TỔNG QUAN VỀ MAN IN THE MIDDLE1.1.Tấn công Man in the Middle là gì?Tấn công Man in the Middle Tấn công xen giữa là một thuật ngữchung để chỉ những cuộc tấn công mà hacker sẽ đứng ở giữa
Tấn công Man in the Middle là gì?
Ví dụ tổng quát về tấn công Man in the Middle
Ở các cuộc tấn công MitM, hacker sẽ tự chèn vào giữa các giao dịch dữ liệu hoặc giao tiếp trực tuyến Phần mềm độc hại sẽ được hacker phân phối vào thiết bị của người dùng để dễ dàng truy cập vào trình duyệt web Hiện tại, ngân hàng trực tuyến hoặc website thương mại điện tử chính là mục tiêu của MitM bởi chúng yêu cầu xác thực danh tính bằng những code hoặc thông tin mật của cá nhân.
Tấn công Man in the Middle thường được thực hiện qua hai bước là chặn và giải mã dữ liệu Khi hacker chặn việc truyền dữ liệu, khách hàng và ứng dụng vẫn cứ tin họ đang trao đổi với nhau Thực chất lúc đó, hacker sẽ đóng vai trò như một proxy đọc và chèn thông tin sai vào quá trình giao tiếp nói trên.
Sau khi chặn thành công thì hacker sẽ giải mã dữ liệu để sử dụng vào những mục đích có lợi cho chúng Thường thì thông tin có được sẽ dùng để đánh cắp danh tính và gây ra những bất lợi cho hoạt động kinh doanh.
1.3 Mục đích thực hiện tấn công Man in the Middle
Mục đích của việc thực hiện tấn công xen giữa là theo dõi và đánh cắp thông tin cá nhân của nạn nhân Ví dụ như thông tin đăng nhập hay số thẻ tín dụng…
Các thông tin thu thập được sau khi tấn công có thể dùng để đánh cắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp, tấn công các tổ chức tài chính.
Một số doanh nghiệp sử dụng tấn công xen giữa để giám sát nhân viên và hiển thị quảng cáo rộng rãi.
Mục đích cuối cùng chính là thu lợi nhuận từ những thông tin có được từ việc thực hiện tấn công MitM.
Phương thức hoạt động của việc tấn công Man in the Middle
Ở các cuộc tấn công MitM, hacker sẽ tự chèn vào giữa các giao dịch dữ liệu hoặc giao tiếp trực tuyến Phần mềm độc hại sẽ được hacker phân phối vào thiết bị của người dùng để dễ dàng truy cập vào trình duyệt web Hiện tại, ngân hàng trực tuyến hoặc website thương mại điện tử chính là mục tiêu của MitM bởi chúng yêu cầu xác thực danh tính bằng những code hoặc thông tin mật của cá nhân.
Tấn công Man in the Middle thường được thực hiện qua hai bước là chặn và giải mã dữ liệu Khi hacker chặn việc truyền dữ liệu, khách hàng và ứng dụng vẫn cứ tin họ đang trao đổi với nhau Thực chất lúc đó, hacker sẽ đóng vai trò như một proxy đọc và chèn thông tin sai vào quá trình giao tiếp nói trên.
Sau khi chặn thành công thì hacker sẽ giải mã dữ liệu để sử dụng vào những mục đích có lợi cho chúng Thường thì thông tin có được sẽ dùng để đánh cắp danh tính và gây ra những bất lợi cho hoạt động kinh doanh.
Mục đích thực hiện tấn công Man in the Middle
Mục đích của việc thực hiện tấn công xen giữa là theo dõi và đánh cắp thông tin cá nhân của nạn nhân Ví dụ như thông tin đăng nhập hay số thẻ tín dụng…
Các thông tin thu thập được sau khi tấn công có thể dùng để đánh cắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp, tấn công các tổ chức tài chính.
Một số doanh nghiệp sử dụng tấn công xen giữa để giám sát nhân viên và hiển thị quảng cáo rộng rãi.
Mục đích cuối cùng chính là thu lợi nhuận từ những thông tin có được từ việc thực hiện tấn công MitM.
