ترفند امنیت جلوی استراق سمع داده های خود در حمله مرد میانی را بگیرید
فیکس سرور: مهاجمان با بهره گیری از حملات مرد میانی در راه اشتراک گذاری داده بین وب سایت و دستگاه کاربر، دست به استراق سمع و دستکاری اطلاعات می زنند.
به گزارش گروه علم و پیشرفت خبرگزاری فارس به نقل از آی تی گاورننس، به با تبدیل شدن امنیت سایبری به نگرانی فزاینده سازمان ها و افراد، امکان دارد با مفهوم حملات MITM (حمله مرد میانی) برخورد کرده باشید.
حمله مرد میانی چیست؟
حملات مرد میانی یا Man-in-the-Middle که به اختصار MITM گفته می شود، از نحوه به اشتراک گذاری داده ها بین یک وبسایت و دستگاه کاربر (چه کامپیوتر، تلفن یا تبلت) سوء استفاده می نماید.
هنگامی که از یک وبسایت بازدید می کنید، دستگاه شما دستورالعملی را از راه یک روتر اینترنتی ارسال می کند که سپس به سرور وبسایت هدایت می شود. سرور دستورالعمل را تأیید و تکمیل می کند و اطلاعات را از راه روتر به دستگاه کاربر ارسال می کند.
این فرایند آنقدر سریع اتفاق می افتد که خیلی از ما نمی دانیم که چقدر پیچیده است و این چیزی است که به مهاجمان MITM اجازه حمله می دهد.
مهاجمان با استفاده از چندین تکنیک (که در زیر توضیح می دهیم)، روتر را به خطر می اندازند و به آنها اجازه می دهد تا داده ها را در زمان واقعی در جریان بین کامپیوتر قربانی و سرور رهگیری کنند.
این به آنها امکان می دهد چیزهایی را که به اشتراک گذاشته می شود استراق سمع کنند و در بعضی موارد، آنها را دستکاری کنند. این شامل توانایی هدایت کاربران به یک وبسایت دیگر یا جعل آدرس وب مقصد است.
نحوه عملکرد حملات مرد میانی
این حملات به احتمال زیاد در وای فای عمومی رخ می دهند برای اینکه به صورت کلی اتصالات اینترنتی از امنیت کمتری نسبت به روترهای خانگی برخوردار می باشند.
این یک ضعف امنیتی نیست بلکه بخشی از طراحی آن است. وای فای عمومی جهت استفاده هر کسی در مجاورت در نظر گرفته شده است. به صورت طبیعی، از امنیت کمتری نسبت به شبکه خانگی یا اداری برخوردار خواهد بود، که حاوی محافظت هایی است که اطمینان می دهد فقط افراد مجاز می توانند به آن متصل شوند.
اما جنایتکاران چگونه در وسط این ماجرا قرار می گیرند؟
اولین گام اینست که روتر اینترنت را به خطر بیندازند، این کار را می توانند با ابزارهایی انجام دهند که نقص های اصلاح نشده یا لطمه پذیری های دیگر را اسکن می کنند. سپس، با استفاده از روشهای فنی مختلف، داده های ارسال شده قربانی را رهگیری و رمزگشایی می کنند.
یک روش sniffing یا شنود است، که در آن مهاجمان ابزارهایی رابرای نظارت و بازرسی بسته های داده مستقر می کنند. اینها می توانند اطلاعات رمزگذاری نشده، مانند رمز عبور و نام کاربری را رهگیری کنند.
مهاجمان همینطور امکان دارد تزریق بسته را انجام دهند، که در آن بسته های مخرب در جریان های ارتباطی داده قرار می گیرند تا توانایی قربانیان جهت استفاده از سرویس ها یا پروتکلهای شبکه خاص را مختل کنند.
نسخه مشابه این حمله، ربودن نشست (یا ربودن کوکی) است. مجرم برای شناسایی نشانه نشست قربانی، ترافیک حساس را بو می کشد. با این اطلاعات، مهاجم از بسته های IP مسیریابی شده برای رهگیری داده هایی که از کامپیوتر قربانی به سرور منتقل می شوند استفاده می نماید و طوری درخواست می کند که انگار خود کاربر است.
