بیت دیفندر

حمله مرد میانی یا Man-in-the-middle attack، تفاوت آن با استقراع سمع

در دنیای امروزی که ارتباطات الکترونیکی روز به روز بیشتر شده است، حفظ امنیت و اعتماد در ارتباطات بسیار اهمیت دارد. اما متأسفانه، حملات سایبری نیز همچنان در حال رشد و توسعه هستند. یکی از حملات سایبری رایج و خطرناک که بر روی ارتباطات بین دو نفر تأثیر می‌گذارد، حمله مرد میانی یا MITM (Man In The Middle) است.

حمله مرد میانی چیست؟

حمله مرد میانی نوعی حمله سایبری است که مهاجم مخفیانه در میان ارتباطات بین دو نفر قرار گرفته و داده‌های منتقل شده را رهگیری می‌کند. به عبارتی مهاجم اقدام به جعل هویت یکی از طرفین نموده و استراق سمع می‌نماید و قربانی گمان می‌کند که تبادل اطلاعات به صورت استاندارد در حال انجام است. اما در واقع مهاجم با ورود به ارتباط اقدام به شنود کرده و حتی داده‌های تبادل شده را تغییر دهد.

هدف مهاجمان در حملات MITM اغلب دستیابی به اطلاعات محرمانه مانند جزئیات حساب بانکی، شماره کارت اعتباری یا اطلاعات اصالت‌سنجی است که ممکن است در حملات سایبری دیگری نظیر سرقت هویت یا انتقال غیرقانونی وجوه مورد استفاده قرار گیرد. از آنجایی که حملات MITM به صورت بلادرنگ (Real time) انجام می‌شود، اغلب به موقع شناسایی نمی‌شوند.

حمله مرد میانی چیست؟

مراحل حمله مرد میانی

اجرای موفقیت آمیز حمله مرد میانی دارای دو مرحله است:

مرحله اول: رهگیری در حمله مرد میانی

رهگیری (Interception) به معنای نفوذ مهاجم در شبکه قربانی و رهگیری ترافیک کاربر و هدایت آن به یک شبکه جعلی قبل از رسیدن به مقصد مورد نظر است. مرحله رهگیری اساساً این است که چگونه مهاجم خود را به عنوان «مرد میانی» وارد شبکه قربانی می‌کند. مهاجمان اغلب این کار را با ایجاد یک نقطه اتصال جعلی Wi-Fi (Wi-Fi Hotspot) در یک فضای عمومی که نیازی به رمز عبور ندارد، انجام می‌دهند. همگامی که قربانی به Hotspot متصل شود، مهاجم به هرگونه تبادل داده آنلاینی که در حال انجام است، دسترسی پیدا می‌کند.

هنگامی که یک مهاجم با موفقیت خود را وارد شبکه نموده و بین قربانی و مقصد مورد نظر قرار می‌گیرد، از تکنیک‌های مختلف زیر برای ادامه حمله استفاده می‌کند:

IP Spoofing

هر دستگاه متصل به Wi-Fi دارای یک نشانی Internet Protocol - به اختصار IP - است که در نحوه ارتباط میان کامپیوتر‌ها و دستگاه‌های شبکه‌ اهمیت دارد. در این روش، مهاجم با جعل IP، بسته‌های IP را به منظور جعل هویت سیستمی که قربانی با آن در حال برقراری ارتباط است، تغییر می‌دهد. هنگامی که قربانی سعی می‌کند به URL متصل به آن سیستم دسترسی پیدا کند، ناآگاهانه به سایت یا سیستم مهاجم هدایت می‌شود.

ARP Spoofing

با جعل Address Resolution Protocol - به اختصار ARP - مهاجم از پیام‌های ARP جعلی جهت لینک نمودن نشانی MAC خود به نشانی IP معتبر قربانی استفاده می‌کند. با اتصال نشانی MAC مهاجم به نشانی IP معتبر قربانی، مهاجم قادر خواهد بود به هر داده ارسال شده به نشانی IP مربوط به Host دسترسی پیدا ‌کند.