Những đối tượng thường bị tấn công Man in the Middle
Những đối tượng tiêu biểu có thể kể đến như:
Các doanh nghiệp và trang web thương mại điện tử Các trang điện toán đám mây
Người dùng các ứng dụng tài chính Các kết nối công dộng, miễn phí, bảo mật kém Các trang web có yêu cầu thông tin đăng nhập nói chung
Một số đối tượng khác có thể kể đến như:
Một số tổ chức thực hiện 1 hệ thống để giám sát nhân viên của họ bằng chiến thuật MitM (nhưng không thừa nhận rõ ràng).
Khách hàng cũng là mục tiêu doanh nghiệp nhắm tới nhằm mục đích hiển thị quảng cáo (Đây chính là trường hợp của nhà sản xuất máy tính xách tay Lenovo của Trung Quốc).
Một nhân tố khác được biết đến với việc sử dụng Mitm là chính phủ luôn tổ chức theo dõi công dân, vượt qua bảo mật công nghệ, theo dõi các quốc gia thù địch, đánh cắp các dữ liệu nhạy cảm hoặc tấn công các tổ chức tài chính của các tổ chức tài chính các quốc gia khác để lấy tiền cho dự án của họ (Như trường hợp thường xảy ra với Bắc Hàn là một ví dụ).
Những hình thức tấn công Man in the Middle phổ biến
Những công cụ dùng để thực hiện tấn công Man in the Middle
Ettercap
2.1 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle
Bước 1: Hacker cài đặt trình kiểm tra để đánh giá những website không an toàn.
Bước 2: Khi người dùng đăng nhập vào website không an toàn, hacker đánh cắp thông tin của họ và chuyển họ sang website giả mạo.
Bước 3: Website giả mạo sẽ bắt chước website gốc để thu thập và tổng hợp mọi dữ liệu trong quá trình người dùng tương tác.
Bước 4: Hacker dùng những thông tin có được để truy cập và lấy cắp tài nguyên của người dùng trên website gốc.
Những bước cụ thể khi muốn thao tác tấn công Man in the Middle
Giả mạo Giao thức Internet Giống như đánh cắp danh tính, giả mạo IP diễn ra khi tội phạm mạng thay đổi địa chỉ IP nguồn của trang web, địa chỉ email hoặc thiết bị nhằm mục đích che giấu nó. Điều này đánh lừa người dùng tin rằng họ đang tương tác với một nguồn hợp pháp và thông tin nhạy cảm mà họ chia sẻ trong quá trình giao dịch sẽ được chuyển cho tội phạm mạng.
Giả mạo hệ thống tên miền Đây là một kiểu tấn công trung gian trong đó tội phạm mạng thay đổi tên miền để chuyển hướng lưu lượng truy cập đến các trang web giả mạo Người dùng có thể nghĩ rằng họ đang truy cập một trang web an toàn và đáng tin cậy, nhưng thay vào đó, họ truy cập vào một trang web do tội phạm mạng điều hành Mục đích chính đằng sau việc giả mạo DNS là định tuyến lại lưu lượng truy cập đến một trang web giả mạo hoặc để lấy thông tin đăng nhập của người dùng.
Giả mạo HTTP Giao thức HTTP là hiện thân của truyền thông internet an toàn HTTPS cho biết một trang web an toàn và đáng tin cậy Trong một cuộc tấn công giả mạo HTTPS, một phiên trình duyệt được chuyển hướng đến một trang web không an toàn hoặc dựa trên HTTP mà người dùng không biết hoặc không đồng ý Tội phạm mạng có thể giám sát các tương tác của người dùng và đánh cắp thông tin cá nhân được chia sẻ thông qua việc chuyển hướng này. Đánh cắp lớp cổng bảo mật SSL là một giao thức thiết lập kết nối được mã hóa giữa trình duyệt và máy chủ web Trong quá trình chiếm quyền điều khiển SSL, tội phạm mạng có thể sử dụng một máy tính khác và một máy chủ bảo mật để chặn tất cả thông tin di chuyển giữa máy chủ và máy tính của người dùng cuối. Đánh cắp email Đây là một kiểu tấn công MiTM trong đó tội phạm mạng giành quyền kiểm soát tài khoản email của các ngân hàng và các tổ chức tài chính khác để theo dõi bất kỳ giao dịch nào mà người dùng thực hiện Tội phạm mạng thậm chí có thể giả mạo địa chỉ email của ngân hàng và gửi hướng dẫn cho khách hàng khiến họ vô tình chuyển tiền của mình cho tội phạm mạng.
