«Человек посередине» (man-in-the-middle, MitM, атака посредника) — атака, при которой злоумышленник получает доступ к каналу связи между легитимными сторонами (пользователями, приложениями, сетевыми устройствами и т. д.), что позволяет ему просматривать содержимое всех передаваемых ими сообщений, удалять и изменять их.
Механизм атаки «человек посередине»
Существуют разные способы получения доступа к каналу связи. Например, недобросовестный сотрудник почтового отделения, вскрывающий письма и посылки (что, по сути, является MitM-атакой), имеет к ним физический доступ по долгу службы.
Если говорить о сетевой коммуникации и сценарии, когда у злоумышленников по умолчанию нет к ней доступа, то они могут:
- взломать сервис или устройство, имеющее этот доступ, например роутер;
- выдать себя за легитимного участника сетевой коммуникации: приложение, веб-сайт, VPN-сервер, точку доступа и т. д.
Среди методов, позволяющих направить трафик жертвы через ресурсы злоумышленников, можно выделить следующие:
- Фальшивые точки доступа: злоумышленники создают незапароленные точки доступа к Wi-Fi или, например, точки доступа с именами, похожими на имена легитимных точек доступа, в расчете, что жертва попытается к ним подключиться. В случае успеха весь интернет-трафик жертвы будет проходить через устройство злоумышленников.
- «Отравление» кэша ARP: злоумышленники транслируют по локальной сети соответствие между IP-адресом легитимного устройства и MAC-адресом своего устройства. Эта атака имеет смысл, если у атакующих есть доступ к локальной сети жертвы.
- Подмена DNS: злоумышленники меняют DNS-кэш (записи о соответствии между доменными именами, то есть адресами сайтов, и IP-адресами серверов, на которых расположены эти сайты) на роутере или уязвимом DNS-сервере, устанавливая соответствие между определенными доменными именами и подконтрольными им IP-адресами. Если пользователь пытается открыть в браузере соответствующий сайт, он попадает на ресурс злоумышленников, который, как правило, полностью копирует дизайн оригинального сайта.
- Спуфинг URL-адреса: злоумышленники создают поддельные ресурсы с URL-адресами, похожими на URL легитимного ресурса. Если пользователь вместо легитимного откроет сайт злоумышленников, они могут выступать в роли «посредника» между пользователем и легитимным сайтом.
Чем опасна атака «человек посередине»
Злоумышленник, имеющий полный доступ к каналу связи жертвы, может:
- читать, изменять и удалять сообщения;
- красть конфиденциальную информацию, такую как данные платежных карт, логины и пароли к аккаунтам, а также содержимое переписки;
просматривать, удалять и подменять передаваемые файлы, в том числе заменять скачиваемые приложения на их вредоносные версии.