Search
Close this search box.
اشتراک گذاری در:

man in the middle attack

مرد میانی (MITM) اصطلاحی کلی برای زمانی است که یک هکر خود را در یک مکالمه بین یک کاربر و یک برنامه قرار می‌دهد – هدف او از این کار، جاسوسی برای استراق‌سمع یا جعل‌ هویت یکی از طرفین است. او این کار را با چنان مهارتی انجام می‌دهد که به نظر می‌رسد تبادل عادی اطلاعات در جریان است.

آن‌چه در پادکست می‌شنویم

به هکرهایی گفته می‌‍شه که میتونن رمز وای فای شما رو بشکنن و از طریق وای شما حملات هکری انجام بدن.این هکرها هیچ ردی از خود به‌جا نمی‌ذارن و متأسفانه نام و سیستم شما به‌عنوان هکر شناخته می‌شه

بیش‌تر بدانیم

هدف از MIMT، سرقت اطلاعات شخصی مانند اعتبارنامه‌های ورود به سیستم، جزئیات حساب و شماره کارت‌های اعتباری است.

کاربران اپلیکیشن‌های مالی، کسب و کارهای SaaS، سایت‌های تجارت الکترونیک و دیگر وب‌سایت‌ها، موارد هدف از نظر هکرها در حملۀ MIMT هستند که ورود به آن ها ضروری است.

اطلاعات به‌دست‌آمده در طول یک حمله می‌تواند برای اهداف بسیاری از جمله سرقت هویت، انتقال سرمایه تایید نشده یا تغییر رمز عبور غیرقانونی استفاده شود.

علاوه بر این، می‌توان از آن برای به‌دست‌آوردنِ «نقطۀ نفوذ امن» در اصطلاح، یک «جای پای محکم» در طول مرحله نفوذ استفاده کرد که در آن‌جا ماند و با خیالِ راحتۀ یک حمله تهدید پایدار پیشرفته (APT) انجام داد.

پیشرفت Man in the middle Attack چگونه رخ می‌دهد؟

اجرای موفق MITM دو مرحله متمایز دارد: ردیابی و رمزگشایی.

ردیابی

هکرها پیش از آن‌که حملۀ خود را آغاز نمایند طعمه یا مقصد مورد نظر را ردیابی می‌کنند. رایج‌ترین (و ساده‌ترین) روش انجام این کار، یک حملۀ منفعل است که در آن، حمله‌کننده، Hotspotهای رایگان و مخرب WiFi را در دسترس عموم قرار می‌دهد.

این Hotsopotها، معمولاً به‌گونه ای نام‌گذاری می‌شوند که مربوط به موقعیت مکانی آن‌ها باشد و نکتۀ مهم آن است که با رمز عبور، ‎محافظت نمی‌شوند.

رمزگشایی

هنگامی که قربانی به Hotspot آلوده، متصل می‌شود مهاجم، دید کاملی نسبت به هر تبادل دادۀ آنلاین به‌دست‌می‌آورد و به‌راحتی می‌تواند سیستم فرد را دور زده اطلاعات آن را به‌نفع خود، ثبت و ضبط نماید.

انواع حملات MIMT

هکرهایی که حملۀ MIMT انجام می‌دهند ممکن است به یکی از روش‌‌های زیر عمل کنند:

IP spoofing 

یک مهاجم(هکر) با ایجاد تغییر در یک آدرس IP، خود را به‌عنوان یک پشتیبان معرفی می‌نماید. در نتیجه، کاربرانی که تلاش می‌کنند به یک URL متصل به اپلیکیشن دسترسی پیدا کنند به وب‌سایت مهاجم فرستاده می‌شوند.

ARP spoofing

زمانی که آدرس MAC یک مهاجم با آدرس IP یک کاربر قانونی، پیوند می‌خورند این فرآیند را ARP می‌نامند. باید توجه کنیم که فرآیند ARP در یک شبکه محلی با استفاده از پیام‌های جعلی RP اتفاق میفتد؛ در نتیجه، تمام داده‌های ارسالی به‌جای آن‌که به IP کاربر قانونی وارد شود به آدرس ARP جعلی مهاجم (هکر) می‌رود.

DNS spoofing

این فرآیند که با نام سم‌پاشی حافظۀ نهان نیز شناخته می‌شود شامل نفوذ به یک سرور DNS و تغییر رکورد آدرس یک وب‌سایت است. در نتیجه، کاربرانی که قصد دسترسی به سایت را دارند با تغییر رکورد DNS به سایت مهاجم فرستاده می‌شوند.