Nghe trộm Wi-Fi Cuộc tấn công MiTM này là một trong nhiều yếu tố rủi ro do Wi-Fi công cộng gây ra Trong cuộc tấn công này, người dùng Wi-Fi công cộng bị lừa kết nối với các điểm phát và mạng Wi-Fi độc hại Tội phạm mạng thực hiện điều này bằng cách thiết lập kết nối Wi-Fi có tên giống với các doanh nghiệp lân cận. Đánh cắp phiên Còn được gọi là ăn cắp cookie của trình duyệt,hành vi nguy hiểm này diễn ra khi tội phạm mạng đánh cắp dữ liệu cá nhân và mật khẩu được lưu trữ bên trong cookie của phiên duyệt web của người dùng Đôi khi, tội phạm mạng có thể truy cập vô tận vào tài nguyên đã lưu của người dùng Ví dụ: chúng có thể đánh cắp dữ liệu và danh tính bí mật của người dùng, mua hàng hoặc ăn cắp tiền từ tài khoản ngân hàng của họ.
Nhiễm độc bộ nhớ đệm Còn được gọi là Giao thức phân giải địa chỉ, hoặc nhiễm độc bộ nhớ cache ARP, cuộc tấn công MiTM phổ biến hiện đại này cho phép tội phạm mạng ở trên cùng một mạng con với nạn nhân nghe trộm tất cả lưu lượng được định tuyến giữa chúng
Tìm hiểu kỹ hơn về việc giả mạo ARP Cache trong tấn công Man in the Middle
Định nghĩa của giả mạo ARP Cache
Giả mạo ARP Cache là một hình thức tấn công MitM hiện đại có xuất xứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARPPoison Routing), tấn công này cho phép hacker (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân Chúng tôi đã chọn đây là tấn công đầu tiên cần giới thiệu vì nó là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.
Việc truyền thông ARP thông thường
Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu
Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau,còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông Với lý do đó,
ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.
Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng
Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là XX.XX.XX.XX, địa chỉMAC của tôi là XX:XX:XX:XX:XX:XX Tôi cần gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình Nếu ai đó có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết bị phát Tôi là người mà bạn đang tìm kiếm với địa chỉ IP là XX.XX.XX.XX Địa chỉ MAC của tôi làXX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.
Cụ thể về việc giả mạo Cache
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ(ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này
Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ” Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông,tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công.
MÔ PHỎNG QUY TRÌNH TẤN CÔNG MAN IN THE
Quy trình chung nhất của một cuộc tấn công mạng
Bước 1 - thỏa hiệp: thực hiện bằng cách sử dụng các phương thức như Social Engineering (về mặt bảo mật), tấn công lừa đảo có định hướng, hoặc thông qua email, sử dụng các exploit trên dịch vụ web, email, chat… hoặc bất kì phương thức lây nhiễm thông dụng nào để “cấy” malware vào một website mà nhân viên của tổ chức đó thường truy cập vào Qua đó “trồng” malware vào máy của nhân viên trong tổ chức được nhắm đến Các công cụ sử dụng: Social engineering, fake web, fake mail, port 80 exploit, client service exploit, malware, virus, trojan, downloader, dropper
Bước 2 - thiết lập chỗ đứng trong mạng tổ chức: sử dụng các phần mềm remote access để cài vào mạng của tổ chức nhắm tới, rồi tiếp tục trồng cắm các backdoor cũng như thiết lập các tunnel (đường truyền được mã hóa) để âm thầm truy cập từ bên ngoài vào hạ tầng mạng của tổ chức nhắm tới Các công cụ sử dụng: Remote access, RAT, Backdoor, trojan, Keylogger
