中間人攻擊(通常縮寫為MitM或MiM)是壹種會話劫持網絡攻擊。
黑客攔截以數字方式***享的信息,通常是作為竊聽者或冒充他人。這種類型的攻擊極其危險,因為它可能導致多種風險,例如信息被盜或虛假通信,這些通常很難被發現,因為這種情況對合法用戶來說似乎完全正常。
什麽是中間人攻擊?
當第三方在合法參與者不知道該攔截的情況下攔截數字對話時,就會發生中間人攻擊。這種對話可以發生在兩個人類用戶、壹個人類用戶和壹個計算機系統或兩個計算機系統之間。
在任何這些情況下,攻擊者可能只是竊聽對話以獲取信息(想想登錄憑據、私人帳戶信息等),或者他們可能冒充其他用戶來操縱對話。在後壹種情況下,攻擊者可能會發送虛假信息或***享可能導致系統崩潰或為其他網絡攻擊打開大門的惡意鏈接。通常情況下,合法用戶並不知道他們實際上是在與非法第三方通信,直到損害已經造成之後很久。
中間人攻擊是會話劫持的壹個例子。其他類型的會話劫持攻擊包括跨站點腳本、會話側劫持、會話固定和暴力攻擊。
中間人攻擊如何運作?
執行中間人攻擊需要黑客獲得對用戶連接的訪問權限。最常見的方法之壹是創建壹個公***wifi 熱點,附近的任何人都可以加入,不需要密碼。壹旦用戶加入這個網絡,黑客就可以訪問他們所有的數字通信,甚至可以記錄擊鍵,充當中間人。
公***wifi示例是發起中間人攻擊的最常見和最簡單的方法,但這不是唯壹的方法。其他常見的方法包括:
將用戶發送到虛假網站:黑客可以通過IP欺騙或DNS欺騙將用戶發送到虛假網站而不是他們的預期目的地。IP欺騙發生在黑客更改IP地址中的數據包標頭時,而DNS欺騙發生在黑客獲得對 DNS服務器的訪問權限並更改網站的DNS記錄時。在任何壹種情況下,用戶最終都會進入黑客擁有的虛假網站(他們可以在那裏捕獲所有信息),盡管它看起來完全真實。
重新路由數據傳輸:黑客可以通過參與ARP欺騙來重新路由通信的目的地。當黑客將他們的 MAC地址連接到屬於參與通信的合法用戶之壹的IP地址時,就會發生這種情況。壹旦他們建立連接,黑客就可以接收任何用於合法用戶IP地址的數據。
在某些情況下,通信可能會公開暴露,但在數據被加密的情況下,中間人攻擊還涉及另壹個步驟,使黑客可以讀取該信息。黑客可以嘗試通過以下方法解密任何加密信息:
SSL劫持:黑客偽造身份驗證密鑰以建立看似合法、安全的會話。然而,由於黑客擁有這些密鑰,他們實際上可以控制整個對話。
SSL BEAST:黑客瞄準SSL中的壹個漏洞,在用戶的設備上安裝惡意軟件,該惡意軟件可以攔截旨在保持數字通信私密性和安全性的加密cookie。
SSL剝離:黑客可以將更安全的HTTPS連接變成安全性較低的HTTP連接,從而從Web會話中刪除加密並暴露這些會話期間的所有通信。
中間人攻擊有哪些不同類型?
中間人襲擊有多種類型,每壹種都可能對受害者造成不同的後果。中間人攻擊的常見類型包括:
竊聽以獲取信息
黑客可以在任何時間段內窺探對話,以捕獲他們將在以後使用的信息。他們不壹定需要以任何方式改變通信,但如果他們能夠訪問***享的詳細信息,他們就可以隨時了解機密信息或獲取登錄憑據以供使用。
改變通訊方式
黑客可以使用SSL劫持等技術偽裝成另壹個用戶來改變通信。例如,假設愛麗絲和鮑勃認為他們正在相互交流。在那種情況下,黑客可能會坐在對話的中間並更改彼此發送的消息。這種方法可用於發送虛假信息、***享惡意鏈接甚至攔截重要細節,例如用戶發送銀行賬戶和路由號碼進行存款。
將用戶引導至虛假網站
黑客可以將用戶發送到與他們的預期目的地完全相同的虛假網站(壹個常見的例子是通過網絡釣魚嘗試)。此設置允許他們捕獲用戶為合法網站提交的任何信息,例如登錄憑據或帳戶詳細信息。反過來,黑客可以使用此信息冒充實際網站上的用戶來訪問財務信息、更改詳細信息,甚至發送虛假消息。
中間人攻擊的潛在風險是什麽?