Decryption

این مفهوم که در ترجمۀ پارسی، رمزگشایی نامیده می‌شود به فرآیندی اشاره دارد که پس از رهگیری، هر ترافیک SSL دو طرفه باید بدون اطلاع کاربر یا اپلیکیشن، رمزگشایی شود. برای رسیدن به این هدف چند روش وجود دارد:

HTTPS spoofing 

این عمل، پس از درخواست اتصال اولیه به یک سایت امن رخ می‌دهد که هکر یک گواهی جعلی را به مرورگر قربانی می‌فرستد و از او درخواست می‌کند که به سایت پیشنهادی بپیوندد.

سایتِ مورد نظر، حتماً آلوده است و به‌محض اتصال کاربر به آن، عمل خواهد کرد. حالا مجوز به مهاجم داده شده و او می‌تواند به هر داده ای که توسط قربانی وارد می‌شود دترسی داشته باشد.

SSL BEAST

در این نوع حمله، کامپیوتر قربانی به جاوا اسکریپت مخربی آلوده می‌شود که کوکی‌های رمزنگاری شدۀ ارسال‌شده از سوی یک برنامۀ وب را رهگیری می‌کند؛ سپس زنجیرۀ بلوکی رمز برنامه (CBC)به خطر میفتد تا کوکی‌ها و توکن‌های احراز هویت آن رمزگشایی شوند.

SSL hijacking

این هک زمانی رخ می‌دهد که مهاجم، کلیدهای احراز هویت جعلی را در طول مدت زمان سپری شده بین اتصال کاربر به سیستم می‌فرستد. به این ترتیب، زمانی که در واقع، مرد میانی، کل جلسه را تحت کنترل خود دارد به نظر می‌رسد که یک ارتباط امن در جریان است و قربانی اصلاً اطلاع ندارد که به‌عنوانِ یک درِ باز برای ورود هکر و سوءاستفادۀ او، عمل کرده است.

SSL stripping

در این فرآیند، مهاجم یک نسخه رمزنگاری نشده از سایت برنامه را برای کاربر ارسال می‌کند در حالی که هم‌چنان ارتباط امن را حفظ می‌کند و خود را در جایگاهی نشان می‌دهد که پشتیبان است اما کاربر خبر ندارد که کل فعالیت او از سوی هکر در حال رصد است

پیشگیری از حملۀ Man in the Middle Attack

پیشگیری از حملات MITM به چندین گام عملی نیاز دارد که باید از سوی کاربران رعایت شود. گام‌هایی همچون رعایت نکات امنیتی و استفاده از ترکیبی از روش های رمزگذاری و تایید هویت برای برنامه‌‌ها.

  • خودداری از اتصال به WiFi‌های رایگان در مکان‌های عمومی و هم‌چنین Wifi که رمز عبور ندارند. شاید برخی گمان کنند که این کار خیلی خوب است این‌که آن‌ها بدون احتیاج به واردکردن رمز، به یک دستگاه Wifi متصل می‌شوند و به‌راحتی وب‌گردی می‌کنند.
  • توجه به اعلان‌های مرورگر که به شما می‌گویند عضوشدن و ورود به یک وب‌سایت ممکن است به سیستم شما آسیب بزند.
  • به‌محض این‌که متوجه شدید یک افزونۀ ناشناس یا یک اپلیکیشن به شما معرفی شده است بدون بازکردن افزونه یا دانلود اپلیکیشن، ان را پاک‌کنید.
  • در مکان‌های عمومی مثل کتاب‌خانه‌ها، فروشگاه‌ها، کافی‌شاپ‌ها، مراکز خرید بلوتوث و Wifi را خاموش کنید چرا که ممکن است پیام اتصال رایگان به Wifi برایتان ارسال شود و شما بدون اندیشه، به‌محضِ اتصال به Wifi به هکر، اجازۀ دسترسی به سیستم خود را می‌دهید.
  • استفاده از SSL / TLS برای امنیت تمام صفحات سایت و نه فقط صفحاتی که کاربران را ملزم به ورود به آن می‌کند بهترین روش برای محافظت دربرابر حملات MIMT به‌شمار می‌آید.

برای درک بیشتر موضوع، دیدن این ویدئو را به شما پیشنهاد می‌کنیم.

اصطلاح مرتبط