Число случаев кибер-атак постоянно растет. Необходимость в обучении кибербезопасности как никогда высока. Тем не менее, сегодня только 20,7% веб-сайтов используют HTTP Strict Transport Security. Большинство веб-сайтов остаются уязвимыми для целого ряда кибер-атак, таких как атака “человек посередине” (MITM). Атаки MITM позволяют злоумышленникам подслушивать обмен данными между пользователем и приложением, создавая при этом видимость того, что обмен данными происходит должным образом. Целью MITM-атаки является сбор ценной информации, которая может включать ваши пароли или данные кредитных карт. Ваша информация может быть использована для ряда незаконных действий, таких как инициирование несанкционированного перевода средств и кража личных данных.
Как работает атака “человек посередине”?
Когда вы хотите открыть веб-страницу, вы вводите URL-адрес и нажимаете Enter. Однако при этом на задней стороне происходит ряд других процессов. Ваше устройство отправляет команду на сервер веб-сайта через маршрутизатор, а сервер отвечает соответствующей информацией и отправляет ее на ваше устройство через маршрутизатор.
Этот процесс позволяет злоумышленникам MITM украсть вашу информацию. В некоторых случаях злоумышленники могут даже манипулировать информацией. Например, злоумышленник может перенаправить вас на другую веб-страницу, созданную для сбора вашей информации. Общественный Wi-Fi более уязвим для MITM-атак, чем ваш домашний маршрутизатор. Открытая сеть по своей сути менее безопасна, поскольку она должна предоставлять доступ всем, кто находится в зоне ее действия, в отличие от вашего домашнего маршрутизатора, который ограничивает доступ только нескольким авторизованным пользователям.
Как же злоумышленники MITM используют публичный Wi-Fi в своих интересах? Злоумышленники используют инструменты для сканирования на наличие недостатков и уязвимостей, чтобы найти способ скомпрометировать маршрутизатор. Затем злоумышленник пытается перехватить и расшифровать данные, передаваемые по сети. Существует несколько способов сделать это. Например, сниффинг включает в себя использование инструментов для проверки пакетов и извлечения информации из незашифрованных данных.
Типы атак типа “человек посередине”
Существует более одного способа для злоумышленника получить контроль над вашим устройством. Ниже перечислены наиболее распространенные типы атак MITM.
Подмена IP-адреса
Все устройства подключаются к Интернету с помощью адреса интернет-протокола (IP). Считайте, что IP-адрес – это что-то похожее на номер квартала вашего домашнего адреса. Злоумышленник может подменить IP-адрес и заставить вас думать, будто вы общаетесь с веб-сайтом или человеком, что позволит ему перехватить ваши данные.
Подмена DNS
Подделка DNS (сервера доменных имен) включает в себя изменение записи веб-сайта в DNS. Это приводит пользователя на поддельный сайт. Не осознавая этого, пользователь взаимодействует с сайтом, как обычно, а злоумышленник пытается получить учетные данные в процессе.
Подслушивание Wi-Fi
Злоумышленники могут создать поддельную сеть Wi-Fi и дать ей имя, которое выглядит законным, возможно, название близлежащего магазина. Когда кто-то подключается к сети, злоумышленник следит за действиями пользователя, чтобы перехватить информацию о кредитной карте, пароли и другую ценную информацию.
Перехват электронной почты
Иногда киберпреступники могут получить доступ к адресу электронной почты банка или финансового учреждения. Злоумышленники отслеживают транзакции клиента, а затем подделывают адрес электронной почты банка, чтобы отправить набор инструкций. Когда пользователь следует этим инструкциям, он, по сути, передает злоумышленнику свою банковскую информацию.
Подделка HTTPS
HTTPS (а не HTTP) является отличительной чертой безопасного веб-сайта. Символ замка сопровождает сайт HTTPS слева от URL-адреса сайта. HTTPS устанавливает зашифрованное соединение между вами и сервером сайта, что означает, что его невозможно перехватить. Однако злоумышленники, похоже, нашли обходной путь.
Они создают другой идентичный веб-сайт с небольшими изменениями в URL. Например, они могут заменить букву в оригинальном доменном имени на символ из кириллицы или другие символы, не относящиеся к алфавиту ASCII. Когда пользователь пытается перейти на настоящий сайт по ссылке, фиктивный сайт злоумышленника собирает данные пользователя.
Пример реальной MitM-атаки
DigiNotar был центром сертификации (ЦС), который обанкротился после атаки типа “человек посередине”, направленной в первую очередь на пользователей, находящихся в Иране. Вкратце, центр сертификации отвечает за выдачу SSL-сертификатов (обозначаемых замком в строке URL) веб-сайтам. Это позволяет нам знать, что данные, которые мы вводим на этом сайте, зашифрованы и находятся в безопасности, без какого-либо несанкционированного доступа. И самое главное, он сообщает нам, что сайт, который мы хотели посетить, является оригинальным, а не пародией.