Bước 3 - Leo thang đặc quyền: sử dụng các exploit hoặc các công cụ crack password (dĩ nhiên là lôi các hash về máy của người tấn công rồi crack), để leo thang lên quyền administrator trên máy tính của nhân viên trong tổ chức (máy tính đã bị nhiễm malware) Cố gắng mở rộng qua việc chiếm lấy quyền administrator điều khiển Windows domains, hoặc quyền quản trị mạng Các công cụ sử dụng: Exploit, Password cracker, Password resetter, Keylogger, Social Engineering
Bước 4 - Điều tra mạng nội bộ của tổ chức: thu thập thông tin về cơ sở hạ tầng mạng nội bộ của tổ chức, các lớp mạng, sơ đồ cấu trúc mạng,các máy chủ, các lớp bảo mật, các phương thức bảo mật …etc Các công cụ sử dụng: network scanner, tracer, sniffer
Bước 5 - Tấn công lan rộng: tìm cách tấn công mở rộng qua các hạ tầng quan trọng của mạng mục tiêu, như tìm cách điều khiển các máy tính của các nhân viên cấp cao hơn, các máy chủ, các thành phần kiểm soát mạng như router, switch…, rồi thực hiện thu thập dữ liệu trên các hạ tầng này Các công cụ sử dụng: thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus, malware, trojan, phishing…
Bước 6 - Duy trì khả năng truy cập: thiết lập các backdoor, các lớp bảo vệ che dấu để chắc chắn rằng có thể tiếp tục truy cập vào mạng nội bộ tổ chức mục tiêu cũng như kết nối, các backdoor, các quyền quản trị đã chiếm được ở các bước trước Tóm lại đảm bảo tương lai có thể tiếp tục truy cập mạng của tổ chức Các công cụ sử dụng: Rootkit, backdoor, disable AV, hidden malware, hidden administrator account, remote access tool…
Bước 7 - Hoàn tất chiến dịch: Chuyển mọi dữ liệu đã thu thập từ mạng của tổ chức mục tiêu về trung tâm Các công cụ sử dụng: Encrypted tunnel, stealth connection, hidden connection, backconnect…
Quy trình thực hiện tấn công Man in the Middle
Giai đoạn đầu tiên của quy trình tấn công MitM - Đánh chặn
Bước đầu tiên là chặn lưu lượng truy cập của người dùng qua mạng của hacker trước khi nó đến được đích dự kiến Cách phổ biến (và đơn giản nhất) là thực hiện tấn công thụ động Trong đó, hacker tạo ra các điểm truy cập WiFi công khai miễn phí, nhưng độc hại Các WiFi này thường không được đặt mật khẩu Sau khi người dùng kết nối, hacker sẽ có thể xen giữa vào bất kỳ cuộc trao đổi dữ liệu online nào của người dùng.
Giai đoạn thứ hai của quy trình tấn công MitM - Giải mã
Sau khi bị chặn, mọi lưu lượng SSL hai chiều đều cần được giải mã,quá trình này sẽ không thông báo đến người dùng hay ứng dụng Sau đây là một số phương pháp giải mã phổ biến:
HTTP Spoofing: Hacker sẽ gửi một certificate giả mạo đến trình duyệt của người dùng khi họ thực hiện yêu cầu kết nối tới trang web Certificate này sẽ có một vân tay kỹ thuật số, được liên kết với ứng dụng bị xâm nhập Và trình duyệt sẽ xác minh nó dựa theo danh sách các trang web được tin cậy hiện có Sau đó, hacker có thể truy cập vào bất kỳ dữ liệu nào do người dùng nhập trước khi nó được chuyển đến ứng dụng.
SSL BEAST (Browser exploit against SSL/TLS – Khai thác trình duyệt chống SSL/TLS) nhắm vào lỗ hổng TLS phiên bản 1.0 trong SSL Ở phương pháp này, máy tính của người dùng bị nhiễm JavaScript độc hại chặn các cookies được mã hóa do ứng dụng web gửi đến Sau đó, CBC (Cipher block chaining) của ứng dụng sẽ bị xâm phạm để giải mã cookies của nó, đồng thời xác thực các token.
SSL Hijacking: Xảy ra khi hacker chuyển các key xác thực giả mạo cho người dùng lẫn ứng dụng trong quá trình giao tiếp Khi đó, một kết nối tưởng chừng như an toàn sẽ được tạo ra Nhưng trong kết nối này, Man in the middle mới chính là đối tượng nằm toàn quyền kiểm soát session.