中間人攻擊會導致各種負面後果。事實上,中間人攻擊通常是黑客發動更大、更有影響力攻擊的墊腳石。考慮到這壹點,中間人攻擊的壹些最大潛在風險包括:
欺詐交易
中間人攻擊可能導致欺詐交易,通過竊聽以收集登錄和帳戶信息或通過重新路由轉賬。 大多數情況下,這適用於直接來自銀行或通過信用卡付款的金融交易。
被盜的機密信息
捕獲用戶的登錄憑據,將其發送到虛假網站,甚至只是竊聽電子郵件都可能導致機密信息被盜。對於保護知識產權或收集客戶健康記錄或社會安全號碼等敏感數據的大型組織而言,這種後果尤其令人擔憂。隨著越來越多的隱私立法的出現,要求各種企業保護他們處理的有關客戶的信息,這也是壹個問題。
訪問其他系統
通過中間人攻擊竊取用戶的登錄憑據還可以讓黑客訪問任意數量的其他系統。這意味著即使只有壹個系統容易受到攻擊,也可能導致其他更安全的系統更容易受到攻擊。總的來說,這種情況需要組織的安全團隊確保沒有薄弱環節,無論任何給定的連接點看起來多麽微不足道。
通過惡意軟件進行廣泛攻擊
黑客可以使用中間人攻擊與用戶***享惡意軟件。反過來,這種惡意軟件可能導致廣泛的攻擊,例如破壞整個系統或提供對信息或系統的持續訪問以執行長期攻擊的攻擊。
中間人攻擊如何演變?
兩種趨勢導致了中間人攻擊的演變,並因此增加了組織的風險。
首先是移動和分布式工作環境的興起,這最終意味著更多的人通過公***wifi網絡連接(用於個人和商業用途)。這種情況越常見,黑客通過這些不安全的連接獲得訪問權限的機會就越多。
其次,對於未來的組織來說,最令人擔憂的是物聯網(IoT)設備和機器身份的增加。IoT設備不僅需要不同類型的安全性,而且還會創建更多需要身份驗證的連接點和身份。如果沒有適當的保護,這些機器會為黑客創造各種訪問點,其中許多看起來是無辜的(即HVAC單元)。無論它們看起來多麽平凡,所有這些機器都需要強大的安全性,例如通過加密和定期更新來確保它們遵守最新的安全協議,以避免使它們容易受到中間人攻擊。
中間人攻擊的真實例子有哪些?
不幸的是,中間人攻擊非常普遍。此類攻擊的壹些最近最著名的例子包括:
歐洲的公司銀行賬戶盜竊案
2015年,歐洲當局逮捕了49名嫌疑人,他們涉嫌使用中間人技術在整個歐洲實施了壹系列銀行賬戶盜竊案。該組織通過獲取公司電子郵件帳戶的訪問權限、監控通信以監視付款請求,然後將這些交易路由到他們自己的帳戶,從歐洲公司竊取了大約600萬歐元。這種攻擊涉及網絡釣魚嘗試以及建立旨在看起來真實的虛假網站。
手機銀行應用程序的有缺陷的證書使用
2017年,研究人員發現主要銀行(包括匯豐銀行、NatWest、Co-op、Santander和Allied IrishBank)的移動應用程序中使用的證書固定技術存在缺陷。該缺陷意味著與合法用戶位於同壹網絡上的黑客可以通過未正確驗證應用程序的主機名來訪問用戶名、密碼和PIN等登錄憑據,而不會被檢測到。
通過這種類型的訪問,黑客可以執行中間人攻擊來查看和收集信息,代表合法用戶采取行動,甚至發起應用程序內網絡釣魚攻擊。有趣的是,在這種情況下提供訪問的弱點源於處理證書的管理不當的過程,這些過程實際上是為了提高安全性。
Equifax域安全故障
2017年,美國最大的信用報告機構之壹Equifax成為中間人攻擊的受害者,該攻擊通過不安全的域連接導致超過1億消費者的個人身份信用信息被盜。攻擊始於Equifax未能修補其使用的開發框架中的漏洞,該漏洞允許黑客將惡意代碼嵌入到HTTP請求中。從那裏,黑客能夠訪問內部系統並竊聽用戶活動以收集數月的各種信息。
如何防止中間人攻擊?
