در دنیای امروزی که ارتباطات الکترونیکی روز به روز بیشتر شده است، حفظ امنیت و اعتماد در ارتباطات بسیار اهمیت دارد. اما متأسفانه، حملات سایبری نیز همچنان در حال رشد و توسعه هستند. یکی از حملات سایبری رایج و خطرناک که بر روی ارتباطات بین دو نفر تأثیر میگذارد، حمله مرد میانی یا MITM (Man In The Middle) است.
حمله مرد میانی چیست؟
حمله مرد میانی نوعی حمله سایبری است که مهاجم مخفیانه در میان ارتباطات بین دو نفر قرار گرفته و دادههای منتقل شده را رهگیری میکند. به عبارتی مهاجم اقدام به جعل هویت یکی از طرفین نموده و استراق سمع مینماید و قربانی گمان میکند که تبادل اطلاعات به صورت استاندارد در حال انجام است. اما در واقع مهاجم با ورود به ارتباط اقدام به شنود کرده و حتی دادههای تبادل شده را تغییر دهد.
هدف مهاجمان در حملات MITM اغلب دستیابی به اطلاعات محرمانه مانند جزئیات حساب بانکی، شماره کارت اعتباری یا اطلاعات اصالتسنجی است که ممکن است در حملات سایبری دیگری نظیر سرقت هویت یا انتقال غیرقانونی وجوه مورد استفاده قرار گیرد. از آنجایی که حملات MITM به صورت بلادرنگ (Real time) انجام میشود، اغلب به موقع شناسایی نمیشوند.
مراحل حمله مرد میانی
اجرای موفقیت آمیز حمله مرد میانی دارای دو مرحله است:
مرحله اول: رهگیری در حمله مرد میانی
رهگیری (Interception) به معنای نفوذ مهاجم در شبکه قربانی و رهگیری ترافیک کاربر و هدایت آن به یک شبکه جعلی قبل از رسیدن به مقصد مورد نظر است. مرحله رهگیری اساساً این است که چگونه مهاجم خود را به عنوان «مرد میانی» وارد شبکه قربانی میکند. مهاجمان اغلب این کار را با ایجاد یک نقطه اتصال جعلی Wi-Fi (Wi-Fi Hotspot) در یک فضای عمومی که نیازی به رمز عبور ندارد، انجام میدهند. همگامی که قربانی به Hotspot متصل شود، مهاجم به هرگونه تبادل داده آنلاینی که در حال انجام است، دسترسی پیدا میکند.
هنگامی که یک مهاجم با موفقیت خود را وارد شبکه نموده و بین قربانی و مقصد مورد نظر قرار میگیرد، از تکنیکهای مختلف زیر برای ادامه حمله استفاده میکند:
IP Spoofing
هر دستگاه متصل به Wi-Fi دارای یک نشانی Internet Protocol - به اختصار IP - است که در نحوه ارتباط میان کامپیوترها و دستگاههای شبکه اهمیت دارد. در این روش، مهاجم با جعل IP، بستههای IP را به منظور جعل هویت سیستمی که قربانی با آن در حال برقراری ارتباط است، تغییر میدهد. هنگامی که قربانی سعی میکند به URL متصل به آن سیستم دسترسی پیدا کند، ناآگاهانه به سایت یا سیستم مهاجم هدایت میشود.
ARP Spoofing
با جعل Address Resolution Protocol - به اختصار ARP - مهاجم از پیامهای ARP جعلی جهت لینک نمودن نشانی MAC خود به نشانی IP معتبر قربانی استفاده میکند. با اتصال نشانی MAC مهاجم به نشانی IP معتبر قربانی، مهاجم قادر خواهد بود به هر داده ارسال شده به نشانی IP مربوط به Host دسترسی پیدا کند.
DNS Spoofing
جعل Domain Name Server – به اختصار DNS – که به آن DNS Cache Poisoning نیز گفته میشود، شامل نفوذ یک مهاجم به سرور DNS و تغییر در نشانی سایت است تا ترافیک وب قربانی را به یک سایت جعلی که بسیار شبیه سایت مورد نظر قربانی است، هدایت کند. در نتیجه کاربرانی که قصد ورود به حساب کاربری خود را دارند، به سایت مهاجم هدایت شده و مهاجم میتواند به دادههای شخصی و سایر اطلاعات قربانی دسترسی پیدا کند.
مرحله دوم: رمزگشایی در حمله MITM
پس از مرحله رهگیری (Interception) در حمله MITM، یعنی پس از اینکه مهاجم به دادههای رمزگذاری شده قربانی دسترسی پیدا کرد، هر گونه ترافیک رد و بدل شده باید رمزگشایی (Decryption) شود تا مهاجم بتواند آنها را بخواند و استفاده کند. چندین روش ممکن برای رمزگشایی دادههای قربانی که در آنها هیچ هشداری به کاربر یا برنامه داده نمیشود، عبارتند از:
HTTPS Spoofing
روشی برای فریب دادن مرورگر شما است که وانمود میشود که یک سایت خاص، امن و معتبر است در حالی که اینطور نیست. هنگامی که قربانی درخواست اتصال به یک سایت امن را میدهد، یک گواهینامه جعلی به مرورگر قربانی ارسال میشود که او را به سایت مخرب مهاجم هدایت میکند. این به مهاجم اجازه میدهد تا به هر دادهای که قربانی در آن سایت به اشتراک میگذارد، دسترسی داشته باشد.