SSL Stripping: Phương pháp này sẽ hạ cấp một kết nối HTTPS xuống thành HTTP, bằng cách chặn xác thực TLS được gửi từ ứng dụng đến người dùng Hacker gửi một phiên bản không được mã hóa của web cho người dùng, trong khi vẫn duy trì session được bảo mật với ứng dụng Trong khi đó, hacker vẫn có thể kiểm soát được toàn bộ session.
THỰC HÀNH TẤN CÔNG MAN IN THE MIDDLE https://drive.google.com/drive/folders/1D64DqYtbFoerfXByzYC3I8rtheJpydMt
HẬU QUẢ KHI BỊ TẤN CÔNG MAN IN THE MIDDLE
Các cuộc tấn công MitM rất phổ biến, mặc dù không đến mức ransomware hoặc lừa đảo Các kiểu tấn công này rất dễ thực hiện và các công cụ hack được cung cấp công khai Chúng được thực hiện không chỉ từ bên ngoài, mà còn có những sự cố bên trong tổ chức nơi MitM được sử dụng để tấn công mạng nội bộ.
Thật không may, những loại sự cố này rất khó phát hiện, đó là lý do tại sao hành động ngăn chặn là rất quan trọng, đồng thời cũng giúp cải thiện an ninh mạng và quyền riêng tư.
Thiệt hại về dữ liệu
Dữ liệu là mục tiêu hàng đầu của tin tặc khi thực hiện các cuộc tấn công vào doanh nghiệp Dữ liệu của doanh nghiệp không chỉ có thông tin khách hàng mà còn gồm bí mật kinh doanh và tài sản trí tuệ Một khi tin tặc đã xâm nhập được vào hệ thống, chúng sẽ đánh cắp toàn bộ kho dữ liệu này.
Hậu quả sẽ ra sao khi bí mật kinh doanh – tài nguyên quan trọng nhất của doanh nghiệp bị lộ ra ngoài? Khách hàng sẽ phản ứng như thế nào khi biết thông tin cá nhân của mình nằm trong tay tin tặc? Tin tặc sẽ làm gì với những dữ liệu chúng đã lấy được? Tống tiền doanh nghiệp, phơi bày trên mạng xã hội hay rao bán cho các chợ đen? Dù tin tặc quyết định hành động như thế nào thì thiệt hại mà doanh nghiệp phải chịu là vô cùng lớn.
Thiệt hại về tài chính
Rất khó để đo lường mức thiệt hại tài chính của doanh nghiệp sau một cuộc tấn công mạng Bởi ngoài những chi phí xử lý sự cố ban đầu, doanh nghiệp còn bị mất đi những khoản lợi nhuận hứa hẹn trong tương lai
Cụ thể, sau tấn công mạng, chắc chắn doanh nghiệp sẽ mất một lượng khách hàng đáng kể Làm sao có thể đặt niềm tin vào một doanh nghiệp không thể đảm bảo an toàn cho chính mình? Hướng giải quyết của doanh nghiệp trước tình huống này ra sao? Liệu phương án doanh nghiệp đưa ra có thỏa mãn tin tặc để chúng trả lại thông tin của khách hàng hay không?
… Đó chỉ là một vài trong hàng trăm câu hỏi của khách hàng khi bị tin tặc đe dọa.
Tương tự vậy, các khách hàng mới đang có dự định giao dịch hoặc đầu tư vào doanh nghiệp đó cũng sẽ không ngại mà đáp trả một cái lắc đầu từ chối Khi nhìn thấy những rủi ro ngay trước mắt, không ai có đủ can đảm để bước chân vào Đó là tâm lý chung của bất cứ khách hàng nào Doanh nghiệp bạn phải là người ngăn chặn những bất trắc có thể xảy ra
Mức thiệt hại tài chính càng nặng nề hơn với các doanh nghiệp hoạt động trong các lĩnh vực như ngân hàng, sản xuất, thương mại điện tử… Khi bị tấn công, mọi giao dịch sẽ bị ngưng trệ, ảnh hưởng trực tiếp đến hoạt động kinh doanh Website không thể truy cập được, giao dịch mua bán tụt dốc không phanh, phí duy trì kho bãi vẫn phải trả trong khi không sử dụng… Đặc biệt, thời gian tạm dừng càng lâu, chi phí tổn thất càng lớn.
