Atak man in the middle: co to? Jak mu zapobiec? | Biznes Netia
Menu główne

Atak man in the middle: co to? Jak mu zapobiec?

14 czerwca 2023, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
Atak typu man in the middle to trudne do wykrycia i mogące nieść poważne zagrożenia cyberprzestępstwo. Jest zagrożeniem zarówno dla firm, jak i prywatnych użytkowników Internetu. Istnieje co najmniej kilka metod jego przeprowadzania, które cały czas ewoluują.
 
 
 
   

Atak man in the middle – co to jest? Jak zagraża firmie?

 

Atak typu man in the middle polega na przechwyceniu pakietów danych, które przesyłają między sobą firmy. Cyberprzestępca jest wtedy pośrednikiem w komunikacji pomiędzy dwiema stronami. Sytuacja ta może dotyczyć dwóch użytkowników, ale coraz częściej atak tego rodzaju zakłada przechwytywanie komunikacji pomiędzy komputerem lub smartfonem użytkownika - ofiary oraz zaufanym serwerem (np. bankowym, pocztowym czy serwerem sklepu online). Oszust może jedynie przechwytywać dane (mówimy wtedy o pasywnym ataku) lub modyfikować komunikację dla osiągnięcia własnych celów.

 

Atak MiTM jest często wyłącznie narzędziem do przeprowadzenia kolejnych ataków. Cyberprzestępcy wykorzystujący tę metodę stosują także inne ataki, w tym socjotechniczne.

 

 

Przykłady i rodzaje MiTM

 

Istnieje kilka wyszczególnionych rodzajów ataków MiTM. Do najpopularniejszych z nich należą ataki wykorzystujące fałszywy, specjalnie skonfigurowany router lub dostępny publicznie router o podatności pozwalającej na przechwytywanie komunikacji.
 

 
  • Wystarczy, że cyberoszust przebywający w miejscu publicznym skonfiguruje hotspot z wykorzystaniem własnego komputera, który nazwie np. „Darmowy internet – kawiarnia”. Ofiara łącząc się z taką siecią, po to by przykładowo zalogować się w aplikacji swojego banku lub dokonać zakupów online, pada ofiarą kradzieży ważnych danych uwierzytelniających. W przypadku pracownika firmy czekającego na samolot (łączącego się z publiczną siecią WIFI), wyciek danych może dotyczyć ważnych danych firmy i jej klientów.

  • Szczególnym rodzajem ataku jest także MiTB (man-in-the-browser). Taki wariant polega na zainfekowaniu przeglądarki internetowej ofiary i sukcesywnym przechwytywaniu interesujących przestępcę informacji. Tego rodzaju atak może zostać przeprowadzony na dużą skalę i objąć dane uwierzytelniające, numery kart kredytowych oraz inne wrażliwe dane od setek ofiar.

  • Jednym ze sposobów przechwytywania informacji w ramach ataku man in the middle jest wykradanie plików cookie. Choć na co dzień stanowią one duże ułatwienie w korzystaniu z sieci, zapamiętując loginy, hasła i dane teleadresowe, to ich przejęcie umożliwia postronnej osobie zalogowanie się do konta czy profilu. Taki wariant ataku jest możliwy do przeprowadzenia za pomocą złośliwego skryptu JavaScript pojawiającego się w witrynie. Podobną metodą oszust można przejąć aktywną sesję, wylogowując jednocześnie użytkownika (np. z bankowości internetowej).

  •  
 


Metodami powszechnie wykorzystywanymi przez oszustów przeprowadzających atak man in the middle jest sniffing oraz spoofing DNS/IP:
 

 

  • Sniifing pozwala przez długi czas „podsłuchiwać” sieć Wi-Fi w celu przechwytywania wrażliwych danych. Sniffer zainstalowany na urządzeniu wchodzącym w skład sieci może dawać pełen wgląd w wysyłane w jej obrębie pakiety danych.

  • Spoofing z kolei pozwala oszustom na podszywanie się pod konkretne adresy IP/MAC/, serwery DNS czy certyfikaty SSL/TLS w celu przechwycenia danych.

  •  
 


Historia zna kilka przypadków bardzo poważnych w skutkach ataków typu MiTM. Ofiarą jednego z nich padła chińska spółka venture capital finansująca rozwój izraelskiego start-upu. Oszuści przy wykorzystaniu fałszywych domen i modyfikacji danych bankowych, przesyłanych pocztą e-mail, zdołali wprowadzić specjalistów obu firm w błąd i ukraść aż 1 mln USD.

 


Atak man in the middle – jak mu zapobiec?

 

Podstawowym działaniem chroniącym przed tego rodzaju atakami jest profilaktyka. Wdrożenie w organizacji jasno sprecyzowanych praktyk cyberbezpieczeństwa i dodatkowe szkolenia z security awareness mogą uczulić pracowników na potencjalnie niebezpieczne nawyki. Przede wszystkim należy unikać publicznych, ogólnodostępnych sieci Wi-Fi, jeśli jest podejrzenie, że nie są dostatecznie zabezpieczone.

 

Konieczne jest także włączenie uwierzytelniania dwuskładnikowego – pozwoli ono klientowi zweryfikować autentyczność witryny, do której próbuje się zalogować.

 

Należy zwracać uwagę na bezwzględną unikalność haseł do routerów i kontrolować punkty dostępowe. Korzystając z witryn WWW, warto także zwracać uwagę na adres domeny. Pracownik powinien od razu powiadomić administratora, jeśli w witrynie na pasku adresu zauważył literówkę.

 

Ostatecznym środkiem ochrony przed atakami typu man in the middle jest proaktywny monitoring sieci, wyszukiwanie anomalii i podejrzanego ruchu. W przypadku zespołów pracujących zdalnie dobrym sposobem na zapewnienie poufności komunikacji jest konfiguracja bezpiecznych sieci VPN.

 


Ochrona Twojej firmy przed cyberatakami

 

W świetle wciąż rozwijających się skomplikowanych metod cyberataków należy uznać, że firmowa sieć nigdy nie jest dostatecznie bezpieczna. System bezpieczeństwa wymaga ciągłego udoskonalania. Ochrona przed atakami typu MiTM wymaga wykorzystania bardzo różnych środków technicznych, a podstawą jest jak zawsze monitorowanie ruchu sieciowego. Pomóc może usługa Netia Managed UTM, zapewniająca dostęp do firewalla nowej generacji, wraz z systemami IPS, antywirusowymi i szyfrowanymi połączeniami pomiędzy pracownikami. Usługa jest zarządzana przez zespół Netii, dlatego po stronie Twojej firmy nie ma żadnych dodatkowych obowiązków.

 

Najbardziej narażone na ataki organizacje powinny postawić na dedykowaną pomoc Netia SOC – zespołu kilkunastu specjalistów wyposażonych w systemy SIEM/SOAR, zajmujących się aktywnym monitoringiem sieci przez cały rok i całą dobę. Wysoka dostępność usługi poświadczona umową SLA zapewnia najwyższy poziom niezawodnej ochrony.


Poznaj również zagrożenia dla użytkowników indywidualnych. Sprawdź co to jest exploit, czym jest wirus backdoor oraz malvertising.

 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×