مقالات

حمله مرد میانی چیست؟

14 فروردین 1402
4:10 ب.ظ

بدافزار

MITM مخفف Man In The Middle که در فارسی به آن حمله مرد میانی می گویند، نوعی حمله سایبری است که مهاجم مخفیانه در میان ارتباطات بین دو نفر قرار گرفته و داده‌های منتقل شده را رهگیری می‌کند. به عبارتی مهاجم اقدام به جعل هویت یکی از طرفین نموده و استراق سمع می‌نماید و قربانی گمان می‌کند که تبادل اطلاعات به صورت استاندارد در حال انجام است. اما در واقع مهاجم با ورود به ارتباط اقدام به شنود کرده و حتی داده‌های تبادل شده را تغییر دهد.

هدف مهاجمان در حملات MITM اغلب دستیابی به اطلاعات محرمانه مانند جزئیات حساب بانکی، شماره کارت اعتباری یا اطلاعات اصالت‌سنجی است که ممکن است در حملات سایبری دیگری نظیر سرقت هویت یا انتقال غیرقانونی وجوه مورد استفاده قرار گیرد. از آنجایی که حملات MITM به صورت بلادرنگ (Real time) انجام می‌شود، اغلب به موقع شناسایی نمی‌شوند.

مراحل حمله مرد میانی

اجرای موفقیت آمیز حمله MITM دارای دو مرحله است:

رهگیری (Interception)
رمزگشایی (Decryption)

1) رهگیری

رهگیری (Interception) به معنای نفوذ مهاجم در شبکه قربانی و رهگیری ترافیک کاربر و هدایت آن به یک شبکه جعلی قبل از رسیدن به مقصد مورد نظر است. مرحله رهگیری اساساً این است که چگونه مهاجم خود را به عنوان «مرد میانی» وارد شبکه قربانی می‌کند. مهاجمان اغلب این کار را با ایجاد یک نقطه اتصال جعلی Wi-Fi (Wi-Fi Hotspot) در یک فضای عمومی که نیازی به رمز عبور ندارد، انجام می‌دهند. همگامی که قربانی به Hotspot متصل شود، مهاجم به هرگونه تبادل داده آنلاینی که در حال انجام است، دسترسی پیدا می‌کند.

هنگامی که یک مهاجم با موفقیت خود را وارد شبکه نموده و بین قربانی و مقصد مورد نظر قرار می‌گیرد، از تکنیک‌های مختلف زیر برای ادامه حمله استفاده می‌کند:

IP Spoofing

هر دستگاه متصل به Wi-Fi دارای یک نشانی Internet Protocol - به اختصار IP - است که در نحوه ارتباط میان کامپیوتر‌ها و دستگاه‌های شبکه‌ اهمیت دارد. در این روش، مهاجم با جعل IP، بسته‌های IP را به منظور جعل هویت سیستمی که قربانی با آن در حال برقراری ارتباط است، تغییر می‌دهد. هنگامی که قربانی سعی می‌کند به URL متصل به آن سیستم دسترسی پیدا کند، ناآگاهانه به سایت یا سیستم مهاجم هدایت می‌شود.

ARP Spoofing

با جعل Address Resolution Protocol - به اختصار ARP - مهاجم از پیام‌های ARP جعلی جهت لینک نمودن نشانی MAC خود به نشانی IP معتبر قربانی استفاده می‌کند. با اتصال نشانی MAC مهاجم به نشانی IP معتبر قربانی، مهاجم قادر خواهد بود به هر داده ارسال شده به نشانی IP مربوط به Host دسترسی پیدا ‌کند.

DNS Spoofing

جعل Domain Name Server – به اختصار DNS – که به آن DNS Cache Poisoning نیز گفته می‌شود، شامل نفوذ یک مهاجم به سرور DNS و تغییر در نشانی سایت است تا ترافیک وب قربانی را به یک سایت جعلی که بسیار شبیه سایت مورد نظر قربانی است، هدایت کند. در نتیجه کاربرانی که قصد ورود به حساب کاربری خود را دارند، به سایت مهاجم هدایت شده و مهاجم می‌تواند به داده‌های شخصی و سایر اطلاعات قربانی دسترسی پیدا کند.

