黑客截取數字享受的信息,通常作為竊聽者或冒充他人。這種類型的攻擊極其危險,因為它可能會導致許多風險,如信息竊取或虛假通信,這些通常很難發現,因為這種情況對合法用戶來說似乎完全正常。
什麽是中間人攻擊?
當第三方在合法參與者不知情的情況下截取數字對話時,就會發生中間人攻擊。這種對話可以發生在兩個人類用戶之間,壹個人類用戶和壹個計算機系統之間,或者兩個計算機系統之間。
在上述任何壹種情況下,攻擊者都可能只是竊聽對話以獲取信息(想想登錄憑證、私人帳戶信息等。),或者他們可能冒充其他用戶來操縱對話。在後壹種情況下,攻擊者可能會發送虛假信息或* * *享受惡意鏈接,這可能會導致系統崩潰或為其他網絡攻擊打開大門。通常,合法用戶直到損害已經造成很久之後才知道他們實際上在與非法第三方通信。
中間人攻擊是會話劫持的壹個例子。其他類型的會話劫持攻擊包括跨站腳本、會話端劫持、會話固定和暴力攻擊。
中間人攻擊是如何工作的?
執行中間人攻擊需要黑客獲得訪問用戶連接的權限。最常見的方法之壹是創建壹個公共***wifi熱點,附近的任何人都可以加入,無需密碼。壹旦用戶加入這個網絡,黑客可以訪問他們所有的數字通信,甚至記錄擊鍵並充當中間人。
公共***wifi例子是發動中間人攻擊最常見最簡單的方式,但不是唯壹的方式。其他常用方法包括:
將用戶發送到虛假網站:黑客可以通過IP欺騙或DNS欺騙將用戶發送到虛假網站,而不是他們預定的目的地。當黑客更改IP地址中的數據包報頭時會發生IP欺騙,而當黑客獲得對DNS服務器的訪問權限並更改網站的DNS記錄時會發生DNS欺騙。無論如何,用戶最終都會進入壹個黑客擁有的虛假網站(在那裏他們可以捕捉到所有信息),盡管它看起來完全是真實的。
重新路由數據傳輸:黑客可以通過參與ARP欺騙來重新路由通信目的地。當黑客將他們的MAC地址連接到屬於參與通信的合法用戶之壹的IP地址時,就會發生這種情況。壹旦他們建立了連接,黑客就可以接收合法用戶IP地址的任何數據。
在某些情況下,通信可能被公開暴露,但當數據被加密時,中間人攻擊涉及另壹個步驟,以便黑客可以讀取信息。黑客可以通過以下方式嘗試解密任何加密信息:
SSL劫持:黑客偽造認證密鑰來建立看似合法和安全的會話。然而,由於黑客擁有這些密鑰,他們實際上可以控制整個對話。
SSL BEAST:黑客瞄準SSL的壹個漏洞,在用戶設備上安裝惡意軟件,可以攔截旨在維護數字通信隱私和安全的加密cookie。
SSL剝離:黑客可以將壹個更安全的HTTPS連接變成壹個不太安全的HTTP連接,從而取消Web會話的加密,並暴露這些會話中的所有通信。
中間人攻擊有哪些不同類型?
中間人攻擊有多種類型,每種類型都可能對受害者產生不同的後果。常見的中間人攻擊類型包括:
竊聽情報
黑客可以在任何時候窺探對話,以獲取他們以後會使用的信息。他們不壹定需要以任何方式改變他們的通信,但如果他們可以訪問* * * *享有的詳細信息,他們就可以隨時了解機密信息或獲得登錄憑據以供使用。
改變溝通方式
黑客可以利用SSL劫持等技術偽裝成另壹個用戶來改變通信。例如,假設愛麗絲和鮑勃認為他們正在相互交流。在這種情況下,黑客可能會坐在談話中間,改變發送給對方的消息。這種方法可以用來發送虛假信息,享受惡意鏈接,甚至攔截重要的細節,如用戶發送銀行賬戶和路由號碼進行存款。
引導用戶去虛假網站。
黑客可以將用戶發送到與其預期目的地完全相同的虛假網站(常見的例子是網絡釣魚企圖)。此設置允許他們捕獲用戶為合法網站提交的任何信息,如登錄憑據或帳戶詳細信息。相反,黑客可以使用這些信息在實際網站上冒充用戶來訪問財務信息、更改詳細信息,甚至發送虛假消息。
中間人攻擊的潛在風險是什麽?