SSL Hijacking
هر زمان که به یک سایت ناامن متصل میشوید که در نشانی URL، دارای پروتکلHTTP» » است، سرور شما بهطور خودکار به نسخه امن HTTPS آن سایت تغییر مسیر میدهد. با ربودن SSL، مهاجم از کامپیوتر و سرور خود برای رهگیری مجدد مسیر استفاده میکند و به او اجازه میدهد تا هرگونه اطلاعات ارسال شده بین کامپیوتر قربانی و سرور کاربر را قطع کند. این برای مهاجمان امکان دسترسی به اطلاعات حساسی که کاربر در طول جلسه جاری (Session) خود استفاده میکند را فراهم میکند.
SSL Stripping
مهاجم در تکنیک SSL Stripping ارتباط بین یک کاربر و یک سایت را قطع مینماید. این کار با تغییر اتصال HTTPS ایمن کاربر به نسخه HTTP ناامن سایت انجام میشود. در این حالت ضمن اتصال کاربر به سایت ناامن، مهاجم ارتباط خود را با سایت امن حفظ میکند؛ در این روش فعالیت کاربر و تمامی دادههای او به صورت رمزگذاری نشده برای مهاجم قابل مشاهده میباشد.
تکنیک های حمله مرد میانی
در ادامه برخی از تکنیکهای معمول در حملات مرد میانی آورده شده است:
1. Sniffing (رصد کردن)
در این تکنیک، مهاجم با قرار گرفتن در مسیر ارتباطی بین دو طرف، بستههای داده را در شبکه رصد کرده و اطلاعات حساس مانند کلمات عبور، شمارههای کارت بانکی، یا دادههای شخصی دیگر را بهدست میآورد. برای این کار معمولاً از ابزارهایی مثل Wireshark استفاده میشود.
2. Session Hijacking (تصاحب جلسه)
در این حمله، مهاجم کوکیهای مرورگر یا اطلاعات جلسه را میدزدد و از آنها برای شبیهسازی یک جلسه قانونی بین کاربر و سرور استفاده میکند. بهطور معمول، این نوع حمله پس از وارد شدن کاربر به سیستم و شروع یک جلسه، رخ میدهد.
3. DNS Spoofing (فریب DNS)
در این حمله، مهاجم تلاش میکند تا درخواستهای DNS کاربر را به سمت یک سرور مخرب هدایت کند. بهطور معمول، مهاجم آدرس IP یک وبسایت قانونی را با آدرس IP وبسایتی که تحت کنترل خود دارد، جایگزین میکند. بدین ترتیب، کاربر به جای سایت قانونی، به سایت جعلی هدایت میشود.
4. SSL Stripping
در این تکنیک، مهاجم تلاش میکند تا ارتباطات امن HTTPS را به HTTP تبدیل کند. به این ترتیب، اطلاعات حساس مانند نام کاربری و کلمه عبور که بهطور معمول در یک ارتباط امن رد و بدل میشود، در یک کانال غیرامن ارسال میشود که برای حملهکننده قابل دسترسی است.
5. SSL/TLS Downgrade Attack
در این حمله، مهاجم تلاش میکند تا اتصال ایمن TLS را به نسخههای قدیمیتر و ضعیفتر SSL تغییر دهد. در نسخههای قدیمیتر SSL، برخی آسیبپذیریها وجود دارند که مهاجم میتواند از آنها سوء استفاده کند.
6. Eavesdropping (شنود)
در این نوع حمله، مهاجم فقط به شنود ارتباطات میپردازد و آنها را قطع یا دستکاری نمیکند. این حملات بهویژه در شبکههای بیسیم یا شبکههای غیرامن که رمزنگاری ضعیفی دارند، شایع است.
7. Man-in-the-Browser (MITB)
در این نوع حمله، مهاجم از طریق نصب یک بدافزار در مرورگر هدف، قادر به سرقت اطلاعات ورودی مانند نام کاربری و کلمات عبور است. این حمله اغلب در مرورگرهای وب بهکار میرود که از حملات MITM برای تزریق کدهای مخرب استفاده میکنند.
8. ARP Spoofing (فریب ARP)
در این حمله، مهاجم آدرس MAC خود را بهجای آدرس MAC معتبر دستگاهها در شبکه قرار میدهد. این تکنیک در شبکههای محلی (LAN) بهویژه در شبکههای Wi-Fi قابل اجرا است. از این روش برای رهگیری بستههای داده و یا حتی تغییر مسیر دادهها به سمت خود استفاده میشود.
