حملات مرد میانی یا Man-in-the-Middle چیست؟

 حملات مرد میانی یا Man-in-the-Middle

حملات مرد میانی یا Man-in-the-Middle که به اختصار MITM گفته می‌شود، نوعی حمله‌ی سایبری است که در آن یک مهاجم گفتگویی بین دو هدف را استراق سمع می‌کند. ممکن است مهاجم سعی کند گفتگویی بین دو فرد، دو سیستم یا یک فرد و یک سیستم را گوش دهد.

هدف حملات مرد میانی یاMan-in-the-Middle  این است که داده‌های شخصی، رمزهای عبور یا جزئیات بانکی را جمع‌آوری کند و یا قربانی را برای انجام کارهایی مانند تغییر اطلاعات اعتباری لاگین، تکمیل یک تراکنش یا انتقال پول متقاعد نماید.

با اینکه مهاجمین مرد میانی یا MITM معمولاً افراد را هدف می‌گیرند، اما برای کسب‌و‌کارها و سازمان‌ها نیزنگرانی قابل توجهی هستند. یک نقطه‌ی دسترسی متداول برای هکرها از طریق برنامه‌های کاربردی Software-As-A-Service یا SaaS، مثل خدمات پیام‌رسانی، سیستم‌های File Storage یا برنامه‌های کاربردی کاری از راه دور است. مهاجمین می‌توانند از این برنامه‌های کاربردی به‌عنوان ورودی به شبکه‌ی گسترده‌تر سازمان استفاده کنند و احتمال دارد بتوانند تعدادی از دارایی‌ها را از جمله داده‌های مشتری، مالکیت فکری، IP یا اطلاعات اختصاصی در مورد سازمان‌ و کارمندان آن را دچار نقض امنیتی کنند.

نحوه‌ی کار حملات مرد میانی یا Man-in-the-Middle

یک حمله‌ی MITM معمولاً شامل دو مرحله است: استراق سمع و رمزگشایی.

مرحله ۱: استراق سمع در حمله MITM

در مرحله‌ی استراق سمع، مجرمان سایبری می‌توانند از طریق یک روتر Wi-Fi باز یا دارای امنیت ضعیف یا با دستکاری DNS به شبکه دسترسی پیدا کنند. سپس مهاجمین روتر را اسکن می‌کنند تا آسیب‌پذیری‌ها و نقاط ورودی ممکن را پیدا کنند. در اکثر اوقات این کار به دلیل وجود یک رمز عبور ضعیف رخ می‌دهد، هرچند ممکن است مجرمین سایبری از روش‌های پیشرفته‌تری مثل IP Spoofing یا Cache Poisoning نیز استفاده کنند.

وقتی که هدف شناسایی شد، مهاجم معمولاً ابزار ثبت داده را پیاده‌سازی می‌کند تا به داده‌های منتقل‌شده‌ی یک قربانی دسترسی پیدا کرده و آن را جمع‌آوری کند، به‌صورت استراتژیک ترافیک را هدایت کند یا به‌گونه‌ی دیگری تجربه‌ی وب کاربر را دستکاری کند.

مرحله ۲: رمزگشایی در حمله MITM

مرحله‌ی دوم از حملات مرد میانی یا Man-in-the-Middle رمزگشایی است. این مرحله زمانی اتفاق می‌افتد که داده‌های به سرقت رفته رمزگشایی شوند و برای مجرمین سایبری قابل‌فهم گردند. می‌توان برای اهداف شوم مختلفی از داده‌های رمزگشایی‌شده استفاده کرد، از جمله سرقت هویت، خریدهای غیرمجاز یا فعالیت بانکی جعلی. در برخی از موارد ظاهراً هدف از حملات Man-in-the-Middle چیزی به‌غیراز اختلال در عملیات کسب‌و‌کار و ایجاد آشوب برای قربانیان نیست.