中間人攻擊會導致各種負面後果。事實上,中間人攻擊通常是黑客發動更大、更有影響力的攻擊的敲門磚。考慮到這壹點,中間人攻擊的壹些最大潛在風險包括:
欺詐交易
中間人攻擊可能會導致欺詐性交易,如竊聽以收集登錄和帳戶信息或重新路由轉賬。在大多數情況下,這適用於直接來自銀行或通過信用卡支付的金融交易。
失竊的機密信息
捕獲用戶的登錄憑證,將其發送到虛假網站,甚至只是竊聽電子郵件,都可能導致機密信息被竊取。對於保護知識產權或收集客戶健康記錄或社會安全號碼等敏感數據的大型組織來說,這尤其令人擔憂。隨著越來越多的隱私立法的出現,要求各種企業保護其客戶的信息也是壹個問題。
訪問其他系統
通過中間人攻擊竊取用戶的登錄憑證也可以讓黑客訪問任意數量的其他系統。這意味著,即使只有壹個系統易受攻擊,其他更安全的系統也可能更易受攻擊。壹般來說,這種情況要求組織的安全團隊確保沒有薄弱環節,無論任何給定的連接點看起來多麽微不足道。
通過惡意軟件的廣泛攻擊
黑客可以利用中間人攻擊與用戶共享惡意軟件。反過來,這種惡意軟件可能會導致廣泛的攻擊,例如破壞整個系統或提供對信息或系統的持續訪問以實施長期攻擊的攻擊。
中間人攻擊是如何演變的?
兩種趨勢導致中間人攻擊的演變,並因此增加了組織的風險。
首先是移動和分布式工作環境的興起,這最終意味著更多的人通過公共***wifi網絡進行連接(用於個人和商業目的)。這種情況越常見,黑客通過這些不安全的連接獲得訪問的機會就越多。
其次,對於未來的組織來說,最擔心的是物聯網(IoT)設備和機器的身份增加。物聯網設備不僅需要不同類型的安全,還會產生更多需要認證的連接點和身份。如果沒有適當的保護,這些機器將為黑客創造各種接入點,其中許多看起來是無辜的(即HVAC單元)。無論它們看起來多麽普通,所有這些機器都需要強大的安全性,例如加密和定期更新,以確保它們符合最新的安全協議,以避免使它們容易受到中間人攻擊。
中間人攻擊的真實例子有哪些?
不幸的是,中間人攻擊非常普遍。最近此類攻擊的壹些最著名的例子包括:
歐洲的企業銀行賬戶盜竊
2015年,歐洲當局逮捕了49名嫌疑人,他們涉嫌利用中間人技術在整個歐洲實施壹系列銀行賬戶盜竊。該組織通過訪問公司電子郵件賬戶,監控通信以監控支付請求,然後將這些交易轉到他們自己的賬戶,從歐洲公司竊取了約600萬歐元。這種攻擊包括網絡釣魚企圖和建立看起來像真的假網站。
移動銀行應用程序中使用了有缺陷的證書
2017年,研究人員發現各大銀行(包括匯豐銀行、NatWest、Co-op、桑坦德銀行和Allied IrishBank)的移動應用中使用的證書修復技術存在缺陷。這壹缺陷意味著,與合法用戶在同壹網絡上的黑客可以通過不正確地驗證應用程序的主機名來訪問用戶名、密碼和PIN等登錄憑據,而不會被檢測到。
通過這種類型的訪問,黑客可以執行中間人攻擊來查看和收集信息,代表合法用戶采取行動,甚至在應用程序中發起網絡釣魚攻擊。有趣的是,在這種情況下提供訪問的弱點源於處理證書管理不當的過程,這實際上是為了提高安全性。
Equifax域安全失敗
2017年,美國最大的征信機構之壹Equifax成為中間人攻擊的受害者,導致超過65438+億消費者的個人身份信用信息通過不安全的域連接被竊取。該攻擊始於Equifax未能修復其使用的開發框架中的壹個漏洞,該漏洞允許黑客將惡意代碼嵌入HTTP請求中。從那裏,黑客可以訪問內部系統,竊聽用戶的活動,收集各種信息長達數月。
如何防範中間人攻擊?
