Giả mạo kết nối là một kỹ thuật trong an ninh mạng mà kẻ tấn công đánh lừa hệ thống hoặc người dùng bằng cách giả mạo hoặc làm giả một thành phần của mạng hoặc một thực thể hợp pháp khác
Trang 1TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
Project II
Báo cáo tuần 4.3.2024 đến 10.3.2024
Tìm hiểu về các loại tấn công: Man-in-the-Middle
NGUYỄN BẢO NGỌC
Ngoc.nb215624@sis.hust.edu.vn
Ngành Kỹ thuật Máy tính
Giảng viên hướng dẫn: TS Nguyễn Hồng Quang
HÀ NỘI, 3/2024
Chữ ký của GVHD
Trang 2Mục lục
I Giới thiệu 3
II Cách thực hoạt động của tấn công Man-in-the-Middle 4
a, Xác định mục tiêu 4
b, Giả mạo kết nối 5
c, Gián đoạn giao tiếp 5
d, Đánh cắp thông tin và hoạt động độc hại 6
e, Xoá dấu vết 7
III Các phương pháp tấn công Man-in-the-Middle 8
a, Giả mạo IP (IP spoofing) 8
b, Giả mạo DNS (Domain Name Server spoofing) 9
c, Giả mạo HTTPS (HTTPS spoofing) 10
d, Đánh cắp email (Email hijacking) 11
e, Nghe lén Wi-Fi (WiFi eavesdropping) 11
IV Các biện pháp phòng chống tấn công MitM 12
Triển khai các biện pháp để ngăn chặn các cách thức tấn công MitM 13
Triển khai các biện pháp để ngăn chặn các phương pháp tấn công MitM 13
V Kết luận 15
Tài tiệu tham khảo 15
Trang 3I Giới thiệu
Man-in-the-Middle attack có thể được viết tắt theo nhiều cách khác nhau ở nhiều nơi, ví dụ: MITM, MitM, MIM hoặc MIM, trong bài báo cáo này thì được viết tắt là MitM MitM là một kiểu tấn công mạng linh hoạt và bí mật, xảy ra khi hacker tự nhét mình vào giữa phiên giao tiếp giữa người hoặc hệ thống (thường là trình duyệt web và máy chủ web),
và có khả năng truy cập, ngăn chặn hoặc sửa đổi lưu lượng truy cập mà cả hai phía bị tấn công không nhận ra mà vẫn giao tiếp như thường
Một kịch bản MITM có ba đối tượng: Nạn nhân, đối tượng mà nạn nhân đang cố gắng kết nối, giao tiếp, và kẻ tấn công ở giữa Điều kiện tiên quyết để cuộc tấn công thành công khi
kẻ tấn công chặn được kết nối của nạn nhân và đưa mình vào trung gian giao tiếp mà cả hai bên không nhận thức được
Chi tiết hơn là, kẻ tấn công sau khi chặn được kết nối sẽ mạo danh cả hai bên, có được quyền truy cập vào thông tin mà hai bên đang giao tiếp, cố gửi cho nhau Với quyền đó, kẻ tấn công có thể làm rất nhiều thứ, giả danh để gửi và nhận dữ liệu cho cả hai bên, nghe lén, thay đổi số thẻ ngân hàng, xuyên tạc tin nhắn, yêu cầu chuyển tiền,… mà không có bên nào biết cho đến khi quá muộn
Ngoài các website, các cuộc tấn công này có thể chuyển mục tiêu đến liên lạc qua email, SMS, MMS, DNS lookups và mạng WiFi công cộng Và các đối tượng tiêu biểu của MitM bao gồm: Các doanh nghiệp thường mại điện tử, các ứng dụng tài chỉnh, các ứng dụng mạng xã hội và trò chuyện trực tuyến
Tác hại của MitM là vô cùng nghiên trọng khi người bị tấn công không biết mình đã bị tấn công hay chưa Các thông tin nhạy cảm bị nghe lén thụ động, các cuộc trò chuyện, trao đổi, giao dịch bị kiểm soát,…
Trang 4I.a cách MITM hoạt động
II Cách thực hoạt động của tấn công Man-in-the-Middle
Tấn công MitM hay bất kỳ loại tấn công mạng nào, trước tiên đều phải xác định được mục tiêu