در نهایت، مجرمان سایبری که اهتمام در رهگیری ترافیک از یک وبسایت HTTPS دارند، امکان دارد یک حمله SSL Strip انجام دهند. این شامل رهگیری بسته ها و تغییر آدرس آنها برای هدایت قربانی به معادل کمتر امن HTTP است. صفحات HTTP هنگام اشتراک گذاری اطلاعات را رمزگذاری نمی کنند، به این مفهوم که مهاجم می تواند اطلاعات را بشنود و تزریق بسته را انجام دهد.
انواع حمله مرد میانی
حملات مرد میانی می توانند اشکال مختلفی داشته باشند، اما بعضی از رایج ترین آنها عبارتند از:
جعل IP
هر دستگاهی که به اینترنت متصل می شود این کار را از راه یک آدرس IP انجام می دهد، که شماره ای است که بر مبنای موقعیت فیزیکی شما به دستگاه شما اختصاص داده می شود. هکرها با جعل یک آدرس IP، می توانند شما را فریب دهند تا فکر کنید درحال تعامل با وبسایت یا شخصی هستید که می خواهید با آن تماس بگیرید.
جعل ARP
ARP (پروتکل تفکیک آدرس) فرآیندی است که ارتباطات شبکه را قادر می سازد به یک دستگاه خاص در شبکه دسترسی پیدا کند. در واقع ARP یک پیام را به تمام دستگاههای موجود در شبکه محلی خود ارسال و آدرس MAC را به وسیله IP معتبر درخواست می کند. در نتیجه، هر داده ای که کاربر به آدرس IP میزبان ارسال می کند، در عوض به مهاجم هدایت می شود.
جعل DNS
این روش حمله، از رکوردهای تغییر یافته DNS (سرور نام دامنه) برای ارسال ترافیک به یک وبسایت جعلی استفاده می نماید. این وبسایت ها معمولا شبیه سایت واقعی هستند، به این مفهوم که بازدیدکنندگان متوجه آن نمی شوند. سپس سایت از آنها می خواهد که جزئیات ورود خویش را عرضه کنند و به مهاجم این فرصت را می دهد تا اعتبار دسترسی را حذف کند.
جعل HTTPS
یک قانون کلی برای دانستن واقعی بودن یک وبسایت اینست که یک نماد قفل سبز در کنار آن وجود داشته باشد و به جای صرفا «http: //» با «https: //» شروع شود. «s» اضافی مخفف « secure» به معنای امن است، که نشان داده است که ارتباط بین شما و سرور رمزگذاری شده است و ازاین رو نمی توان آنرا هک کرد.
متأسفانه مهاجمان راهی برای دور زدن این مورد بوجود آورده اند. آنها وبسایت خویش را ایجاد می کنند که شبیه به سایتی است که می خواهید به آن دسترسی پیدا کنید، اما با URL کمی متفاوت. بعنوان مثال، یک حرف کوچک امکان دارد به یک حرف بزرگ تبدیل گردد. هنگامی که قربانیان تلاش می کنند به سایت قانونی دسترسی پیدا کنند، مهاجم آنها را به سایت خود هدایت می کند، جایی که می توانند اطلاعات را حذف نمایند.
مهاجمان معمولا این کار را برای سرقت اطلاعات ورود به ایمیل و حساب های وبسایت انجام می دهند که می توانند از آن برای انجام حملات هدفمند مانند ایمیل های فیشینگ استفاده نمایند. اما اگر مهاجم خوش شانس باشد، قربانی ناخواسته به درگاه بانک آنلاین خود مراجعه نموده و اطلاعات حساب خویش را تحویل می دهد.
ربودن ایمیل
مجرمان سایبری اغلب ایمیل های بین بانکها و مشتریان را با هدف جعل آدرس ایمیل بانک و ارسال دستورالعمل های خود هدف قرار می دهند. این یک ترفند برای واداشتن قربانی به عرضه اطلاعات کاربری و جزئیات کارت پرداخت است.
شنود وای فای
مهاجمان ممکن نقطه اتصال اینترنتی خویش را راه اندازی کنند و نامی نامشخص برای آن بگذارند: مانند «Café Wi-Fi». تنها کاری که آنها باید انجام دهند اینست که منتظر بمانند تا قربانی متصل شود، در این مرحله آنها می توانند فعالیت اینترنتی فرد را استراق سمع کنند.