Các doanh nghiệp thường mất một đến ba ngày để khắc phục và đưa hệ thống trở lại bình thường Tuy nhiên, có những trường hợp mất đến vài tuần hay vài tháng để doanh nghiệp có thể ổn định.
Theo dự đoán của Cybersecurity Ventures, chi phí tội phạm mạng trên toàn thế giới sẽ tăng 15% mỗi năm trong vòng 5 năm tới, đạt 10,5 nghìn tỷ USD mỗi năm vào năm 2025 Đây là sự gia tăng chi phí kinh doanh,và sẽ được phản ánh vào giá tiêu dùng.
Thiệt hại về uy tín thương hiệu
Uy tín thương hiệu là điều quan trọng với bất cứ doanh nghiệp nào Uy tín giúp tăng độ nhận diện thương hiệu và thúc đẩy hành vi giao dịch của khách hàng Khi bị tấn công mạng, uy tín của doanh nghiệp sẽ bị sụp đổ ngay trong chốc lát Mọi nỗ lực xây dựng uy tín dường như trở nên vô nghĩa sau biến cố này Khách hàng sẽ chỉ nhớ đến doanh nghiệp bạn với ba chữ “tấn công mạng” Hậu quả, doanh nghiệp sẽ khó khăn hơn khi đi đàm phán hay thực hiện giao dịch với khách hàng.
CÁCH PHÁT HIỆN VÀ PHÒNG CHỐNG CÁC CUỘC TẤN
CÔNG MAN IN THE MIDDLE
Cách phát hiện các cuộc tấn công MitM
Kẻ trung gian là lặp đi lặp lại và sự gián đoạn bất ngờ của một dịch vụ cụ thể Những kẻ tấn công buộc ngắt kết nối các phiên của người dùng để chặn thông tin xác thực khi người dùng cố gắng kết nối lại.
Các liên kết trang web được truy cập trong mạng của tổ chức khác với trang web thực tế Nếu quản trị viên phát hiện một thiết bị liên tục cố gắng kết nối với 'g00gle.com' thay vì 'google.com' trong nhật ký, điều đó cho thấy một cuộc tấn công man-in-the-middle đang hoạt động.
Kiểm tra độ trễ là một cách để phát hiện một cuộc tấn công MitM Điều này liên quan đến việc thực hiện một cái gì đó chung chung nhưng phức tạp, chẳng hạn như các tính toán dài liên quan đến việc tạo các hàm băm.
Nhiều giao dịch được sử dụng để thực hiện cùng một giao dịch Thời gian phản hồi trong mỗi cần phải tương tự nhau Nếu một trong những giao dịch này mất nhiều thời gian bất thường để phản hồi, có thể là do bên thứ ba đang thao túng việc chuyển tiền này.
Kiểm tra gói tin sâu (DPI) và kiểm tra luồng sâu (DFI) trong quá trình giám sát mạng DPI và DFI cung cấp cho giám sát mạng các thông tin như độ dài và kích thước gói Chúng có thể được sử dụng để xác định lưu lượng mạng bất thường.
Sử dụng hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) trong chính lớp sương mù Hầu hết các thiết bị IoT sử dụng điện toán sương mù để đảm bảo tốc độ truyền dữ liệu Vì các cuộc tấn công man-in-the-middle được biết là nhắm vào các thiết bị IoT
Cách đề phòng khỏi các cuộc tấn công MitM
Cài đặt phần mềm chống virus: bằng cách này, bạn có thể tránh các cuộc tấn công trung gian dựa trên phần mềm độc hại đã cài đặt.
Tránh các điểm truy cập WiFi công cộng: đặc biệt khi chúng không được bảo vệ bằng mật khẩu
Nếu bạn buộc phải sử dụng một mạng như vậy, chỉ nên kết nối để sử dụng Internet một cách thụ động mà không sử dụng các trang web yêu cầu dữ liệu.
Tự bảo vệ mình khỏi MitM bằng cách tránh gửi bất kỳ thông tin cá nhân nào qua mạng WiFi công cộng trừ khi chúng được bảo vệ bởi VPN. Đăng xuất khi bạn sử dụng xong một trang yêu cầu bạn đăng nhập: Một số trang thực hiện việc này tự động khi bạn đóng trình duyệt của mình.
