Man-in-the-middle (MITM) to niebezpieczna forma cyberataku, w którym osoba trzecia przechwytuje i manipuluje komunikacją między stronami bez ich wiedzy, aby wykraść lub zmodyfikować ważne informacje. Ataki tego rodzaju są poważnym zagrożeniem dla prywatności i bezpieczeństwa. Można im jednak zapobiegać, konsekwentnie przestrzegając kilku zasad.
Ataki man-in-the-middle mogą przybierać bardzo różne formy. Najpopularniejsze z nich polegają na przejęciu poczty e-mail, podszywaniu się pod nazwy domen (DNS) i adresy IP, przejęciu kontroli nad SSL, kradzieży plików cookie's przeglądarki czy session hijacking, czyli przejęciu sesji internetowej.
Podczas niektórych ataków mogą być wykorzystywane boty generujące wiadomości tekstowe czy naśladujące głos osoby podczas rozmowy telefonicznej, w celu pobrania z urządzeń istotnych informacji. MITM jest wyjątkowo niebezpieczny, ponieważ żadna ze stron wysyłających e-maile, wiadomości SMS lub rozmawiających na czacie podczas połączenia wideo nie jest świadoma, że ktoś jeszcze włączył się do rozmowy i właśnie kradnie ich dane.
Ataków Man-in-the-Middle najczęściej doświadczają banki i ich aplikacje, firmy z sektora finansowego, systemy opieki zdrowotnej oraz przedsiębiorstwa obsługujące przemysłowe sieci urządzeń, które komunikują się ze sobą za pomocą protokołów Internetu Rzeczy (IoT).
"Atak MITM może być wymierzony w dowolną firmę, organizację lub osobę, jeśli cyberprzestepcy uznają, że istnieje tam szansa na osiągnięcie korzyści finansowych. Skradzione informacje lub wrażliwe dane sprzedawane są w darknecie za kilka dolarów za rekord. Na pierwszy rzut oka może to nie wydawać się dużo, dopóki nie zdamy sobie sprawy, że podczas pojedynczego przypadku naruszenia danych mogą zostać skradzione miliony rekordów" - mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Jak działa atak typu Man-in-the-Middle?
MITM polega na wykorzystaniu luk w protokołach bezpieczeństwa sieci, stron internetowych lub przeglądarek w celu przekierowania legalnego ruchu i kradzieży informacji od ofiar. Niezależnie od konkretnych technik, atak zawsze przebiega w następujący sposób: osoba A wysyła osobie B wiadomość, atakujący przechwytuje ją bez wiedzy osób A i B, a następnie zmienia treść wiadomości lub całkowicie ją usuwa. Ataki Man-in-the-Middle stoją za największymi masowymi naruszeniami danych, takimi jak atak na Cognyte przeprowadzony w 2021 r. (5 miliardów skradzionych rekordów), platformę streamingową Twitch (5 miliardów rekordów), Linkedin (700 milionów rekordów) czy Facebook (553 miliony rekordów).
Jednym z najsłynniejszych przykładów MITM jest ujawnienie w 2013 r. przez Edwarda Snowdena informacji o programie PRISM, który polegał na masowym podsłuchiwaniu rozmów Amerykanów i obywateli innych krajów, prowadzonych poprzez VoIP i Internet. W celu nielegalnego szpiegowania ludzi NSA (National Security Administration) podszywała się pod Google i przechwytywała cały ruch, fałszując również certyfikaty szyfrowania SSL.
Jak wykryć atak typu MITM?
O tym, że trwa właśnie atak może świadczyć nietypowe lub powtarzające się rozłączenia z usługą. Cyberprzestępcy szukają jak największej liczby okazji do wyłudzenia nazw użytkowników i haseł, a wielokrotne ich wpisywanie ułatwia im to zadanie.
Należy również uważać na podejrzane adresy URL. Chociaż fałszywe strony internetowe potrafią do złudzenia przypominać zaufane, to adres złośliwej witryny różni się od prawdziwego. Dlatego użytkownicy zawsze, a zwłaszcza w przypadku wszelkich transakcji finansowych, powinni dokładnie sprawdzać adres URL.
"Kolejna kwestia, która powinna wzbudzić czujność, to korzystanie z publicznych, niezabezpieczonych sieci Wi-Fi. Należy unikać ich zwłaszcza w nieznanych, nieodwiedzanych wcześniej miejscach, typu restauracje, lotniska czy inne obiekty użyteczności publicznej. Nawet jeśli użytkownicy nie wykonują w takiej sieci transakcji bankowych lub działań związanych z poufnymi danymi, to cyberprzestępca może wysyłać złośliwy kod do urządzenia, np. w celu przechwytywania wysyłanych wiadomości" - mówi Robert Dąbrowski.
Dobre praktyki przeciwko MITM
Ekspert Fortinet podkreśla, że ataki Man-in-the-Middle są poważnym zagrożeniem dla wszystkich przedsiębiorstw i to niezależnie od ich wielkości. Organizacje: SCORE i SBA, które zapewniają przedsiębiorcom bezpłatny mentoring, w przeszłości oszacowały, że ok. 43% wszystkich ataków ukierunkowanych jest w sektor małych i średnich firm, ponieważ zwykle są one gorzej zabezpieczone. Z kolei Business News Daily poinformował, że straty spowodowane cyberatakami na małe firmy wyniosły średnio 55 tysięcy USD.
Każda firma powinna zatem stosować dobre praktyki w zakresie cyberbezpieczeństwa, które pozwolą jej uchronić się przed naruszeniami danych w wyniku ataku MITM. Należą do nich przede wszystkim: aktualizacja i zabezpieczenie domowych routerów Wi-Fi, korzystanie z VPN czy stosowanie tam, gdzie to możliwe szyfrowania end-to-end.
Źródło: Fortinet