2) رمزگشایی

پس از مرحله رهگیری (Interception) در حمله MITM، یعنی پس از اینکه مهاجم به داده‌های رمزگذاری شده قربانی دسترسی پیدا کرد، هر گونه ترافیک رد و بدل شده باید رمزگشایی (Decryption) شود تا مهاجم بتواند آنها را بخواند و استفاده کند. چندین روش ممکن برای رمزگشایی داده‌های قربانی که در آنها هیچ هشداری به کاربر یا برنامه داده نمی‌شود، عبارتند از:

HTTPS Spoofing

روشی برای فریب دادن مرورگر شما است که وانمود می‌شود که یک سایت خاص، امن و معتبر است در حالی که اینطور نیست. هنگامی که قربانی درخواست اتصال به یک سایت امن را می‌دهد، یک گواهی‌نامه جعلی به مرورگر قربانی ارسال می‌شود که او را به سایت مخرب مهاجم هدایت می‌کند. این به مهاجم اجازه می‌دهد تا به هر داده‌ای که قربانی در آن سایت به اشتراک می‌گذارد، دسترسی داشته باشد.

SSL Hijacking

هر زمان که به یک سایت ناامن متصل می‌شوید که در نشانی URL، دارای پروتکلHTTP» » است، سرور شما به‌طور خودکار به نسخه امن HTTPS آن سایت تغییر مسیر می‌دهد. با ربودن SSL، مهاجم از کامپیوتر و سرور خود برای رهگیری مجدد مسیر استفاده می‌کند و به او اجازه می‌دهد تا هرگونه اطلاعات ارسال شده بین کامپیوتر قربانی و سرور کاربر را قطع کند. این برای مهاجمان امکان دسترسی به اطلاعات حساسی که کاربر در طول جلسه جاری (Session) خود استفاده می‌کند را فراهم می‌کند.

SSL Stripping

مهاجم در تکنیک SSL Stripping ارتباط بین یک کاربر و یک سایت را قطع می‌نماید. این کار با تغییر اتصال HTTPS ایمن کاربر به نسخه HTTP ناامن سایت انجام می‌شود. در این حالت ضمن اتصال کاربر به سایت ناامن، مهاجم ارتباط خود را با سایت امن حفظ می‌کند؛ در این روش فعالیت کاربر و تمامی داده‌های او به صورت رمزگذاری نشده برای مهاجم قابل مشاهده می‌باشد.

نمونه های واقعی از حملات مرد میانی

در ادامه به چند نمونه از حملات MITM شناخته شده اشاره می‌کنیم:

در سال 2015، یک تبلیغ‌افزار (Adware) به نام Superfish که از سال 2014 بر روی دستگاه‌های Lenovo از قبل نصب شده بود، شناسایی شد که ترافیک SSL را پویش نموده و گواهی‌نامه‌های جعلی نصب می‌کرد؛ این برنامه تبلیغاتی به استراق‌سمع‌کنندگان ثالث اجازه می‌داد تا ترافیک ورودی امن را رهگیری و هدایت کنند. گواهی‌نامه‌های جعلی همچنین برای معرفی تبلیغات حتی در صفحات رمزگذاری شده نیز کار می‌کنند.

در سال 2017، یک آسیب‌پذیری بزرگ در برنامه‌های الکترونیک تلفن‌های همراه در تعدادی از بانک‌های معروف شناسایی شد که مشتریان دستگاه‌های iOS و Android را در معرض حملات مرد میانی (MITM) قرار می‌داد. این نقص امنیتی مربوط به فناوری Pin نمودن گواهی‌نامه است که جهت جلوگیری از بکارگیری گواهی‌‌نامه‌های جعلی مورد استفاده قرار می‌گیرد؛ راهکارهای امنیتی نیز نتوانستند در آن زمان مهاجمان را شناسایی کنند زیرا Pin کردن گواهی‌نامه در هنگام اصالت‌سنجی نام Host را پنهان می‌کرد و در نهایت امکان اجرای حملات MITM را فراهم می‌نمود.

نحوه تشخیص حملات مرد میانی

اگر به طور مستمر به دنبال نشانه‌های رهگیری ارتباطات آنلاین یا وجود آلودگی در شبکه نیستید، تشخیص حملات مرد میانی می‌تواند بسیار دشوار باشد. حال آنکه باید هنگام مرور وب عمدتاً به نشانی URL موجود در نوار آدرس نیز توجه کنید.