Sử dụng xác thực nhiều bước nếu có thể: Hầu như tất cả các tổ chức tài chính đều có tùy chọn xác thực hai bước trở thành tiêu chuẩn bên ngoài ngành tài chính.
Sử dụng các trang sử dụng HTTPS hoặc TLS: (recommend cho các nhà điều hành web): Đảm bảo rằng bạn đang ở trang có ‘ổ khóa’ khi bạn cung cấp bất kỳ dữ liệu nào – HTTPS cung cấp giao tiếp được mã hóa
Nếu bạn có tùy chọn này, hãy cài đặt plugin HTTPS Everywhere để buộc trình duyệt của bạn sử dụng phiên bản an toàn của trang web.
Sử dụng mạng riêng ảo (VPN): để thực hiện các giao dịch và liên lạc nhạy cảm VPN thực sự cần thiết khi sử dụng WiFi công cộng.
Thiết lập bộ định tuyến của bạn: Đảm bảo rằng bạn không để lại thông tin đăng nhập mặc định của nhà sản xuất Ngoài ra, hãy đảm bảo rằng bộ định tuyến đã được cập nhật mới nhất. Đề phòng các email lừa đảo: Trước khi nhấp vào email cần kiểm tra người gửi Cảnh giác với các email lừa đảo từ những kẻ tấn công yêu cầu bạn cập nhật mật khẩu hoặc bất kỳ thông tin đăng nhập nào khác Thay vì nhấp vào liên kết được cung cấp trong email, hãy nhập thủ công địa chỉ website vào trình duyệt của bạn.
Cách ngăn chặn các cuộc tấn công MitM
Việc ngăn chặn các cuộc tấn công MITM đòi hỏi một số bước thực tế từ phía người dùng, cũng như sự kết hợp của các phương pháp mã hóa và xác minh cho các ứng dụng.
Một số phương pháp cụ thể:
Kết nối an toàn Đây là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công của MiTM Người dùng chỉ nên truy cập các trang web hiển thị "HTTPS" trên thanh URL, thay vì chỉ "HTTP" Hầu hết các trình duyệt đều hiển thị dấu hiệu ổ khóa trước URL, dấu hiệu này cho biết một trang web an toàn Bên cạnh việc đảm bảo an ninh cho trang web, cũng cần tránh sử dụng các kết nối Wi-Fi công cộng không an toàn, vì chúng dễ bị tội phạm mạng tấn công và đánh chặn Các tổ chức nên thực thi xác thực đa yếu tố trên diện rộng, vì nó bổ sung thêm một lớp bảo mật cho truyền thông trực tuyến.
Tránh email lừa đảo Tội phạm mạng cố tình tạo ra các email lừa đảo để lừa người dùng mở chúng Người dùng nên suy nghĩ kỹ trước khi mở các email đến từ các nguồn chưa được xác minh hoặc không xác định Email lừa đảo thường trông giống như chúng đến từ một nguồn hợp pháp, chẳng hạn như tài khoản ngân hàng hoặc tổ chức tài chính.
Những email này có thể yêu cầu người dùng nhấp vào liên kết để nhập thông tin đăng nhập hoặc cập nhật mật khẩu Nên tránh nhấp vào các liên kết này, vì chúng có thể chuyển hướng người dùng đến một trang web giả mạo hoặc tải xuống phần mềm độc hại trên thiết bị của họ.
Mã hóa mạng riêng ảo VPN mã hóa các kết nối internet và truyền dữ liệu trực tuyến, chẳng hạn như mật khẩu và thông tin thẻ tín dụng và nên được sử dụng khi kết nối với các điểm phát sóng và mạng Wi-Fi công cộng không an toàn VPN có thể phục kích một cuộc tấn công trung gian tiềm ẩn Ngay cả khi tội phạm mạng quản lý để truy cập vào mạng, chúng sẽ không thể giải mã thành công các tin nhắn hoặc truy cập tài nguyên do mã hóa được cung cấp bởi VPN Các tổ chức cũng nên đảm bảo nhân viên của họ đăng nhập vào công ty thông qua một VPN an toàn của công ty, đặc biệt nếu họ đang làm việc từ xa.
