MỤC LỤC
Giao diện người dùng dựa trên web dễ sử dụng và tương tác cho phép bạn tiến hành một loạt các cuộc tấn công MitM, đánh hơi thông tin xác thực, kiểm soát lưu lượng HTTP và HTTP, v.v. Trích xuất tất cả dữ liệu mà nó thu thập được như thông tin xác thực POP, IMAP, SMTP và FTP, các URL đã truy cập và máy chủ HTTPS, cookie HTTP, dữ liệu được đăng HTTP, v.v. Có sẵn trong một tệp python duy nhất, công cụ nhanh này cho phép các nhà nghiên cứu kiểm tra lưu lượng truy cập web, bao gồm các ứng dụng được mã hóa TLS, trong khi tiêu thụ tài nguyên tối thiểu.
Giải pháp quét lỗ hổng bảo mật tự động, nhanh chóng và có khả năng mở rộng, Nó cho phép bạn quét và kiểm tra các ứng dụng web nhanh hơn và hiệu quả, do đó xác định một loạt các lỗ hổng.
Trong quá trình chiếm quyền điều khiển SSL, tội phạm mạng có thể sử dụng một máy tính khác và một máy chủ bảo mật để chặn tất cả thông tin di chuyển giữa máy chủ và máy tính của người dùng cuối. Đây là một kiểu tấn công MiTM trong đó tội phạm mạng giành quyền kiểm soát tài khoản email của các ngân hàng và cỏc tổ chức tài chớnh khỏc để theo dừi bất kỳ giao dịch nào mà người dùng thực hiện. Còn được gọi là ăn cắp cookie của trình duyệt, hành vi nguy hiểm này diễn ra khi tội phạm mạng đánh cắp dữ liệu cá nhân và mật khẩu được lưu trữ bên trong cookie của phiên duyệt web của người dùng.
Còn được gọi là Giao thức phân giải địa chỉ, hoặc nhiễm độc bộ nhớ cache ARP, cuộc tấn công MiTM phổ biến hiện đại này cho phép tội phạm mạng ở trên cùng một mạng con với nạn nhân nghe trộm tất cả lưu lượng được định tuyến giữa chúng.
Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng. Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là XX.XX.XX.XX, địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Nếu ai đó có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết bị phát.
Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.
ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”. Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply. Tôi cần gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình.
Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công.
Bước 5 - Tấn công lan rộng: tìm cách tấn công mở rộng qua các hạ tầng quan trọng của mạng mục tiêu, như tìm cách điều khiển các máy tính của các nhân viên cấp cao hơn, các máy chủ, các thành phần kiểm soát mạng như router, switch…, rồi thực hiện thu thập dữ liệu trên các hạ tầng này. Các công cụ sử dụng: thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus, malware, trojan, phishing…. Bước 6 - Duy trì khả năng truy cập: thiết lập các backdoor, các lớp bảo vệ che dấu để chắc chắn rằng có thể tiếp tục truy cập vào mạng nội bộ tổ chức mục tiêu cũng như kết nối, các backdoor, các quyền quản trị đã chiếm được ở các bước trước.
Các công cụ sử dụng: Rootkit, backdoor, disable AV, hidden malware, hidden administrator account, remote access tool….
Tóm lại đảm bảo tương lai có thể tiếp tục truy cập mạng của tổ chức. Bước 7 - Hoàn tất chiến dịch: Chuyển mọi dữ liệu đã thu thập từ mạng của tổ chức mục tiêu về trung tâm.
HTTP Spoofing: Hacker sẽ gửi một certificate giả mạo đến trình duyệt của người dùng khi họ thực hiện yêu cầu kết nối tới trang web. SSL Stripping: Phương pháp này sẽ hạ cấp một kết nối HTTPS xuống thành HTTP, bằng cách chặn xác thực TLS được gửi từ ứng dụng đến người dùng. Chúng được thực hiện không chỉ từ bên ngoài, mà còn có những sự cố bên trong tổ chức nơi MitM được sử dụng để tấn công mạng nội bộ.
