中間人攻擊者將自己置於受害者和他們試圖連線的服務之間,通常是為了竊取資料。
閱讀本文後,您將能夠:
複製文章連結
中間人攻擊者將自己放在兩個裝置(通常是 Web 瀏覽器和 Web 伺服器)之間,並攔截或修改這兩者之間的通訊。然後,攻擊者可以收集資訊並且假冒這兩者中的任何一個。除了網站之外,這些攻擊還可能針對電子郵件通訊、DNS 查閱和公用 WiFi 網路。中間人攻擊者的典型目標包括 SaaS 企業、電子商務企業和金融應用的使用者。
您可以將中間人攻擊者比作一個無賴的郵政工作人員,他坐在郵局裡攔截了兩個人之間的通訊。該郵政工作人員可以閱讀私人信件,甚至可以編輯這些信件的內容,然後再將其投遞給預期的收件者。
舉一個更現代的範例,中間人攻擊者可以介入使用者和他們想要造訪的網站之間,並且收集其使用者名稱和密碼。這可以透過將使用者和網站之間的 HTTP 連線作為目標來完成;劫持此連線後,攻擊者可以充當代理來收集和修改使用者與網站之間傳送的資訊。或者,攻擊者可以竊取使用者的 Cookie(由網站建立並儲存在使用者電腦上的小段資料,用於識別和其他用途)。攻擊者可以使用竊取的這些 Cookie 來劫持使用者的工作階段,從而在網站上假冒該使用者。
中間人攻擊者也可能針對 DNS 伺服器。DNS 查閱過程透過將網域名稱轉換為 IP 位址來允許 Web 瀏覽器查找網站。在 DNS 中間人攻擊(例如 DNS 詐騙和 DNS 劫持)中,攻擊者可以入侵 DNS 查閱過程,並將使用者傳送到錯誤的網站,通常是散佈惡意程式碼和/或收集敏感性資訊的網站。
另一種常見的攻擊是電子郵件劫持;中間人攻擊者利用這種攻擊將自己放置到電子郵件伺服器和 Web 之間,從而潛入電子郵件伺服器。一旦伺服器遭到入侵,攻擊者便可出於各種目的來監視電子郵件通訊。在一種這樣的詐騙中,要等待一個人需要將錢轉給另一人的機會(例如,顧客向企業付款)。然後,攻擊者可以使用仿冒的電子郵寄地址來要求將錢轉入攻擊者的帳戶。電子郵件在收件者看來似乎合法且無害(「對不起,我的上一封電子郵件中有錯字!我的帳號實際上是:XXX-XXXX」),讓攻擊得逞並造成經濟損失。2015 年,比利時的一個網路犯罪團夥利用電子郵件劫持從多家歐洲公司竊取了超過 600 萬歐元。
WiFi 網路上常常發生中間人攻擊。攻擊者可以建立似乎無害的惡意 WiFi 網路,或者複製合法的 WiFi 網路。一旦使用者連接到遭入侵的 WiFi 網路,中間人攻擊者可以監視該使用者的線上活動。老練的攻擊者甚至還可以將使用者的瀏覽器重新導向到合法網站的偽造複本。
由於中間人攻擊者使用多種方法,因此沒有針對這些攻擊的一體化解決方案。防止針對 HTTP 流量的攻擊的最基本方法之一是採用 SSL/TLS,它在使用者和 Web 服務之間建立安全連線。不幸的是,這不是一個萬無一失的解決方案,因為更複雜的中間人攻擊者可以繞過 SSL/TLS 保護。為了進一步防止此類攻擊,一些 Web 服務實作 HTTP 強制安全傳輸 (HSTS),它強制與所有瀏覽器或應用程式進行安全 SSL/TLS 連線,封鎖任何不安全的 HTTP 連線並防止 cookie 盜竊。在 Cloudflare 部落格上瞭解有關 HSTS 的更多資訊。
也可以利用驗證憑證來防禦中間人攻擊。組織可以在其所有裝置上實作基於憑證的驗證,以便只有具有正確設定的憑證的使用者才能存取其系統。
要防止電子郵件劫持,可以使用安全/多用途網際網路郵件延伸標準 (S/MIME)。此通訊協定加密電子郵件,並允許使用者用唯一數位憑證對電子郵件進行數位簽章,讓接收者知道該郵件是合法的。
個人使用者也可以避免在任何公用 WiFi 網路上提交任何敏感性資訊,除非有安全虛擬私人網路 (VPN) 的保護,從而保護自己遠離中間人攻擊者。