中間人攻擊仍然非常普遍,因此對用戶和組織的安全構成了嚴重威脅。雖然這些攻擊非常具有威脅性,但是您組織的安全團隊和您的用戶可以采取幾個步驟來防止這些風險。最佳保護措施包括:
(1)註意連接點
黑客獲得中間人攻擊的最常見方式之壹是通過不安全的連接點,如公共***wifi。因此,用戶必須格外小心連接點。這意味著避免使用公共***wifi(如果系統連接的是公共網絡,當然不要登錄任何系統),使用VPN加密網絡連接。
(2)讓用戶了解網絡釣魚企圖。
網絡釣魚企圖是中間人攻擊的另壹個常見切入點,最好的企圖可能非常有說服力。教育用戶了解這些攻擊及其演變可以極大地幫助他們發現攻擊企圖,避免成為攻擊的受害者。
(3)通過鍵入URL而不是單擊鏈接來導航到網站。
最佳做法是通過鍵入URL而不是單擊鏈接來導航到網站,這有助於防止成功的網絡釣魚和其他常見策略通過將用戶發送到虛假網站或嵌入惡意軟件來發起中間人攻擊。這樣做可以防止黑客發送稍加修改的鏈接,從而為攻擊打開方便之門。
(4)經常使用HTTPS驗證網站的合法性和安全性。
當用戶輸入網站的URL地址時,他們還應該包括HTTPS,並確保他們訪問的任何網站都具有此安全級別。檢查HTTPS協議似乎很簡單,但它可以在* * *享受敏感信息之前極大地幫助驗證網站的合法性和安全性。
(5)對用戶進行正常登錄流程的教育。
最近的幾起中間人攻擊要求用戶完成登錄網站的步驟,這些步驟實際上不是正常登錄過程的壹部分,盡管它們看起來完全合法。教育用戶在正常登錄過程中做什麽和不做什麽可以幫助他們更容易地識別異常情況。
(6)了解用戶的正常登錄習慣
在安全團隊方面,了解用戶的正常登錄習慣有助於更容易地標記任何異常模式。例如,如果大多數用戶傾向於在工作日登錄,但周末活動突然激增,這可能令人擔憂,需要進壹步調查。
(7)盡可能使用多因素認證。
要求用戶使用多因素身份驗證登錄可以提供針對中間人攻擊的另壹層保護,這樣即使黑客試圖獲得用戶名/密碼組合,他們也無法在沒有其他形式的身份驗證(例如,通過SMS發送的代碼)的情況下進入帳戶。
雖然這種兩層方法並不是無懈可擊的,因為最近有壹些中間人攻擊穿過了這兩層,但它確實提供了更多的保護。
(8)完成後退出安全會話。
強制用戶在完成安全會話後註銷是很重要的,因為關閉會話將會終止任何合法和非法來源對它的訪問。換句話說,會話打開的時間越長,黑客通過多種方式訪問它的風險就越大。
(9)優先考慮PKI,尤其是越來越多的機器身份。
最後,壹個強大的PKI程序對於驗證用戶(人和機器)之間的連接和加密他們的通信是非常重要的。PKI的最佳實踐需要壹個高度敏捷的系統,它能夠跟上快速增長的身份數量,全面壹致地應用安全標準,並定期更新加密密鑰,以避免密鑰擴散等風險。