Thật không may, những loại sự cố này rất khó phát hiện, đó là lý do tại sao hành động ngăn chặn là rất quan trọng, đồng thời cũng giúp cải thiện an ninh mạng và quyền riêng tư.
HẬU QUẢ KHI BỊ TẤN CÔNG MAN IN THE MIDDLE Các cuộc tấn công MitM rất phổ biến, mặc dù không đến mức ransomware hoặc lừa đảo. Các kiểu tấn công này rất dễ thực hiện và các công cụ hack được cung cấp công khai.
Tương tự vậy, các khách hàng mới đang có dự định giao dịch hoặc đầu tư vào doanh nghiệp đó cũng sẽ không ngại mà đáp trả một cái lắc đầu từ chối. Mức thiệt hại tài chính càng nặng nề hơn với các doanh nghiệp hoạt động trong các lĩnh vực như ngân hàng, sản xuất, thương mại điện tử… Khi bị tấn công, mọi giao dịch sẽ bị ngưng trệ, ảnh hưởng trực tiếp đến hoạt động kinh doanh. Website không thể truy cập được, giao dịch mua bán tụt dốc không phanh, phí duy trì kho bãi vẫn phải trả trong khi không sử dụng… Đặc biệt, thời gian tạm dừng càng lâu, chi phí tổn thất càng lớn.
Theo dự đoán của Cybersecurity Ventures, chi phí tội phạm mạng trên toàn thế giới sẽ tăng 15% mỗi năm trong vòng 5 năm tới, đạt 10,5 nghìn tỷ USD mỗi năm vào năm 2025.
Liệu phương án doanh nghiệp đưa ra có thỏa mãn tin tặc để chúng trả lại thông tin của khách hàng hay không?. Các doanh nghiệp thường mất một đến ba ngày để khắc phục và đưa hệ thống trở lại bình thường. Tuy nhiên, có những trường hợp mất đến vài tuần hay vài tháng để doanh nghiệp có thể ổn định.
Hậu quả, doanh nghiệp sẽ khó khăn hơn khi đi đàm phán hay thực hiện giao dịch với khách hàng.
Nếu bạn buộc phải sử dụng một mạng như vậy, chỉ nên kết nối để sử dụng Internet một cách thụ động mà không sử dụng các trang web yêu cầu dữ liệu. Đăng xuất khi bạn sử dụng xong một trang yêu cầu bạn đăng nhập: Một số trang thực hiện việc này tự động khi bạn đóng trình duyệt của mình. Sử dụng xác thực nhiều bước nếu có thể: Hầu như tất cả các tổ chức tài chính đều có tùy chọn xác thực hai bước trở thành tiêu chuẩn bên ngoài ngành tài chính.
Sử dụng các trang sử dụng HTTPS hoặc TLS: (recommend cho các nhà điều hành web): Đảm bảo rằng bạn đang ở trang có ‘ổ khóa’ khi bạn cung cấp bất kỳ dữ liệu nào – HTTPS cung cấp giao tiếp được mã hóa.
Bằng cách giáo dục người dùng về sự nguy hiểm của cuộc tấn công MiTM và thực hiện đào tạo nhận thức về bảo mật chủ động bắt buộc cho nhân viên, các tổ chức có thể bảo vệ trước dữ liệu nhạy cảm của họ. Khóa đào tạo cũng nên hướng dẫn người dùng cách phát hiện email độc hại và hướng dẫn họ về các phương pháp bảo mật tốt nhất, chẳng hạn như triển khai VPN, tránh các mạng Wi- Fi công cộng và không nhấp vào các liên kết email đáng ngờ. Đối với các nhà điều hành trang web, các giao thức truyền thông an toàn, bao gồm TLS và HTTPS, giúp giảm thiểu các cuộc tấn công giả mạo bằng cách mã hóa và xác thực dữ liệu được truyền một cách mạnh mẽ.
Các ứng dụng sử dụng SSL /TLS được coi là phương pháp hay nhất để bảo mật mọi trang trong trang web của họ chứ không chỉ các trang yêu cầu người dùng đăng nhập.