چگونه می توانید حملات مرد میانی را تشخیص دهید؟
شناسایی حملات مرد میانی می تواند چالش برانگیز باشد. راه های تشخیص این که قربانی یک حمله شده اید عبارتند از:
به دنبال ارتباط غیرمنتظره باشید: اگر متوجه چیزهای عجیب یا غیرمنتظره ای در مورد پیام هایی که دریافت می کنید (مثلاً محتوا یا زمان آنها) شدید، این می تواند نشان دهنده ارتباط شما با یک مهاجم باشد.
اسکن ترافیک شبکه: ابزارهای نظارت بر شبکه و تحلیل و بررسی بسته ها مانند tcpdump و Wireshark می توانند به جستجوی ناهنجاری ها در ترافیک کمک کنند.
تأیید گواهی های SSL/TLS: بررسی گواهی های SSL و سایر پروتکلهای احراز هویت می تواند تأیید کند که کاربران با موجودیت صحیح ارتباط برقرار می کنند.
نصب نرم افزار ضد بدافزار: نرم افزارهای ضد بدافزار و آنتی ویروس می توانند به شناسایی وجود برنامه ها و کدهای غیر مجاز که توسط مهاجم MITM تزریق شده کمک کنند.
چگونه از حملات مرد میانی جلوگیری کنیم؟
بهتر است از داده های تلفن همراه خود به جای وای فای عمومی استفاده کنید. اگر همچنان می خواهید از لپ تاپ خود استفاده کنید، از تلفن همراه بعنوان یک هات اسپات بی سیم استفاده کنید. با این وجود، هنگام انجام این کار باید کنترل های امنیتی مناسب را اعمال کنید تا فقط شما به شبکه متصل شوید.
اگر استفاده از داده تلفن امکان ذیر نیست در اینجا چند مرحله دیگر وجود دارد که می توانید برای حفاظت از خود انجام دهید:
از VPN استفاده کنید
شبکه خصوصی مجازی یا VPN، آدرس IP شما را با بازگرداندن آن از راه یک سرور خصوصی پنهان می کند.
VPN ها همینطور داده ها را هنگام انتقال از راه اینترنت رمزگذاری می کنند. این شما را در مقابل حملات مرد میانی غیرقابل نفوذ نمی کند، اما کار کلاهبرداران را خیلی سخت تر می کند و احتمالا موجب می شود که آنها به دنبال هدف آسان تری باشند.
فقط از وبسایت های امن دیدن کنید
همانند VPN ها، وبسایت های HTTPS داده ها را رمزگذاری می کنند و از رهگیری ارتباطات توسط مهاجمان جلوگیری می کنند.
اگرچه این امکان برای مجرمان وجود دارد که با جعل HTTPS یا حذف SSL این حفاظت ها را دور بزنند، اما می توانید تلاشهای آنها را با کمی تلاش خنثی کنید. بعنوان مثال، می توانید با تایپ دستی آدرس وب به جای تکیه بر پیوندها، از جعل HTTPS جلوگیری کنید. به همین ترتیب، می توانید با بررسی این که آیا آدرس وب واقعاً با «https: //» آغاز می شود یا دارای نماد قفل است که نشان دهنده امن بودن آن است، حذف SSL را تشخیص دهید.
مهاجم مرد میانی می تواند شما را از یک سایت امن به یک سایت ناامن هدایت کند، اما اگر نوار آدرس را بررسی کنید مشخص می شود که این اتفاق افتاده است.
اعمال پسورد های قوی و احراز هویت چند عاملی: خیلی از حملات مرد میانی زمانی رخ می دهند که مهاجم بتواند دفاعیات یک سیستم را نقض و هویت یک کاربر قانونی را جعل کند. اجبار کاربران به داشتن رمزهای عبور قوی و استفاده از احراز هویت چند عاملی برای تأیید هویت خود، اتخاذ این رویکرد را برای مهاجمان بسیار دشوارتر می کند.
مراقب کلاهبرداری های فیشینگ باشید
مهاجمان امکان دارد از جعل HTTPS یا سرقت ایمیل برای ایجاد ایمیل های فیشینگ سفارشی استفاده نمایند.
خبر خوب اینست که اگر بتوانید نشانه های کلاهبرداری فیشینگ را تشخیص دهید، می توانید از خود در مقابل هر تکنیکی که مهاجمان استفاده می نمایند محافظت کنید.
برای مبارزه با این تهدید، سازمان ها باید کارکنان خویش را در مورد تهدید فیشینگ آموزش دهند. در اینجا بیشتر در مورد این حمله بخوانید.
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب