什么是中间人攻击?
黑客截取数字享受的信息,通常作为窃听者或冒充他人。这种类型的攻击极其危险,因为它可能会导致许多风险,如信息窃取或虚假通信,这些通常很难发现,因为这种情况对合法用户来说似乎完全正常。
什么是中间人攻击?
当第三方在合法参与者不知情的情况下截取数字对话时,就会发生中间人攻击。这种对话可以发生在两个人类用户之间,一个人类用户和一个计算机系统之间,或者两个计算机系统之间。
在上述任何一种情况下,攻击者都可能只是窃听对话以获取信息(想想登录凭证、私人帐户信息等。),或者他们可能冒充其他用户来操纵对话。在后一种情况下,攻击者可能会发送虚假信息或* * *享受恶意链接,这可能会导致系统崩溃或为其他网络攻击打开大门。通常,合法用户直到损害已经造成很久之后才知道他们实际上在与非法第三方通信。
中间人攻击是会话劫持的一个例子。其他类型的会话劫持攻击包括跨站脚本、会话端劫持、会话固定和暴力攻击。
中间人攻击是如何工作的?
执行中间人攻击需要黑客获得访问用户连接的权限。最常见的方法之一是创建一个公共***wifi热点,附近的任何人都可以加入,无需密码。一旦用户加入这个网络,黑客可以访问他们所有的数字通信,甚至记录击键并充当中间人。
公共***wifi例子是发动中间人攻击最常见最简单的方式,但不是唯一的方式。其他常用方法包括:
将用户发送到虚假网站:黑客可以通过IP欺骗或DNS欺骗将用户发送到虚假网站,而不是他们预定的目的地。当黑客更改IP地址中的数据包报头时会发生IP欺骗,而当黑客获得对DNS服务器的访问权限并更改网站的DNS记录时会发生DNS欺骗。无论如何,用户最终都会进入一个黑客拥有的虚假网站(在那里他们可以捕捉到所有信息),尽管它看起来完全是真实的。
重新路由数据传输:黑客可以通过参与ARP欺骗来重新路由通信目的地。当黑客将他们的MAC地址连接到属于参与通信的合法用户之一的IP地址时,就会发生这种情况。一旦他们建立了连接,黑客就可以接收合法用户IP地址的任何数据。
在某些情况下,通信可能被公开暴露,但当数据被加密时,中间人攻击涉及另一个步骤,以便黑客可以读取信息。黑客可以通过以下方式尝试解密任何加密信息:
SSL劫持:黑客伪造认证密钥来建立看似合法和安全的会话。然而,由于黑客拥有这些密钥,他们实际上可以控制整个对话。
SSL BEAST:黑客瞄准SSL的一个漏洞,在用户设备上安装恶意软件,可以拦截旨在维护数字通信隐私和安全的加密cookie。
SSL剥离:黑客可以将一个更安全的HTTPS连接变成一个不太安全的HTTP连接,从而取消Web会话的加密,并暴露这些会话中的所有通信。
中间人攻击有哪些不同类型?
中间人攻击有多种类型,每种类型都可能对受害者产生不同的后果。常见的中间人攻击类型包括:
窃听情报
黑客可以在任何时候窥探对话,以获取他们以后会使用的信息。他们不一定需要以任何方式改变他们的通信,但如果他们可以访问* * * *享有的详细信息,他们就可以随时了解机密信息或获得登录凭据以供使用。
改变沟通方式
黑客可以利用SSL劫持等技术伪装成另一个用户来改变通信。例如,假设爱丽丝和鲍勃认为他们正在相互交流。在这种情况下,黑客可能会坐在谈话中间,改变发送给对方的消息。这种方法可以用来发送虚假信息,享受恶意链接,甚至拦截重要的细节,如用户发送银行账户和路由号码进行存款。
引导用户去虚假网站。
黑客可以将用户发送到与其预期目的地完全相同的虚假网站(常见的例子是网络钓鱼企图)。此设置允许他们捕获用户为合法网站提交的任何信息,如登录凭据或帐户详细信息。相反,黑客可以使用这些信息在实际网站上冒充用户来访问财务信息、更改详细信息,甚至发送虚假消息。
中间人攻击的潜在风险是什么?
中间人攻击会导致各种负面后果。事实上,中间人攻击通常是黑客发动更大、更有影响力的攻击的敲门砖。考虑到这一点,中间人攻击的一些最大潜在风险包括:
欺诈交易
中间人攻击可能会导致欺诈性交易,如窃听以收集登录和帐户信息或重新路由转账。在大多数情况下,这适用于直接来自银行或通过信用卡支付的金融交易。
失窃的机密信息
捕获用户的登录凭证,将其发送到虚假网站,甚至只是窃听电子邮件,都可能导致机密信息被窃取。对于保护知识产权或收集客户健康记录或社会安全号码等敏感数据的大型组织来说,这尤其令人担忧。随着越来越多的隐私立法的出现,要求各种企业保护其客户的信息也是一个问题。
访问其他系统
通过中间人攻击窃取用户的登录凭证也可以让黑客访问任意数量的其他系统。这意味着,即使只有一个系统易受攻击,其他更安全的系统也可能更易受攻击。一般来说,这种情况要求组织的安全团队确保没有薄弱环节,无论任何给定的连接点看起来多么微不足道。
通过恶意软件的广泛攻击
黑客可以利用中间人攻击与用户共享恶意软件。反过来,这种恶意软件可能会导致广泛的攻击,例如破坏整个系统或提供对信息或系统的持续访问以实施长期攻击的攻击。
中间人攻击是如何演变的?