Однако 10 июля 2011 года киберпреступник смог выпустить поддельные сертификаты из-за технической небрежности нескольких сотрудников DigiNotar. По сообщениям, злоумышленник выпустил 531 мошеннический SSL-сертификат, нацеленный на такие известные сайты, как Gmail, Skype, Microsoft, CIA и др. 19 июля 2011 года внутренний аудит выявил эти несоответствия, и DigiNotar отозвал (большинство) незаконных сертификатов.
Однако внутренняя проверка не смогла поймать несколько SSL-сертификатов, и некоторые из них подделывали веб-порталы Gmail. Этот вопрос был поднят иранским пользователем, жаловавшимся на форумах Gmail в августе 2011 года, который не мог получить доступ к своему аккаунту Gmail. Это было связано с тем, что пользователь использовал Google Chrome, который использовал дополнительные проверки для проверки CA, выданных для собственных веб-сайтов. Поэтому, когда пользователь не смог войти в систему, он/она написал/а на форумах Gmail, что впоследствии раскрыло эту атаку “человек посередине”.
Как сообщается, 298 140 уникальных IP-адресов, которые пытались получить доступ к Gmail, вместо этого были отправлены на вредоносные двойники. Google обвинил в этом связанный с ним центр сертификации, а сага закончилась тем, что правительство Нидерландов взяло DigiNotar под свой контроль и впоследствии распустило его.
Лучшие методы предотвращения атак типа “человек посередине”
Возможно, вам не захочется пользоваться общественным Wi-Fi вообще, учитывая риск кибератаки. По правде говоря, это неплохая идея. Пока у вас есть доступ к сотовой связи, вам не нужен общественный Wi-Fi. Если вам нужен доступ в Интернет на ноутбуке, создайте точку доступа. Только не забудьте использовать соответствующие протоколы безопасности, чтобы никто не смог получить несанкционированный доступ к вашей сети. Однако если сотовая связь не работает, и вы вынуждены подключаться к публичному Wi-Fi, есть несколько способов защитить себя.
Доверяйте только HTTPS-сайтам
Веб-сайты HTTPS затрудняют злоумышленникам перехват данных, шифруя их. HTTPS-сайты все еще подвержены MITM-атакам с использованием таких методов, как подмена HTTPS или отмена SSL, но вы можете защитить себя, оставаясь бдительными. Например, вводите URL вручную вместо использования ссылок. Когда веб-сайт откроется, убедитесь, что URL начинается с “https://” и имеет значок замка в левой части строки URL. Если злоумышленник все-таки перенаправит вас на другой сайт, вы, по крайней мере, будете знать, что находитесь на ненадежном сайте.
Используйте VPN
VPN (виртуальная частная сеть) обеспечивает целый ряд преимуществ в плане безопасности, включая маскировку IP-адресов и надежное шифрование. Хотя злоумышленники MITM все еще могут найти способы перехвата данных, VPN может значительно усложнить им задачу. Вместо того чтобы прилагать дополнительные усилия, они, скорее всего, будут искать более легкие цели.
Сильное шифрование и учетные данные на вашем маршрутизаторе
Использование на вашем маршрутизаторе надежного механизма шифрования, такого как WPA2(AES), предотвращает несанкционированный доступ. Старые протоколы маршрутизаторов, такие как WEP, делают ваш маршрутизатор уязвимым для угроз безопасности. Например, злоумышленники могут грубой силой проникнуть в ваш маршрутизатор, чтобы осуществить MITM-атаку.
В дополнение к надежному шифрованию следует также использовать надежные пароли. Надежный пароль для доступа к встроенному ПО маршрутизатора так же важен, как и надежный пароль для сети Wi-Fi. Если вы используете стандартные учетные данные производителя для входа в маршрутизатор, вы облегчаете злоумышленникам получение доступа. Получив доступ, они могут изменить DNS-серверы или заразить маршрутизатор для осуществления MITM-атак.
Будьте бдительны при фишинговых атаках
Преступник может прислать вам поддельное письмо от вашего банка с просьбой “активировать” ваш счет или отправить фиктивный счет. Когда вы воспользуетесь ссылкой в письме, вам может быть предложено ввести конфиденциальную информацию, которая в конечном итоге попадет к злоумышленнику.
К счастью, проявив немного бдительности, вы можете избежать фишинговых атак. Всегда избегайте открытия вложений из подозрительных писем и никогда не вводите свои личные данные на всплывающих экранах. Установите фишинговый фильтр в браузере и почтовых приложениях, чтобы проверять веб-страницы при их открытии.
Не позволяйте никому встать посередине
Атаки типа “человек посередине” могут произойти с каждым, но, проявив немного осторожности, вы сможете предотвратить попытку преступника украсть конфиденциальную информацию. Не нужно быть экспертом по кибербезопасности, чтобы оставаться в безопасности в Интернете. Ознакомление с лучшими практиками, позволяющими оставаться начеку во время работы в Интернете, поможет вам уберечься от киберпреступников.