a, Xác định mục tiêu là kẻ tấn công xác định các bên hợp pháp tham giao vào giao tiếp mà
họ muốn xâm nhập Việc xác định mục tiêu bao gồm thăm dò và quét, rà xoát Trong đó:
- Thăm dò là các hành vi mà kẻ tấn công thực hiện nhằm thu thập thông tin về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, thông tin về tổ chức, Việc thăm dò có thể lặp đi lặp lại một cách định kỳ cho đến khi có cơ hội để thực hiện tấn công dễ dàng hơn Trong đó thăm dò có hai cách là thăm dò chủ động: chủ động có tương tác với mục tiêu, và thăm dò bị động: không có tương tác trực tiếp với mục tiêu
Thăm dò mục tiêu có sử dụng các công cụ tìm kiếm trên mạng như: Google, Shodan, Censys Từ các thông tin từ mạng xã hội FB, Tweetter, Linkedin Thông tin từ website của đối phương bằng công cụ như Burp Suite, Zap, Web Spider, Web Mirrnoring Một số thông tin khác như DNS, hệ thống email, kết nối mạng, social Engineering đều có công cụ để thăm dò
- Sau khi thăm dò, kẻ tấn công có được một cái nhìn tổng quan về hệ thống của mục tiêu, tiếp đấy kẻ tấn công sẽ quét rà soát để xác định các thông tin cụ thể của hệ thống từ các thông tin đã thu thập được từ quá trình thăm dò Kẻ tấn công sẽ có cái nhìn chi tiết hơn và sâu hơn về hệ thông như: các dịch vụ cung cấp, các cổng dịch
vụ đang mở, địa chỉ ip, hệ điều hành và phần mềm,… Một số phương pháp mà kẻ tấn công có thể sử dụng trong quá trình quét rà soát như:
Trang 5Quét mạng: kẻ tấn công sử dụng các công cụ quét mạng (phổ biến nhất là Nmap, Ping Sweep) để tìm kiếm các thiết bị kết nối trong mạng Qua đó, kẻ tấn công có thể phát hiện các thiết bị mục tiêu như máy tính, điện thoại di động, máy chủ, router, và các thiết bị mạng khác
Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning Xác định thông tin hệ điều hành trên hệ thống của mục tiêu bằng các tools như ID Serve, Netcraft Quét lỗ hổng bằng Nessus, GFI, Languard Xác định topology của mạng mục tiêu bằng Network Topology Mapper
b, Giả mạo kết nối: Sau khi thăm dò và xác định được thời cơ tấn công, kẻ tấn công sẽ cố giả mạo kết nối đến mục tiêu Giả mạo kết nối là một kỹ thuật trong an ninh mạng mà kẻ tấn công đánh lừa hệ thống hoặc người dùng bằng cách giả mạo hoặc làm giả một thành phần của mạng hoặc một thực thể hợp pháp khác để đạt được mục đích xấu Kỹ thuật này thường được sử dụng để xâm nhập vào hệ thống, đánh cắp thông tin nhạy cảm hoặc thực hiện các hoạt động độc hại
Dưới đây là một số phương pháp phổ biến mà kẻ tấn công thường dùng để giả mạo kết nối:
- Giả mạo địa chỉ IP (IP Spoofing): Kẻ tấn công sử dụng kỹ thuật IP Spoofing để thay đổi hoặc giả mạo địa chỉ IP nguồn trong gói tin mạng Điều này dẫn đến việc hệ thống nhận dạng gói tin như là một gói tin từ một nguồn hợp pháp, cho phép kẻ tấn công xâm nhập vào hệ thống mà không bị phát hiện hoặc chặn
- Giả mạo địa chỉ MAC (MAC Spoofing): Địa chỉ MAC (Media Access Control) là một định danh duy nhất gắn liền với mỗi card mạng Kẻ tấn công có thể thay đổi địa chỉ MAC của card mạng của mình để giả mạo một thiết bị khác trong mạng Điều này cho phép kẻ tấn công nhận được các gói tin mà ban đầu được gửi đến thiết bị mục tiêu