DNS Spoofing

جعل Domain Name Server – به اختصار DNS – که به آن DNS Cache Poisoning نیز گفته می‌شود، شامل نفوذ یک مهاجم به سرور DNS و تغییر در نشانی سایت است تا ترافیک وب قربانی را به یک سایت جعلی که بسیار شبیه سایت مورد نظر قربانی است، هدایت کند. در نتیجه کاربرانی که قصد ورود به حساب کاربری خود را دارند، به سایت مهاجم هدایت شده و مهاجم می‌تواند به داده‌های شخصی و سایر اطلاعات قربانی دسترسی پیدا کند.

مرحله دوم: رمزگشایی در حمله MITM

پس از مرحله رهگیری (Interception) در حمله MITM، یعنی پس از اینکه مهاجم به داده‌های رمزگذاری شده قربانی دسترسی پیدا کرد، هر گونه ترافیک رد و بدل شده باید رمزگشایی (Decryption) شود تا مهاجم بتواند آنها را بخواند و استفاده کند. چندین روش ممکن برای رمزگشایی داده‌های قربانی که در آنها هیچ هشداری به کاربر یا برنامه داده نمی‌شود، عبارتند از:

HTTPS Spoofing

روشی برای فریب دادن مرورگر شما است که وانمود می‌شود که یک سایت خاص، امن و معتبر است در حالی که اینطور نیست. هنگامی که قربانی درخواست اتصال به یک سایت امن را می‌دهد، یک گواهی‌نامه جعلی به مرورگر قربانی ارسال می‌شود که او را به سایت مخرب مهاجم هدایت می‌کند. این به مهاجم اجازه می‌دهد تا به هر داده‌ای که قربانی در آن سایت به اشتراک می‌گذارد، دسترسی داشته باشد.

SSL Hijacking

هر زمان که به یک سایت ناامن متصل می‌شوید که در نشانی URL، دارای پروتکلHTTP» » است، سرور شما به‌طور خودکار به نسخه امن HTTPS آن سایت تغییر مسیر می‌دهد. با ربودن SSL، مهاجم از کامپیوتر و سرور خود برای رهگیری مجدد مسیر استفاده می‌کند و به او اجازه می‌دهد تا هرگونه اطلاعات ارسال شده بین کامپیوتر قربانی و سرور کاربر را قطع کند. این برای مهاجمان امکان دسترسی به اطلاعات حساسی که کاربر در طول جلسه جاری (Session) خود استفاده می‌کند را فراهم می‌کند.

SSL Stripping

مهاجم در تکنیک SSL Stripping ارتباط بین یک کاربر و یک سایت را قطع می‌نماید. این کار با تغییر اتصال HTTPS ایمن کاربر به نسخه HTTP ناامن سایت انجام می‌شود. در این حالت ضمن اتصال کاربر به سایت ناامن، مهاجم ارتباط خود را با سایت امن حفظ می‌کند؛ در این روش فعالیت کاربر و تمامی داده‌های او به صورت رمزگذاری نشده برای مهاجم قابل مشاهده می‌باشد.

تکنیک های حمله مرد میانی

در ادامه برخی از تکنیک‌های معمول در حملات مرد میانی آورده شده است:

1. Sniffing (رصد کردن)

در این تکنیک، مهاجم با قرار گرفتن در مسیر ارتباطی بین دو طرف، بسته‌های داده را در شبکه رصد کرده و اطلاعات حساس مانند کلمات عبور، شماره‌های کارت بانکی، یا داده‌های شخصی دیگر را به‌دست می‌آورد. برای این کار معمولاً از ابزارهایی مثل Wireshark استفاده می‌شود.

2. Session Hijacking (تصاحب جلسه)

در این حمله، مهاجم کوکی‌های مرورگر یا اطلاعات جلسه را می‌دزدد و از آن‌ها برای شبیه‌سازی یک جلسه قانونی بین کاربر و سرور استفاده می‌کند. به‌طور معمول، این نوع حمله پس از وارد شدن کاربر به سیستم و شروع یک جلسه، رخ می‌دهد.