Bảo mật điểm cuối Thực hiện bảo mật điểm cuối toàn diện là điều tối quan trọng khi cố gắng ngăn chặn sự lây lan của phần mềm độc hại và các cuộc tấn công mạng khác Vì các cuộc tấn công MiTM sử dụng phần mềm độc hại để thực thi, điều quan trọng là phải có các sản phẩm chống phần mềm độc hại và bảo mật internet.
Hầu hết các cuộc tấn công mạng đều vô tình bắt đầu từ hành vi của con người Bằng cách giáo dục người dùng về sự nguy hiểm của cuộc tấn công MiTM và thực hiện đào tạo nhận thức về bảo mật chủ động bắt buộc cho nhân viên, các tổ chức có thể bảo vệ trước dữ liệu nhạy cảm của họ Khóa đào tạo cũng nên hướng dẫn người dùng cách phát hiện email độc hại và hướng dẫn họ về các phương pháp bảo mật tốt nhất, chẳng hạn như triển khai VPN, tránh các mạng Wi- Fi công cộng và không nhấp vào các liên kết email đáng ngờ. Đối với các nhà điều hành trang web, các giao thức truyền thông an toàn, bao gồm TLS và HTTPS, giúp giảm thiểu các cuộc tấn công giả mạo bằng cách mã hóa và xác thực dữ liệu được truyền một cách mạnh mẽ.
Làm như vậy ngăn chặn việc chặn lưu lượng truy cập trang web và chặn việc giải mã dữ liệu nhạy cảm, chẳng hạn như mã thông báo xác thực.
Các ứng dụng sử dụng SSL /TLS được coi là phương pháp hay nhất để bảo mật mọi trang trong trang web của họ chứ không chỉ các trang yêu cầu người dùng đăng nhập Làm như vậy sẽ giúp giảm nguy cơ kẻ tấn công lấy cắp cookie phiên từ người dùng đang duyệt trên một của một trang web khi đã đăng nhập.
MỘT SỐ VỤ TẤN CÔNG MAN IN THE MIDDLE NỔI
Từ khi Internet ra đời thì những cuộc tấn công MitM cũng bắt đầu xuất hiện cực kỳ phổ biến Bởi vậy mà trên thế giới cũng lần lượt xảy ra cực nhiều những vụ tấn công mạng, đặc biệt là tấn công MitM cực kỳ tinh xảo Có thể kể đến một số những vụ tấn công xen giữa cực kỳ nổi tiếng trên thế giới như: Ứng dụng di động của Equifax: Năm 2017, MitM tấn công
Equifax, hậu quả để lại là thông tin của 150 triệu người Mỹ bị rò rỉ.
Qua vụ việc này, người dùng đã phát hiện ra ứng dụng điện thoại của công ty không phải lúc nào cũng dùng HTTPS Đây chính là lỗ hổng để tin tặc ăn cắp dữ liệu một cách đơn giản và nhanh chóng.
Tấn công phần mềm quảng cáo Superfish Visual Search: Năm
2015, máy tính Lenovo đã ra mắt phần mềm quảng cáo có tên là Superfish Visual Search Phần mềm này chèn quảng cáo mặc định nên người dùng dễ bị tấn công MitM Vào tháng 2 năm 2015, bản phát hành cập nhật của Microsoft Windows Defender đã loại bỏ lỗ hổng này.
DigiNotar: Năm 2011, công ty phát hành chứng chỉ bảo mật kỹ thuật số Hà Lan DigiNotar đã bị tấn công MitM Những tên hacker đã có được quyền truy cập vào 500 chứng chỉ cho những website nổi bật Chúng đã lừa người dùng nhập mật khẩu vào website giả mạo Với sự tổn thất lớn từ cuộc tấn công này, DigiNotar phải đệ đơn phá sản.
1 Tổng quan về Man in the Middle: https://www.imperva.com/learn/application-security/man-in-the-middle- attack-mitm/ https://www.techtarget.com/iotagenda/definition/man-in-the-middle- attack-MitM https://www.veracode.com/security/man-middle-attack
2 Tìm hiểu kỹ hơn về kỹ thuật tấn công Man in the Middle https://quantrimang.com/cong-nghe/tim-hieu-ve-tan-cong-man-in-the- middle-gia-mao-arp-cache-66482