تکنیک‌های مورد استفاده در حملات مرد میانی

 حملات مرد میانی یا Man-in-the-Middle

مجرمان سایبری از روش‌های مختلفی برای انجام حملات Man-in-the-Middle استفاده می‌کنند. برخی از تکنیک‌های متداول عبارت‌اند از:

  • تقلید از یک پروتکل اینترنت یا IP تثبیت‌شده برای فریب دادن کاربران جهت فراهم کردن اطلاعات شخصی یا انجام یک کار به‌خصوص مثل یک انتقال بانکی یا تغییر رمز عبور
  • هدایت یک کاربر از یک مقصد مشخص به یک وب‌سایت جعلی برای منحرف کردن ترافیک و یا جمع‌آوری اطلاعات اعتباری یا اطلاعات شخصی دیگر
  • شبیه‌سازی یک نقطه دسترسی Wi-Fi برای استراق سمع هر فعالیت وب و جمع‌آوری اطلاعات شخصی
  • ایجاد Certificateهای Secure Sockets Layer یا SSL غیرقانونی که به کاربران ظاهر یک اتصال ایمن را می‌دهد، با اینکه اتصال دچار نقض امنیتی شده است
  • هدایت ترافیک به یک وب‌سایت ناامن که اطلاعات اعتباری لاگین و اطلاعات شخصی را جمع‌آوری می‌کند
  • استراق سمع روی فعالیت‌های وب شامل ایمیل برای جمع‌آوری اطلاعات شخصی و کمک به فعالیت جعلی دیگر مثل تلاش برای فیشینگ
  • سرقت کوکی‌های مرورگر که حاوی اطلاعات شخصی هستند

مثال از حمله‌ی Man-in-the-Middle

یکی از مهاجمین MITM اخیر یک ماژول Trickbot به نام shaDll بود.  این ماژول Certificateهای SSL قانونی را روی رایانه‌های آلوده نصب کرد که به ابزار توانایی دسترسی به شبکه‌ی کاربر را دادند. سپس این ماژول توانست فعالیت وب را هدایت کند، کد تزریق کند، اسکرین‌شات بگیرد و داده‌هایی را جمع‌آوری کند.

نکته‌ی جالب در مورد این حمله این بود که ظاهراً یک همکاری بین دو گروه جرایم سایبری اتفاق افتاده بود: LUNAR SPIDER و WIZARD SPIDER  این ماژول از ماژول پراکسی BokBot متعلق به LUNAR SPIDER را به‌عنوان یک زیربنا استفاده کرد و بعد با پیاده‌سازی ماژول TrickBot متعلق به WIZARD SPIDER، حمله را انجام داد. همکاری احتمالی بین این دو مهاجم نشان می‌دهد که پیچیدگی حملات MITM در حال افزایش است و لازم است آگاهی نیز افزایش پیدا کند.

چگونه از حملات مرد میانی یا Man-in-the-Middle جلوگیری کنیم

پیشنهادات زیر می‌تواند به کاربران کمک کند که از شبکه‌های خود در مقابل حملات MITM حفاظت کنند:

  • درخواست از کاربران شبکه برای انتخاب رمزهای عبور قوی و تغییر آن‌ها به‌طور منظم
  • فعال‌سازی احراز هویت چندمرحله‌ای یا MFA روی تمام دارایی‌های شبکه و برنامه‌های کاربردی
  • توسعه و پیاده‌سازی پروتکل‌های رمزگذاری قوی
  • تجهیز تمام دارایی‌های شبکه با قابلیت‌های شبکه‌ی خصوصی مجازی یا VPN
  • پیاده‌سازی یک راهکار مانیتورینگ و شناسایی تهدید جامع
  • بخش‌بندی شبکه برای اطمینان حاصل کردن از اینکه نقض‌های امنیتی احتمالی کنترل شوند
  • آموزش کارمندان در مورد ریسک‌های شبکه‌های Wi-Fi عمومی

با اینکه شاید منطقی نباشد تمام افراد قابلیت‌های شناسایی را برای حملات Man-in-the-Middle نصب کنند، دنبال کردن تکنیک‌های امنیت سایبری عمومی می‌تواند از نفوذ پیشگیری کند. پیشنهاد می‌شود که افراد از بهترین راهکارهای زیر استفاده کنند:

  • نصب نرم‌افزار امنیتی شناسایی بدافزار
  • ایجاد رمزهای عبور قوی و تغییر آن‌ها به‌طور منظم
  • فعال‌سازی قابلیت‌های احراز هویت چند مرحله‌ای
  • اجتناب از استفاده از شبکه‌های Wi-Fi باز و یا شبکه‌های عمومی که امنیت ضعیفی دارند
  • اطمینان حاصل کردن از ورود به وب‌سایت‌های ایمن که با عبارت https:// در URL مشخص می‌شود
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.