3. DNS Spoofing (فریب DNS)

در این حمله، مهاجم تلاش می‌کند تا درخواست‌های DNS کاربر را به سمت یک سرور مخرب هدایت کند. به‌طور معمول، مهاجم آدرس IP یک وب‌سایت قانونی را با آدرس IP وب‌سایتی که تحت کنترل خود دارد، جایگزین می‌کند. بدین ترتیب، کاربر به جای سایت قانونی، به سایت جعلی هدایت می‌شود.

4. SSL Stripping

در این تکنیک، مهاجم تلاش می‌کند تا ارتباطات امن HTTPS را به HTTP تبدیل کند. به این ترتیب، اطلاعات حساس مانند نام کاربری و کلمه عبور که به‌طور معمول در یک ارتباط امن رد و بدل می‌شود، در یک کانال غیرامن ارسال می‌شود که برای حمله‌کننده قابل دسترسی است.

5. SSL/TLS Downgrade Attack

در این حمله، مهاجم تلاش می‌کند تا اتصال ایمن TLS را به نسخه‌های قدیمی‌تر و ضعیف‌تر SSL تغییر دهد. در نسخه‌های قدیمی‌تر SSL، برخی آسیب‌پذیری‌ها وجود دارند که مهاجم می‌تواند از آن‌ها سوء استفاده کند.

6. Eavesdropping (شنود)

در این نوع حمله، مهاجم فقط به شنود ارتباطات می‌پردازد و آن‌ها را قطع یا دستکاری نمی‌کند. این حملات به‌ویژه در شبکه‌های بی‌سیم یا شبکه‌های غیرامن که رمزنگاری ضعیفی دارند، شایع است.

7. Man-in-the-Browser (MITB)

در این نوع حمله، مهاجم از طریق نصب یک بدافزار در مرورگر هدف، قادر به سرقت اطلاعات ورودی مانند نام کاربری و کلمات عبور است. این حمله اغلب در مرورگرهای وب به‌کار می‌رود که از حملات MITM برای تزریق کدهای مخرب استفاده می‌کنند.

8. ARP Spoofing (فریب ARP)

در این حمله، مهاجم آدرس MAC خود را به‌جای آدرس MAC معتبر دستگاه‌ها در شبکه قرار می‌دهد. این تکنیک در شبکه‌های محلی (LAN) به‌ویژه در شبکه‌های Wi-Fi قابل اجرا است. از این روش برای رهگیری بسته‌های داده و یا حتی تغییر مسیر داده‌ها به سمت خود استفاده می‌شود.

9. Redirecting Traffic (هدایت ترافیک)

مهاجم می‌تواند ترافیک ورودی یا خروجی از شبکه را تغییر دهد و به مقصد دیگری هدایت کند. این کار معمولاً با تغییر مسیر IP یا استفاده از پروکسی‌های مخرب انجام می‌شود. مهاجم می‌تواند در این پروسه، داده‌ها را هم بخواند و هم تغییر دهد.

10. Email Spoofing

در این تکنیک، مهاجم ایمیل‌هایی با آدرس فرستنده جعلی ارسال می‌کند تا گیرنده را فریب دهد. هدف این است که گیرنده به اشتباه اقداماتی مانند کلیک بر روی پیوندهای مخرب یا دانلود فایل‌های آلوده انجام دهد.

تفاوت حمله مرد میانی با استراق سمع

در حالی که هر دو حمله مرد میانی (MITM) و استراق سمع (Eavesdropping) به‌نوعی به نظارت بر ارتباطات در شبکه‌ها مربوط می‌شوند، تفاوت‌های کلیدی بین این دو وجود دارد.