9. Redirecting Traffic (هدایت ترافیک)
مهاجم میتواند ترافیک ورودی یا خروجی از شبکه را تغییر دهد و به مقصد دیگری هدایت کند. این کار معمولاً با تغییر مسیر IP یا استفاده از پروکسیهای مخرب انجام میشود. مهاجم میتواند در این پروسه، دادهها را هم بخواند و هم تغییر دهد.
10. Email Spoofing
در این تکنیک، مهاجم ایمیلهایی با آدرس فرستنده جعلی ارسال میکند تا گیرنده را فریب دهد. هدف این است که گیرنده به اشتباه اقداماتی مانند کلیک بر روی پیوندهای مخرب یا دانلود فایلهای آلوده انجام دهد.
تفاوت حمله مرد میانی با استراق سمع
در حالی که هر دو حمله مرد میانی (MITM) و استراق سمع (Eavesdropping) بهنوعی به نظارت بر ارتباطات در شبکهها مربوط میشوند، تفاوتهای کلیدی بین این دو وجود دارد.
حمله مرد میانی به مهاجم این امکان را میدهد که نه تنها ارتباطات بین دو طرف را رصد کند، بلکه قادر است دادهها را دستکاری یا تغییر دهد. در این نوع حمله، مهاجم ممکن است خود را بهجای یکی از طرفین ارتباطی جا بزند و حتی اطلاعات رد و بدلشده را تغییر دهد یا هدایت کند. هدف از این حملات میتواند سرقت اطلاعات حساس، تغییر دستورات یا حتی نصب بدافزار باشد.
از سوی دیگر، استراق سمع تنها شامل رصد ارتباطات است بدون اینکه مهاجم تغییر یا دستکاریای در دادهها ایجاد کند. در این حمله، مهاجم فقط به شنود اطلاعات حساس مانند نام کاربری، کلمه عبور یا پیامهای دیگر میپردازد و هیچگونه دخالتی در محتویات دادهها ندارد.
در نتیجه، حملات MITM خطرناکتر و پیچیدهتر از استراق سمع هستند، زیرا مهاجم در آنها بهطور فعال در فرآیند ارتباطات دخالت کرده و میتواند بهطور جدیتر بر امنیت سیستم تأثیر بگذارد.
نمونه های واقعی از حملات مرد میانی
در ادامه به چند نمونه از حملات MITM شناخته شده اشاره میکنیم:
- حمله MITM با لنوو: در سال 2015، یک تبلیغافزار (Adware) به نام Superfish که از سال 2014 بر روی دستگاههای Lenovo از قبل نصب شده بود، شناسایی شد که ترافیک SSL را پویش نموده و گواهینامههای جعلی نصب میکرد؛ این برنامه تبلیغاتی به استراقسمعکنندگان ثالث اجازه میداد تا ترافیک ورودی امن را رهگیری و هدایت کنند. گواهینامههای جعلی همچنین برای معرفی تبلیغات حتی در صفحات رمزگذاری شده نیز کار میکنند.
- حمله MITM به بانکها: در سال 2017، یک آسیبپذیری بزرگ در برنامههای الکترونیک تلفنهای همراه در تعدادی از بانکهای معروف شناسایی شد که مشتریان دستگاههای iOS و Android را در معرض حملات مرد میانی (MITM) قرار میداد. این نقص امنیتی مربوط به فناوری Pin نمودن گواهینامه است که جهت جلوگیری از بکارگیری گواهینامههای جعلی مورد استفاده قرار میگیرد؛ راهکارهای امنیتی نیز نتوانستند در آن زمان مهاجمان را شناسایی کنند زیرا Pin کردن گواهینامه در هنگام اصالتسنجی نام Host را پنهان میکرد و در نهایت امکان اجرای حملات MITM را فراهم مینمود.
- حمله MITM به شبکههای وایفای عمومی در اروپا: در سال 2015، محققان امنیتی حملهای گسترده به شبکههای وایفای عمومی در فرودگاههای اروپایی کشف کردند. مهاجمان با ایجاد نقاط دسترسی جعلی (Evil Twin)، اطلاعات حساس کاربران را سرقت میکردند. اگرچه این حمله در سال 2015 کشف شد، اما همچنان در سال 2025 بهعنوان یک تهدید جدی باقی مانده است.
- حمله MITM به سیستمهای Quantum Cryptography: در فوریه 2025، مطالعهای نشان داد که پروتکلهای توزیع کلید کوانتومی (QKD) ممکن است در برابر حملات MITM آسیبپذیر باشند. این تحقیق بهویژه بر روی پروتکل BB84 تمرکز داشت و روشهایی برای مقابله با این حملات پیشنهاد کرد.
توصیه می شود برای مطالعه بیشتر در رابطه حملات مرد میانی، روشهای تشخیص و پیشگیری از آن مقاله زیر را مطالعه نمایید: روش های تشخیص و پیشگیری از حملات مرد میانی