علامت یک سایت امن در نشانی URL سایت، HTTPS می‌باشد. اگر یک URL به صورت HTTP و فاقد S باشد، نشانه این است که اتصال شما ایمن نیست. همچنین باید به دنبال نماد قفل SSL در سمت چپ URL بگردید که نشان‌دهنده یک سایت امن است.

علاوه بر این، مراقب اتصال به شبکه‌های Wi-Fi عمومی باشید. همانطور که در بالا توضیح داده شد، مجرمان سایبری اغلب از شبکه‌های
Wi-Fi عمومی جهت اجرای حملات مرد میانی و جاسوسی استفاده می‌کنند. هرگز تصور نکنید که یک شبکه Wi-Fi عمومی معتبر است و به طور کلی از اتصال به شبکه‌های Wi-Fi ناشناس خودداری کنید.

روش‌های پیشگیری از حملات مرد میانی

با این که آگاهی از نحوه شناسایی حملات احتمالی MITM از اهمیت زیادی برخوردار است، بهترین راه جهت محافظت در برابر آنها در وهله اول پیشگیری از این گونه حملات است. در این راستا توصیه می‌شود برای پیشگیری از اجرای حملات مرد میانی اقدامات زیر را در دستور کار قرار دهید:

از اتصال به شبکه‌های Wi-Fi که دارای رمز عبور نمی‌باشند اجتناب کنید؛ هرگز از شبکه Wi-Fi عمومی برای تراکنش‌های حساسی که به اطلاعات شخصی شما نیاز دارند، استفاده نکنید.
همواره به خصوص هنگام اتصال به اینترنت در یک مکان عمومی، از یک شبکه خصوصی مجازی (Virtual Private Network - به اختصار VPN) استفاده کنید. VPNها فعالیت آنلاین شما را رمزگذاری نموده و مانع از خواندن اطلاعات خصوصی شما از جمله رمزهای عبور یا اطلاعات حساب بانکی توسط مهاجم می‌شوند.
به محض پایان کار در سایت‌های حساس (مانند سایت بانکداری آنلاین) از حساب کاربری خود خارج شوید (Log out) تا از ربودن «ارتباط جاری» (Session) جلوگیری شود.
همواره رمز عبور پیچیده و قوی انتخاب کنید و از بکارگیری مجدد رمز عبور برای حساب‌های کاربری مختلف اجتناب نمائید. از یک نرم‌افزار مدیریت رمز عبور (Password Manager App) جهت اطمینان از قوی بودن رمزهای عبور خود استفاده نمائید.
برای تمامی رمزهای عبور خود از احراز هویت چند عاملی (Multi Factor Authentication) استفاده کنید.
از فایروال مناسب و به‌روز برای اطمینان از اتصالات اینترنتی ایمن استفاده نمائید.
از آنتی ویروس جهت محافظت از دستگاه‌ها و تمامی نقاط پایانی خود در برابر بدافزارها استفاده کنید.

همانطور که دنیای دیجیتالی ما همواره در تکامل است، جرایم سایبری نیز پیچیده شده و بهره‌جویی از آسیب‌پذیری‌های امنیتی نیز افزایش می‌یابد. آموزش کارکنان در خصوص بهترین شیوه‌های ارتقاء امنیت جهت دفاع از حملات مرد میانی و سایر انواع جرایم سایبری بسیار اهمیت دارد. مجهز بودن به یک راهکار امنیتی ضدویروس کمک زیادی به حفظ امنیت داده و پیشگیری از حملات می‌نماید.

بیت دیفندر که محافظ داده‌ها و دستگاه‌های صدها میلیون کاربر خانگی و سازمانی‌ است، یکی از قابل اعتمادترین ارائه‌دهندگان راهکارهای امنیتی در حوزه محصولات امنیت نقاط پایانی در از بین بردن تهدیدات، محافظت از حریم خصوصی و داده‌ها می‌باشد و در عین حال قابلیت انعطاف‌پذیری سایبری را نیز فراهم می‌کند.

جهت کسب اطلاعات بیشتر و انتخاب راهکار امنیتی بیت‌دیفندر متناسب با سازمان خود با کارشناسان ما تماس بگیرید.