- Giả mạo tên miền (DNS Spoofing): Kẻ tấn công thực hiện DNS Spoofing bằng cách thay đổi hoặc làm giả dữ liệu DNS (Domain Name System) Điều này có thể dẫn đến việc chuyển hướng người dùng đến các trang web giả mạo hoặc lừa đảo, nơi kẻ tấn công có thể thu thập thông tin đăng nhập hoặc tiến hành các cuộc tấn công khác
- Giả mạo địa chỉ email (Email Spoofing): Kẻ tấn công sử dụng kỹ thuật Email Spoofing để giả mạo thông tin nguồn hoặc đích của một email Điều này cho phép
kẻ tấn công gửi email giả mạo từ một địa chỉ đáng tin cậy hoặc thực hiện các cuộc tấn công xã hội như lừa đảo thông qua email
- Giả mạo SSL/TLS (SSL/TLS Spoofing): Kẻ tấn công có thể sử dụng kỹ thuật SSL/TLS Spoofing để giả mạo chứng chỉ SSL/TLS và thiết lập một kết nối bảo mật giả mạo với người dùng Điều này cho phép kẻ tấn công ngụy trang thành một trang web an toàn và thu thập thông tin nhạy cảm từ người dùng
c, Gián đoạn giao tiếp: Cùng lúc với giả mạo kết nối đến mục tiêu, kẻ tấn công sẽ gián đoạn giao tiếp giữa mục tiêu và đối tượng mà mục tiêu đang cố giao tiếp Việc gián đoạn này
Trang 6phải đảm bảo để hai bên không nhận thức được bất thường trong giao tiếp Một kịch bản phổ biến là trong lúc kẻ tấn công giả mạo thành server và giao tiếp với client, đồng thời tấn công ddos đến server thật để trì hoãn server thật giao tiếp với client, sau khi giả mạo thành server kết nối đến client thành công, kẻ tấn công sẽ dừng tấn công ddos đến server đồng thời giả mạo client giao tiếp tới server Sau khi thành công kẻ tấn công sẽ trở thành trung gian nhận và gửi dữ liệu trong giao tiếp giữa client và server (Man-in-the-Middle) Một số phương pháp phổ biến mà kẻ tấn công thường dùng để gián đoạn giao tiếp:
- Tấn công từ chối dịch vụ (Denial of Service - DoS): Kẻ tấn công gửi một lượng lớn yêu cầu không hợp lệ hoặc tài nguyên tới một hệ thống hoặc dịch vụ, gây quá tải và làm cho hệ thống trở nên không thể hoạt động Điều này dẫn đến việc người dùng hợp pháp không thể truy cập hoặc sử dụng dịch vụ
- Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS): Tấn công DDoS tương tự như tấn công DoS, nhưng có sự tham gia của nhiều thiết bị đầu cuối hoặc botnet Kẻ tấn công chiếm quyền kiểm soát các thiết bị này và sử dụng chúng
để gửi lưu lượng truy cập đồng thời đến một mục tiêu, gây ra tình trạng quá tải và làm gián đoạn giao tiếp
- Tấn công gửi gói tin giả mạo (Spoofed Packet Attack): Kẻ tấn công giả mạo hoặc thay đổi thông tin trong gói tin mạng Điều này có thể làm cho gói tin trở nên không hợp lệ hoặc gây rối trong quá trình truyền tải, gây ra sự gián đoạn trong giao tiếp giữa các thành phần mạng
- Tấn công tràn bộ đệm (Buffer Overflow Attack): Kẻ tấn công cố gắng gửi dữ liệu lớn hơn khả năng xử lý của một ứng dụng hoặc hệ thống, làm cho bộ đệm tràn trang
và gây ra sự gián đoạn hoặc làm cho ứng dụng/hệ thống bị treo hoặc tự khởi động lại