中間人攻擊仍然非常普遍,因此對用戶和組織安全構成嚴重威脅。盡管這些攻擊威脅很大,但您組織的安全團隊和您的用戶等可以采取幾個步驟來防範這些風險。最好的保護措施包括:
(1)註意連接點
黑客獲得執行中間人攻擊的最常見方式之壹是通過不安全的連接點,例如公***wifi。因此,用戶務必要格外小心連接點。這意味著避免使用公***wifi(如果系統連接到公***網絡,當然不要登錄任何系統)並使用VPN來加密網絡連接。
(2)對用戶進行網絡釣魚嘗試教育
網絡釣魚嘗試是中間人攻擊的另壹個常見切入點,最好的嘗試可能非常有說服力。教育用戶了解這些攻擊及其演變方式可以大大幫助他們發現攻擊企圖並避免成為攻擊的受害者。
(3)通過鍵入URL而不是單擊鏈接來導航到網站
通過鍵入URL而不是單擊鏈接來導航到網站是壹種最佳做法,可以幫助防止成功的網絡釣魚和其他通過將用戶發送到虛假網站或嵌入惡意軟件來發起中間人攻擊的常見策略。這樣做可以避免黑客發送稍微修改過的鏈接,從而為攻擊打開大門。
(4)始終通過使用HTTPS來驗證網站的合法性和安全性
當用戶輸入網站的URL地址時,他們還應該包括HTTPS並確保他們訪問的任何網站都具有此級別的安全性。檢查HTTPS協議可能看起來很簡單,但在***享敏感信息之前,它可以大大有助於驗證網站的合法性和安全性。
(5)對用戶進行正常的登錄流程教育
最近發生的幾起中間人攻擊要求用戶完成登錄網站的步驟,這些步驟實際上並不是正常登錄過程的壹部分,即使它們看起來完全合法。教育用戶正常登錄過程做什麽和不做什麽可以幫助他們更容易地識別不尋常的情況。
(6)了解用戶的正常登錄習慣
在安全團隊方面,了解用戶的正常登錄習慣有助於更輕松地標記任何異常模式。例如,如果大多數用戶傾向於在工作日登錄,但周末的活動突然激增,這可能令人擔憂並需要進壹步調查。
(7)盡可能使用多因素身份驗證
要求用戶使用多重身份驗證登錄可以提供另壹層保護以防止中間人攻擊,這樣即使黑客設法獲得用戶名/密碼組合,他們也無法在沒有其他形式的驗證的情況下進入帳戶(例如,通過短信發送的代碼)。
雖然這種雙層方法並非無懈可擊,因為最近壹些中間人攻擊已經通過了這兩層,但它確實提供了更多的保護。
(8)完成後退出安全會話
強制用戶在完成安全會話後註銷是壹項重要的做法,因為關閉會話會終止從合法和非法來源對其進行的任何訪問。換句話說,會話打開的時間越長,黑客可以通過多種方式訪問它的風險就越大。
(9)優先考慮PKI,特別是針對越來越多的機器身份
最後,強大的PKI程序對於驗證用戶(人和機器)之間的連接和加密他們的通信至關重要。PKI 的最佳實踐方法需要壹個高度敏捷的系統,該系統可以跟上快速增長的身份數量,全面壹致地應用安全標準,並定期更新加密密鑰以避免密鑰蔓延等風險。