمان اینترنتی حساب الکترونیکی بانک ها ، موسسات مالی یا سایر شرکت های معتبری را که به داده های مالی و دیگر داده های حساس دسترسی دارند ، کنترل می کنند. پس از ورود ، مهاجمان می توانند معاملات و مکاتبات بین بانک و مشتریان آن ها را کنترل کنند.

رمز موفقیت در این نوع از حمله مرد میانی ، مهندسی اجتماعی یا اعتماد سازی با قربانیان است.

حملات جعل IP

همانطور که می دانید کلیه سیستمهای متصل به شبکه دارای آدرس IP هستند. بسیاری از شبکه های اینترانت شرکتی به هر سیستم، آدرس IP خاص خود را می دهند. در جعل IP ، هکرها آدرس IP دستگاه مجاز را تقلید می کنند و برای شبکه اینطور به نظر می رسد که دستگاه تأیید شده است.

این موضوع می تواند به یک کاربر غیر مجاز اجازه نفوذ در شبکه را بدهد. مهاجمان ممکن است در سکوت فعالیت ها را ضبط کرده و یا ممکن است یک حمله Denial of Service (DoS) را شروع کنند. جعل IP در حمله مرد میانی همچنین با قرار گرفتن در بین دو سیستم می تواند استفاده شود:

System A ====== Hacker ====== System B

سیستم A و سیستم B فکر می کنند که با یکدیگر صحبت می کنند در حالی که هکر هر دو سیستم را رهگیری کرده و صحبت می کند.

جعل DNS

اینترنت با آدرس های IP عددی کار می کند. به عنوان مثال ، یکی از آدرسهای Google 172.217.14.228 است.

بیشتر وب سایت ها از سرور برای ترجمه آن آدرس به نامی جذاب استفاده می کنند: برای مثال google.com.

سروری که 127.217.14.228 را به «google.com» ترجمه می کند ، Domain Name Server یا DNS نامیده می شود.

یک هکر می تواند یک سرور DNS جعلی ایجاد کند. سرور جعلی یک نام وب سایت واقعی را به آدرس IP متفاوتی هدایت می کند. هکر می تواند یک وب سایت جعلی در آدرس IP جدید ایجاد کند که دقیقاً مانند یک وب سایت واقعی است. هنگامی که از سایت جعلی بازدید می کنید ، یک مهاجم می تواند به اطلاعات حساس و داده های شخصی شما دسترسی پیدا کند.

جعل HTTPS

در حال حاضر امکان کپی کردن یک وب سایت HTTPS وجود ندارد.

با این حال ، محققان امنیتی یک روش نظری را برای دور زدن HTTPS نشان داده اند. هکر یک آدرس وب ایجاد می کند که به نظر می رسد یک آدرس معتبر است.

به جای کاراکترهای معمولی ، از حروف الفبای خارجی استفاده می کند. این به عنوان ایمیل های هرزنامه ای ظاهر می شود که ممکن است با شخصیت های عجیب و غریب دیده باشید. به عنوان مثال ، رولکس ممکن است Rólex هجی شود.

SSL Stripping

SSL مخفف Secure Socket Layer است. SSL پروتکل رمزگذاری است که هنگام مشاهده https:// و نه http:// در آدرس وب استفاده می شود. با SSL Stripping ، هکر ترافیک کاربر را هدایت و رهگیری می کند:

User ====== Hacker ====== Encrypted website

کاربر سعی می کند به وب سایت رمزگذاری شده متصل شود. هکر از طرف کاربر سایت رمزگذاری شده را رهگیری کرده و به آن متصل می شود. اغلب ، هکر یک وب سایت تکراری ایجاد می کند تا به کاربر نمایش دهد. کاربر فکر می کند که به وب سایت معمولی وارد شده است، اما در واقع این چیزی است که هکر می خواهد ببیند. هکر پروتکل SSL را از اتصال شبکه کاربر “سلب” کرده است.