- Tấn công chặn các giao thức quản lý mạng (Management Protocol Attack): Kẻ tấn công tấn công vào các giao thức quản lý mạng như SNMP (Simple Network Management Protocol), ICMP (Internet Control Message Protocol) để gián đoạn hoặc làm gián đoạn giao tiếp trong mạng
d, Đánh cắp thông tin và hoạt động độc hại: Thành công trở thành trung gian trong giao tiếp giữa hai bên, kẻ tấn công sẽ liên tục đánh cắp thông tin nhạy cảm từ giao tiếp giữa hai bên, bao gồm tên người dùng, mật khẩu, thông tin tài khoản,… Đồng thời tiến hành các hoạt động độc hại như thay đổi dữ liệu hoặc chèn mã độc vào gói tín, thậm chí điều hướng lưu lượng mạng sang các máy chủ giả mạo Trong giai đoạn này kẻ tấn công có thể sử dụng các kỹ thuật như:
- Chặn và lắng nghe (Interception and Eavesdropping): Kẻ tấn công giữ vai trò trung gian giữa hai bên truyền thông và lắng nghe các thông tin được gửi đi và nhận về Khi thông tin nhạy cảm như tên đăng nhập, mật khẩu, thông tin tài khoản hoặc thông
Trang 7tin cá nhân được truyền qua kết nối, kẻ tấn công có thể tự động ghi lại và lưu trữ thông tin này để sử dụng sau này
- Thay đổi và chèn (Modification and Injection): Kẻ tấn công có thể thay đổi nội dung của các gói tin truyền qua kết nối Điều này cho phép kẻ tấn công chèn các dữ liệu giả mạo hoặc độc hại vào gói tin, hoặc thay đổi thông tin như địa chỉ gửi, địa chỉ nhận, số tiền thanh toán, và các thông tin khác Kẻ tấn công có thể sử dụng phương pháp này để đánh cắp thông tin hoặc tạo ra sự nhầm lẫn và gây hại cho các bên tham gia trong quá trình truyền thông
- Tấn công giả mạo SSL/TLS (SSL/TLS Spoofing): Kẻ tấn công có thể tạo ra chứng chỉ SSL/TLS giả mạo và sử dụng chúng để thực hiện tấn công giữa chừng Khi người dùng truy cập vào một trang web được bảo vệ bằng SSL/TLS, kẻ tấn công sẽ giả mạo chứng chỉ và lừa người dùng kết nối đến một trang web giả mạo Khi thông tin được gửi đi từ người dùng tới trang web giả mạo, kẻ tấn công có thể thu thập thông tin nhạy cảm như tên đăng nhập và mật khẩu
- Tấn công Replay (Phát lại): Kẻ tấn công có thể ghi lại các gói tin được truyền trong quá trình truyền thông và sau đó phát lại chúng để tái tạo lại các hoạt động của người dùng Điều này có thể cho phép kẻ tấn công lấy trộm thông tin xác thực hoặc thực hiện các hành động trái phép giả mạo người dùng
e, Xoá dấu vết: Sau khi gây đủ thiệt hại, lừa đảo được đủ lợi ích, thu thập đủ thông tin nhạy cảm hoặc phát hiện được nguy cơ bị phát hiện, kẻ tấn công sẽ ngừng tấn công MitM, khôi phục lại giao tiếp ban đầu, và xoá dấu vết để hai bên bị thiệt hại khó truy vết đến mình Vì nhận thức được mình đang hành động phạm pháp, kẻ tấn công luôn cố gắng giữ lại đường lùi , nên quá trình xoá dấu vết thường được kẻ tấn công thực hiện đồng thời mọi lúc trong quá trình tấn công Tuy nhiên đây là một quá trình khá phức tạp và thường khó khăn để thanh trừ sạch mọi dấu vết để lại Kẻ tấn công sử dụng một số biện pháp để thực hiện xoá dấu vết như:
- Xóa logs: Kẻ tấn công có thể xóa các logs hoặc ghi đè lên các logs liên quan đến hoạt động tấn công Điều này nhằm mục đích che giấu hoạt động bất hợp pháp và làm khó khăn trong việc phát hiện và điều tra sau này