حمله مرد میانی به مهاجم این امکان را می‌دهد که نه تنها ارتباطات بین دو طرف را رصد کند، بلکه قادر است داده‌ها را دستکاری یا تغییر دهد. در این نوع حمله، مهاجم ممکن است خود را به‌جای یکی از طرفین ارتباطی جا بزند و حتی اطلاعات رد و بدل‌شده را تغییر دهد یا هدایت کند. هدف از این حملات می‌تواند سرقت اطلاعات حساس، تغییر دستورات یا حتی نصب بدافزار باشد.

از سوی دیگر، استراق سمع تنها شامل رصد ارتباطات است بدون اینکه مهاجم تغییر یا دستکاری‌ای در داده‌ها ایجاد کند. در این حمله، مهاجم فقط به شنود اطلاعات حساس مانند نام کاربری، کلمه عبور یا پیام‌های دیگر می‌پردازد و هیچ‌گونه دخالتی در محتویات داده‌ها ندارد.

در نتیجه، حملات MITM خطرناک‌تر و پیچیده‌تر از استراق سمع هستند، زیرا مهاجم در آن‌ها به‌طور فعال در فرآیند ارتباطات دخالت کرده و می‌تواند به‌طور جدی‌تر بر امنیت سیستم تأثیر بگذارد.

نمونه های واقعی از حملات مرد میانی

در ادامه به چند نمونه از حملات MITM شناخته شده اشاره می‌کنیم:

  • حمله MITM با لنوو: در سال 2015، یک تبلیغ‌افزار (Adware) به نام Superfish که از سال 2014 بر روی دستگاه‌های Lenovo از قبل نصب شده بود، شناسایی شد که ترافیک SSL را پویش نموده و گواهی‌نامه‌های جعلی نصب می‌کرد؛ این برنامه تبلیغاتی به استراق‌سمع‌کنندگان ثالث اجازه می‌داد تا ترافیک ورودی امن را رهگیری و هدایت کنند. گواهی‌نامه‌های جعلی همچنین برای معرفی تبلیغات حتی در صفحات رمزگذاری شده نیز کار می‌کنند.
  • حمله MITM به بانک‌ها: در سال 2017، یک آسیب‌پذیری بزرگ در برنامه‌های الکترونیک تلفن‌های همراه در تعدادی از بانک‌های معروف شناسایی شد که مشتریان دستگاه‌های iOS و Android را در معرض حملات مرد میانی (MITM) قرار می‌داد. این نقص امنیتی مربوط به فناوری Pin نمودن گواهی‌نامه است که جهت جلوگیری از بکارگیری گواهی‌‌نامه‌های جعلی مورد استفاده قرار می‌گیرد؛ راهکارهای امنیتی نیز نتوانستند در آن زمان مهاجمان را شناسایی کنند زیرا Pin کردن گواهی‌نامه در هنگام اصالت‌سنجی نام Host را پنهان می‌کرد و در نهایت امکان اجرای حملات MITM را فراهم می‌نمود.
  • حمله MITM به شبکه‌های وای‌فای عمومی در اروپا: در سال 2015، محققان امنیتی حمله‌ای گسترده به شبکه‌های وای‌فای عمومی در فرودگاه‌های اروپایی کشف کردند. مهاجمان با ایجاد نقاط دسترسی جعلی (Evil Twin)، اطلاعات حساس کاربران را سرقت می‌کردند. اگرچه این حمله در سال 2015 کشف شد، اما همچنان در سال 2025 به‌عنوان یک تهدید جدی باقی مانده است.
  • حمله MITM به سیستم‌های Quantum Cryptography: در فوریه 2025، مطالعه‌ای نشان داد که پروتکل‌های توزیع کلید کوانتومی (QKD) ممکن است در برابر حملات MITM آسیب‌پذیر باشند. این تحقیق به‌ویژه بر روی پروتکل BB84 تمرکز داشت و روش‌هایی برای مقابله با این حملات پیشنهاد کرد.

توصیه می شود برای مطالعه بیشتر در رابطه حملات مرد میانی، روش‌های تشخیص و پیشگیری از آن مقاله زیر را مطالعه نمایید: روش های تشخیص و پیشگیری از حملات مرد میانی

خروج از نسخه موبایل