两种趋势导致中间人攻击的演变,并因此增加了组织的风险。
首先是移动和分布式工作环境的兴起,这最终意味着更多的人通过公共***wifi网络进行连接(用于个人和商业目的)。这种情况越常见,黑客通过这些不安全的连接获得访问的机会就越多。
其次,对于未来的组织来说,最担心的是物联网(IoT)设备和机器的身份增加。物联网设备不仅需要不同类型的安全,还会产生更多需要认证的连接点和身份。如果没有适当的保护,这些机器将为黑客创造各种接入点,其中许多看起来是无辜的(即HVAC单元)。无论它们看起来多么普通,所有这些机器都需要强大的安全性,例如加密和定期更新,以确保它们符合最新的安全协议,以避免使它们容易受到中间人攻击。
中间人攻击的真实例子有哪些?
不幸的是,中间人攻击非常普遍。最近此类攻击的一些最著名的例子包括:
欧洲的企业银行账户盗窃
2015年,欧洲当局逮捕了49名嫌疑人,他们涉嫌利用中间人技术在整个欧洲实施一系列银行账户盗窃。该组织通过访问公司电子邮件账户,监控通信以监控支付请求,然后将这些交易转到他们自己的账户,从欧洲公司窃取了约600万欧元。这种攻击包括网络钓鱼企图和建立看起来像真的假网站。
移动银行应用程序中使用了有缺陷的证书
2017年,研究人员发现各大银行(包括汇丰银行、NatWest、Co-op、桑坦德银行和Allied IrishBank)的移动应用中使用的证书修复技术存在缺陷。这一缺陷意味着,与合法用户在同一网络上的黑客可以通过不正确地验证应用程序的主机名来访问用户名、密码和PIN等登录凭据,而不会被检测到。
通过这种类型的访问,黑客可以执行中间人攻击来查看和收集信息,代表合法用户采取行动,甚至在应用程序中发起网络钓鱼攻击。有趣的是,在这种情况下提供访问的弱点源于处理证书管理不当的过程,这实际上是为了提高安全性。
Equifax域安全失败
2017年,美国最大的征信机构之一Equifax成为中间人攻击的受害者,导致超过65438+亿消费者的个人身份信用信息通过不安全的域连接被窃取。该攻击始于Equifax未能修复其使用的开发框架中的一个漏洞,该漏洞允许黑客将恶意代码嵌入HTTP请求中。从那里,黑客可以访问内部系统,窃听用户的活动,收集各种信息长达数月。
如何防范中间人攻击?
中间人攻击仍然非常普遍,因此对用户和组织的安全构成了严重威胁。虽然这些攻击非常具有威胁性,但是您组织的安全团队和您的用户可以采取几个步骤来防止这些风险。最佳保护措施包括:
(1)注意连接点
黑客获得中间人攻击的最常见方式之一是通过不安全的连接点,如公共***wifi。因此,用户必须格外小心连接点。这意味着避免使用公共***wifi(如果系统连接的是公共网络,当然不要登录任何系统),使用VPN加密网络连接。
(2)让用户了解网络钓鱼企图。
网络钓鱼企图是中间人攻击的另一个常见切入点,最好的企图可能非常有说服力。教育用户了解这些攻击及其演变可以极大地帮助他们发现攻击企图,避免成为攻击的受害者。
(3)通过键入URL而不是单击链接来导航到网站。
最佳做法是通过键入URL而不是单击链接来导航到网站,这有助于防止成功的网络钓鱼和其他常见策略通过将用户发送到虚假网站或嵌入恶意软件来发起中间人攻击。这样做可以防止黑客发送稍加修改的链接,从而为攻击打开方便之门。
(4)经常使用HTTPS验证网站的合法性和安全性。
当用户输入网站的URL地址时,他们还应该包括HTTPS,并确保他们访问的任何网站都具有此安全级别。检查HTTPS协议似乎很简单,但它可以在* * *享受敏感信息之前极大地帮助验证网站的合法性和安全性。
(5)对用户进行正常登录流程的教育。
最近的几起中间人攻击要求用户完成登录网站的步骤,这些步骤实际上不是正常登录过程的一部分,尽管它们看起来完全合法。教育用户在正常登录过程中做什么和不做什么可以帮助他们更容易地识别异常情况。
(6)了解用户的正常登录习惯
在安全团队方面,了解用户的正常登录习惯有助于更容易地标记任何异常模式。例如,如果大多数用户倾向于在工作日登录,但周末活动突然激增,这可能令人担忧,需要进一步调查。
(7)尽可能使用多因素认证。
要求用户使用多因素身份验证登录可以提供针对中间人攻击的另一层保护,这样即使黑客试图获得用户名/密码组合,他们也无法在没有其他形式的身份验证(例如,通过SMS发送的代码)的情况下进入帐户。
虽然这种两层方法并不是无懈可击的,因为最近有一些中间人攻击穿过了这两层,但它确实提供了更多的保护。
(8)完成后退出安全会话。
强制用户在完成安全会话后注销是很重要的,因为关闭会话将会终止任何合法和非法来源对它的访问。换句话说,会话打开的时间越长,黑客通过多种方式访问它的风险就越大。
(9)优先考虑PKI,尤其是越来越多的机器身份。
最后,一个强大的PKI程序对于验证用户(人和机器)之间的连接和加密他们的通信是非常重要的。PKI的最佳实践需要一个高度敏捷的系统,它能够跟上快速增长的身份数量,全面一致地应用安全标准,并定期更新加密密钥,以避免密钥扩散等风险。