- Xóa các tệp tin và thư mục: Kẻ tấn công có thể xóa các tệp tin, thư mục hoặc các dấu vết liên quan đến hoạt động tấn công Điều này bao gồm các tệp tin log, tệp tin lưu trữ thông tin đăng nhập, tệp tin script hay mã độc, và các tệp tin khác có thể tiết
lộ hoạt động của kẻ tấn công
- Xóa các dấu vết trong cơ sở dữ liệu: Kẻ tấn công có thể truy cập vào cơ sở dữ liệu
và xóa các dữ liệu có liên quan đến hoạt động tấn công Điều này nhằm mục đích loại bỏ bằng chứng và làm khó khăn cho quá trình điều tra sau này
- Xóa hoặc giả mạo các bản ghi mạng: Kẻ tấn công có thể xóa hoặc giả mạo các bản ghi mạng liên quan đến hoạt động tấn công Điều này bao gồm các bản ghi ARP,
Trang 8bản ghi DNS, bản ghi DHCP và các bản ghi khác để che giấu địa chỉ IP thực sự và các thông tin liên quan đến kẻ tấn công
- Sử dụng công cụ giả mạo địa chỉ MAC: Kẻ tấn công có thể sử dụng công cụ giả mạo địa chỉ MAC để che giấu danh tính của mình và làm khó khăn cho quá trình xác định nguồn gốc tấn công
Các bước thực hiện tấn công MitM đều rõ ràng, có mục đích cụ thể, không yêu cầu kẻ tấn công phải là chuyên gia, và tất cả giai đoạn đều có công cụ hỗ trợ được công khai Nên MitM là một loại tấn công phổ biến và gây ra nhiều thiệt hại trong quá khứ và hiện tại Các biện pháp phòng chống cho từng giai đoạn tấn công MitM được các chuyên gia an ninh mạng đề xuất, triển khai và cải thiện thường xuyên nên mức độ khó khăn để tấn công MitM ngày càng tăng Cùng với đó, là cộng đồng hacker cũng liên tục tìm ra biện pháp chống lại các biện pháp an toàn đó, và cũng liên tục được cải thiện các công cụ tấn công, đồng thời
sử dụng các công cụ mà bên an ninh mạng phát triển ra để tiến hành tấn công, ví dụ như: Burp Suite, Zap,… Việc đồng thời liên tục tìm ra biện pháp tấn công và biện pháp phòng ngừa của hai phía đang từng bước tăng cường hạn mức và trình độ công nghệ thông tinh trong lĩnh vực an ninh mạng
III Các phương pháp tấn công Man-in-the-Middle
Cộng đồng hacker có rất nhiều người là chuyên gia trong lĩnh vực mạng máy tính Họ hiểu chi tiết cơ chế, kết cấu, hệ thống mạng triển khai, hiểu rõ về cách hoạt động của từng tầng mạng, hiểu rõ về cách các gói tin được đóng gói, được chuyển thành tín hiệu, được truyền
đi nên có thể thiết kế ra rất nhiều biện pháp tấn công, can thiệp vào hệ thống Một số phương pháp tấn công MitM phổ biến nhất được kẻ tấn công thường sử dụng như:
a, Giả mạo IP (IP spoofing): Mỗi thiết bị có khả năng kết nối với internet đều có internet protocolt address (IP), tương tự như địa chỉ cho nhà bạn Với IP spoofing, kẻ tấn công có thể thay thế bạn hoặc đối tượng tương tác với bạn và lừa bạn rằng bạn đang liên hệ trực tiếp với bên kia, kẻ tấn công có thể truy cập vào thông tin mà bạn đang trao đổi
- Một dạng IP spoofing phổ biến nhất là ARP spoofing (Address Resolution Protocol spoofing) - một kỹ thuật tấn công trong đó kẻ tấn công giả mạo các bản ghi ARP trong mạng local để gian lận và đánh lừa các thiết bị trong mạng Chi tiết hơn về ARP spoofing bao gồm:
- Giao thức ARP được sử dụng để ánh xạ địa chỉ IP sang địa chỉ MAC trong mạng local Khi một thiết bị muốn gửi dữ liệu đến một địa chỉ IP nào đó, nó sẽ gửi một yêu cầu ARP broadcast để tìm địa chỉ MAC tương ứng của địa chỉ IP đó
- Lợi dụng cách giao thức ARP tìm địa chỉ MAC, kẻ tấn công sử dụng công cụ phần mềm đặc biệt để tạo ra các bản ghi ARP giả mạo Khi kẻ tấn công giả mạo bản ghi ARP, nó gửi các thông báo ARP với địa chỉ IP nguồn được giả mạo và địa chỉ MAC
Trang 9tương ứng với địa chỉ IP mục tiêu Điều này khiến cho các thiết bị trong mạng local tin rằng địa chỉ MAC của địa chỉ IP mục tiêu chính là địa chỉ MAC của kẻ tấn công
- ARP spoofing thường được sử dụng để tấn công trong mạng local Kẻ tấn công thường nhắm vào các thiết bị trong mạng như máy tính, điện thoại di động, máy chủ
và thiết bị mạng khác Trong tấn công MitM, ARP spoofing được kẻ tấn công sử dụng với mục đích như: kẻ tấn công có thể giả mạo bản ghi ARP để chuyển hướng lưu lượng mạng của các thiết bị khác qua một máy chủ tấn công, từ đó lấy cắp thông tin nhạy cảm như tên người dùng, mật khẩu hoặc dữ liệu cá nhân Kẻ tấn công có thể theo dõi, ghi lại và thậm chí thay đổi lưu lượng mạng giữa các thiết bị, từ đó tiềm ẩn nguy cơ truy cập trái phép vào dữ liệu và tấn công khác ARP spoofing cũng
có thể sử dụng để tấn công DoS bằng cách gây ra sự chồng chéo các bản ghi ARP giả mạo, gây ra sự cản trở trong quá trình ánh xạ địa chỉ IP sang địa chỉ MAC Điều này có thể làm cho các thiết bị trong mạng không thể giao tiếp và dẫn đến tình trạng
từ chối dịch vụ
b, Giả mạo DNS (Domain Name Server spoofing): còn được gọi là DNS cache poisoning,
là một kỹ thuật tấn công trong đó kẻ tấn công gian lận và đánh lừa hệ thống DNS (Domain Name System) để chuyển hướng các yêu cầu DNS từ các địa chỉ trang web hợp lệ sang địa chỉ trang web được kiểm soát bởi kẻ tấn công
DNS spoofing buộc người dùng vào một website giả chứ không phải trang mà người dùng
dự định truy cập Nếu bạn là nạn nhân của DNS spoofing, bạn sẽ nghĩ rằng bạn đang truy cập một website đáng tin khi bạn thực sự tương tác với một kẻ lừa đảo Mục tiêu của thủ phạm là tăng lượng truy cập website giả mạo hoặc đánh cắp thông tin đăng nhập của người dùng Chi tiết về DNS spoofing như sau:
- Giao thức DNS được sử dụng để ánh xạ tên miền (ví dụ: example.com) sang địa chỉ
IP tương ứng Khi người dùng truy cập một trang web bằng tên miền, trình duyệt sẽ gửi yêu cầu DNS để tìm địa chỉ IP của trang web đó
- Lợi dụng cơ chế của giao thức DNS, kẻ tấn công thực hiện DNS spoofing bằng cách gian lận và thay đổi các bản ghi DNS trong bộ nhớ cache của máy chủ DNS hoặc các thiết bị trung gian, chẳng hạn như router Khi hệ thống DNS hoặc thiết bị trung gian nhận được yêu cầu DNS, nó sẽ truy vấn bộ nhớ cache để tìm địa chỉ IP tương ứng Kẻ tấn công sẽ gửi các phản hồi DNS giả mạo chứa thông tin sai lệch, dẫn đến người dùng bị chuyển hướng đến địa chỉ IP mà kẻ tấn công đã chỉ định