سرقت نشست

این نوع از حمله مرد میانی معمولاً برای به خطر انداختن حسابهای شبکه های اجتماعی استفاده می شود. بیشتر رسانه های اجتماعی ، “کوکی نشست” را در مرورگر کاربر ذخیره می کنند. وقتی کاربر از سیستم خارج می شود این کوکی فاقد اعتبار است. اما در حالی که جلسه فعال است ، کوکی اطلاعات هویت ، دسترسی و ردیابی را فراهم می کند.
این مورد زمانی رخ می دهد که یک مهاجم یک کوکی نشست را بدزدد. این اتفاق ممکن است هنگامی رخ دهد که دستگاه کاربر به بدافزار آلوده شود. این امر همچنین می تواند هنگامی اتفاق بیفتد که یک مهاجم از حمله XSS با استفاده از اسکریپت نویسی استفاده کند یعنی مهاجم کد مخربی را به وب سایتی که اغلب استفاده می شود تزریق کند.

جعل ARP

ARP مخفف Address Resolution Protocol است.

کاربر یک درخواست ARP ارسال می کند ، و هکر یک پاسخ جعلی می فرستد. در این حالت ، هکر وانمود می کند که دستگاهی مانند روتر است که به آنها امکان می دهد ترافیک را رهگیری کنند. این مسئله معمولاً به شبکه های محلی (LAN) که از پروتکل ARP استفاده می کنند محدود می شود.

Man-in-the-Browser

این حمله از آسیب پذیری های مرورگرهای وب استفاده می کند.

اسب های تروا ، کرم های رایانه ای ، حملات تزریق SQL و افزونه های مرورگر همه می توانند بردارهای حمله باشند. این موارد اغلب برای گرفتن اطلاعات مالی استفاده می شوند.

هنگامی که کاربر وارد حساب بانکی خود می شود ، بدافزار مورد نظر اعتبار او را ضبط می کند. در برخی موارد ، اسکریپت های بدافزار می توانند وجوه را منتقل کنند ، سپس رسید معامله را اصلاح می کنند تا معامله پنهان شود.

حمله مرد میانی (MITM) چگونه کار می کند؟

صرف نظر از تکنیک های خاص یا مجموعه فناوری های مورد نیاز برای انجام حمله مرد میانی ، یک دستور کار اساسی وجود دارد:
  1. شخص A به شخص B پیامی ارسال می کند.
  2. مهاجم MITM پیام را بدون اطلاع شخص A یا شخص B رهگیری می کند.
  3. مهاجم MITM بدون اطلاع شخص A یا شخص B ، محتوای پیام را تغییر می دهد یا کل پیام را حذف می کند.

از نظر محاسباتی ، یک حمله مرد میانی (MITM) با بهره گیری از نقاط ضعف موجود در شبکه ، وب یا پروتکل های امنیتی مبتنی بر مرورگر ، باعث هدایت ترافیک قانونی و سرقت اطلاعات قربانیان می شود.

چگونه می توان حمله مرد میانی را تشخیص داد؟

از آنجا که حملات مرد میانی (MITM)  به عناصری که با سایر حملات سایبری مرتبط هستند (مانند فیشینگ یا کلاهبرداری) نزدیک است و ممکن است کارمندان و کاربران قبلاً برای شناسایی و خنثی سازی آنها آموزش دیده باشند، در نگاه اول این حملات آسان به نظر می رسد.

با این حال، با توجه به پیچیدگی فزاینده مجرمان سایبری، ردیابی باید شامل طیفی از پروتکل‌ها، هم انسانی و هم فنی باشد. لازم به ذکر است که همانند همه تهدیدات سایبری، پیشگیری کلید اصلی است.
موارد زیر نشانه هایی از احتمال وجود شنودگرهای مخرب در شبکه شما و انجام حمله مرد میانی است:

قطع ارتباط غیرمعمول:

قطع ارتباط غیرمنتظره یا مکرر سرویس، وقتی کاربر به طرز عجیبی از سرویس خارج می شود و باید بارها و بارها به سیستم وارد شود، معمولاً نشانه تلاش یا انجام حمله مرد میانی است. مجرمان اینترنتی مدام نام کاربری و رمز عبور را پاک می کنند و کاربران مجبور هستند بارها و بارها نام کاربری و رمز ورود خود را وارد کنند. اگرچه این مورد برای کاربران ممکن است اتفاق عجیبی به نظر نرسد اما این اقدامی است که مهاجمان MITM برای موفقیت خود مرتبا تکرار می کنند.

URL های عجیب و غریب:

در جریان یک کلاهبرداری مجرمان سایبری وب سایت های جعلی ایجاد می کنند که به نظر می رسد با وب سایت های قابل اعتماد یکسان هستند تا قربانیان را برای ورود اطلاعات خود فریب دهند. در نسخه MITM این حمله ، صفحه وب تحویل شده به کاربر در مرورگر وی یک سایت جعلی است ، و URL در پنجره آدرس به راحتی قابل شناسایی نیست. مهاجمان MITM از سرقت DNS استفاده می کنند تا کاربران در تعامل و ارتباط با سایت جعلی قرار بگیرند در حالی که کد مخرب پیام های آنها را رهگیری می کند و داده های آنها را جمع آوری می کند. برای همه معاملات مالی شخصی ، کاربران باید صفحات وب موسسات مالی خود را به دقت بررسی کنند تا مشخص کنند که آیا چیزی ناشناخته به نظر می رسد یا خیر.

Wi-Fi عمومی و بدون امنیت:

تا حد امکان باید از اتصال به Wi-Fi عمومی موجود در فضاهای عمومی جلوگیری شود. حتی اگر کاربران تراکنش های بانکی یا سایر کارهای مربوط به داده های حساس را بر روی Wi-Fi عمومی انجام ندهند ، با یک حمله مرد میانی می توان کد مخربی را برای شنود گفتگوها و چت ها به دستگاه ارسال کرد. رایج است که مجرمان از نام های شبکه Wi-Fi مانند “اینترنت بی سیم رایگان” استفاده می کنند ، بنابراین ممکن است مهاجمان اتصال رایگان را ارائه دهند ، اما همه فعالیت کاربران را نیز مشاهده کنند.

چگونه می توان از حملات مرد میانی جلوگیری کرد؟

اقدامات صحیح امنیت سایبری به طور کلی به محافظت از افراد و سازمان ها در برابر حملات مرد میانی کمک می کند.

1. روترهای Wi-Fi خانگی را به روز و ایمن کنید: این مورد شاید مهمترین نکته باشد ، زیرا سیاستهای کار از خانه (WFH) معمولاً کارمندان را به یک روتر خانگی برای اتصال به اینترنت و دسترسی به شبکه شرکتی الزام می کند. نرم افزار روتر Wi-Fi ، معروف به میان افزار ، باید هر از چند گاهی به روز شود. این فرایند باید به صورت دستی انجام شود زیرا به روزرسانی میان افزار به صورت خودکار انجام نمی شود. به علاوه مطمئن شوید که تنظیمات امنیتی روتر روی قوی ترین حالت تنظیم شده است که طبق Wi-Fi Alliance ، در حال حاضر WPA3 است.

2. هنگام اتصال به اینترنت از یک شبکه خصوصی مجازی (VPN) استفاده کنید: VPN ها داده های بین دستگاه ها و سرور VPN را رمزگذاری می کنند. تغییر ترافیک رمزگذاری شده دشوارتر است.

3. از رمزگذاری end-to-end استفاده کنید: در صورت امکان ، از کارمندان خود بخواهید رمزگذاری ایمیل ها و سایر کانال های ارتباطی را فعال کنند. برای امنیت بیشتر ، فقط از نرم افزار ارتباطی استفاده کنید که پیام ها را رمزگذاری می کنند. برخی از برنامه ها به طور خودکار رمزگذاری را در پس زمینه فعال می کنند. برای مثال پیام رسان WhatsApp. با این وجود ، اگر کارمندان بخواهند رمزگذاری پیام های خود را تأیید کنند ، باید فرایند خاصی مانند اسکن و مقایسه کدهای QR موجود در برنامه WhatsApp را در تلفن هر شخص انجام دهند.

4. نصب وصله ها و استفاده از نرم افزار آنتی ویروس: اگرچه این موارد از اقدامات اساسی و اولیه امنیت سایبری است ، اما ذکر آنها مهم است زیرا به راحتی فراموش می شوند. علاوه بر این ، با سیاست های WFH ، کارمندان اکنون مسئولیت اطمینان از نصب تمام وصله ها و به روزرسانی نرم افزار امنیتی بر روی دستگاه هایشان را دارند. شاید لازم باشد کارکنان IT اهمیت این امر را برای کارمندان شفاف کنند تا امنیت نقاط پایانی تقویت شود.

5. از گذرواژه های قوی و مدیر رمز عبور استفاده کنید: از آنجا که گذرواژه ها به این زودی منقضی نمی شوند ، کارمندان را به استفاده از رمزهای عبور قوی و مدیر رمز عبور تشویق کنید. برای دستگاههای تحت مالکیت شرکت ، کارکنان فناوری اطلاعات می توانند نرم افزار مدیریت دستگاههای همراه را نصب کنند که دارای خط مشی گذرواژه با قوانین مربوط به طول رمز عبور ، پیچیدگی (یعنی استفاده از نویسه های خاص) ، سابقه / استفاده مجدد و حداکثر تعداد تلاش برای ورود اشتباه رمز عبور است.

6. در صورت امکان ، احراز هویت چند عاملی را اعمال کنید: با این کار شما فقط به رمزهای عبور اعتماد نمی کنید. سازمان ها باید استفاده از احراز هویت چند عاملی (MFA) را برای دسترسی به دستگاه ها و خدمات آنلاین به کار گیرند. این اقدام در حال حاضر به بهترین دفاع سازمان در برابر تهدیدات تبدیل شده است.

7. فقط به وب سایت های ایمن متصل شوید: این بدان معنی است که در نوار آدرس مرورگر به دنبال یک نماد قفل کوچک سمت چپ URL وب سایت باشید. این نشانه ایمن بودن صفحه وب مورد بازدید شما و استفاده از پروتکل HTTPS است. برای حفظ امنیت، کارمندان و به طور کلی کاربران وب هرگز نباید به سایتهای معمولی HTTP یا سایتهایی که نماد قفل آنها قابل مشاهده نیست متصل شوند. برای اطمینان از این امر ، کاربران می توانند یک افزونه مرورگر رایگان را نصب کنند که می تواند این قانون را اجرا کند. بعلاوه ، اکثر سیستم عامل های امنیت سایبری شامل پروتکل های فیلتر وب هستند که دسترسی کارمندان به سایت های غیر HTTPS را محدود می کند.

8. رمزگذاری ترافیک DNS : DNS سرویس دایرکتوری توزیع شده در اینترنت است. برنامه ها از DNS برای تبدیل یک نام دامنه به آدرس IP استفاده می کنند. تعداد اندکی از سازوکارهای پدید آمده ، از جمله DNS over TLS (DoT) و DNS query over HTTPS ، رمزگذاری ترافیک DNS بین کامپیوتر کاربر و DNS خارجی را برای تأیید صحت تبدیل با استفاده از گواهینامه ها انجام می دهند تا اطمینان حاصل شود که هیچ شخص دیگری نمی تواند جعل هویت کند.

9. تصویب رویکرد Zero trust : Zero trust یک مفهوم امنیتی است که سازمان ها را ملزم می کند به طور خودکار به چیزی در داخل یا خارج از محیط آن اعتماد نکنند. در عوض ، آنها ابتدا باید قبل از اعطای دسترسی ، هر چیزی را که به سیستم متصل می شود را تأیید کنند. شعار این مدل “هرگز اعتماد نکنید ، همیشه راستی آزمایی کنید” است و به تأیید مداوم در هر دستگاه ، کاربر و برنامه متکی است. رویکردهای Zero trust می توانند از شروع حمله مرد میانی جلوگیری کنند یا اگر حمله مرد میانی قبلاً در جریان باشد ، می توانند از دارایی های سازمان محافظت کنند.

10. استفاده از راه حل UEBA: تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) با استفاده از یادگیری ماشین حتی کوچکترین ناهنجاری را در رفتار کاربران و دستگاه های متصل به شبکه شرکت شناسایی می کند. از آنجا که حملات سایبری پیچیده تر شده و بردارهای تهدید ممکن است در هر کجا ظاهر شوند ، ابزارهای یادگیری ماشین به طور فزاینده ای برای نظارت بر تغییرات جزئی در رفتار که ممکن است مشکوک و نشان دهنده حمله مرد میانی باشد استفاده می شوند.

تشخیص حمله دشوار است اما با رعایت نکات مهمی می توان از بروز آن جلوگیری کرد. با رعایت بهداشت شبکه ، مانند دیواره های آتش و پروتکل های امنیتی ، می توان از بسیاری از حملات مرد میانی جلوگیری کرد.

بدون دیدگاه

پیام بگذارید

© تمامی حقوق برای شرکت دانش بنیان آتین آتیه اندیش محفوظ است.