- Mục đích khi kẻ tấn công sử dụng DNS spoofing chủ yếu là để giả mạo kết nối bằng nhiều cách ví dụ như: phishing - kẻ tấn công có thể chuyển hướng người dùng đến trang web giả mạo, giả danh trang web hợp pháp (ví dụ: trang web ngân hàng) để lừa đảo người dùng vào cung cấp thông tin cá nhân nhạy cảm như tên người dùng, mật khẩu hoặc số thẻ tín dụng Sử dụng mã độc - kẻ tấn công có thể chuyển hướng người dùng đến trang web chứa mã độc, như malware hoặc keylogger, để xâm nhập
Trang 10và kiểm soát máy tính của nạn nhân Đánh cắp thông tin - kẻ tấn công có thể chuyển hướng người dùng đến máy chủ giả mạo để thu thập thông tin nhạy cảm, như tên đăng nhập, mật khẩu hoặc thông tin tài khoản
c, Giả mạo HTTPS (HTTPS spoofing): còn được gọi là SSL/TLS spoofing, là một hình thức tấn công mạng mà kẻ tấn công giả mạo một trang web an toàn bằng cách sử dụng chứng chỉ SSL/TLS giả mạo Khi truy cập website, HTTPS trong URL, chứ không phải là HTTP là dấu hiệu cho thấy website này an toàn Kẻ tấn công có thể đánh lừa trình duyệt của bạn rằng đang truy cập một website đáng tin cậy bằng cách chuyển hướng trình duyệt của bạn đến một website không an toàn sau khi truy cập, kẻ tấn công có thể theo dõi các tương tác của bạn với website đó và có thể đánh cắp thông tin cá nhân bạn đang chia sẻ Chi tiết về quá trình và cách thức hoạt động của HTTPS spoofing như sau:
- HTTPS (HyperText Transfer Protocol Secure) là một phiên bản bảo mật của HTTP
sử dụng SSL (Secure Socket Layer) hoặc TLS (Transport Layer Security) để mã hóa dữ liệu truyền qua mạng SSL/TLS tạo ra một kênh kết nối an toàn giữa máy khách và máy chủ, đảm bảo tính bảo mật và riêng tư cho thông tin truyền tải
- Khi một trang web sử dụng HTTPS, nó sẽ sử dụng một chứng chỉ SSL/TLS để chứng minh tính xác thực và đáng tin cậy của nó Chứng chỉ này được phát hành bởi một tổ chức chứng thực (Certificate Authority - CA) và chứng nhận rằng trang web đó là chính xác và an toàn
- HTTPS là một cơ chế, biện pháp để ngăn chặn các phương pháp tấn công mạng, nên
để nhắm vào khai thác tấn công cần phức tạp hơn nhắm vào các cơ chế khác Để thực hiện tấn công HTTPS spoofing, kẻ tấn công cần thực hiện các bước sau: Giả mạo chứng chỉ SSL/TLS: Kẻ tấn công tạo ra một chứng chỉ SSL/TLS giả mạo, giả danh một CA hoặc sử dụng các công cụ và phần mềm để tạo ra một chứng chỉ giả mạo
Lừa đảo DNS: Kẻ tấn công sẽ thực hiện một cuộc tấn công Man-in-the-Middle (MITM) để kiểm soát giao tiếp giữa máy khách và máy chủ Kẻ tấn công có thể sử dụng các phương pháp như DNS spoofing để điều hướng yêu cầu của người dùng đến máy chủ giả mạo
Giả mạo trang web: Kẻ tấn công tạo ra một trang web giả mạo, sao chép trang web gốc mà người dùng đang cố gắng truy cập Trang web giả mạo này được cấu hình
để sử dụng chứng chỉ SSL/TLS giả mạo mà kẻ tấn công đã tạo ra
Thiết lập kết nối an toàn giả mạo: Khi người dùng truy cập trang web giả mạo, trình duyệt sẽ nhận được chứng chỉ SSL/TLS giả mạo từ kẻ tấn công và thiết lập một kết nối an toàn Người dùng sẽ thấy biểu tượng khóa và/hoặc biểu tượng "https://" trong thanh địa chỉ của trình duyệt, tạo ra sự ảo tưởng rằng họ đang truy cập một trang web an toàn