MITM-атака через посредника, или почтальон-хакер

7 nov. 2022
MITM-атака через посредника, или почтальон-хакер

Каким образом MITM-атака позволяет хакерам беспрепятственно отбирать деньги пользователей, оформлять на них кредиты и красть учетные данные,  — читаем далее.

Варвара, версия 2.0, как хакеры врываются в ваше цифровое пространство

Под MITM-атакой подразумеваются преступные действия хакера, который вклинивается в существующий процесс связи и перехватывает данные. Крэкер может оказаться посередине между пользователем и онлайн-магазином, чтобы подглядеть нужные данные.

Атака «человек посередине» — это атака, при котором хакер заходит на «частную» цифровую территорию и ворует данные, подсматривает переписки, крадет деньги с банковских счетов. Хотя, объяснить принцип атаки посредника можно еще проще!

Представьте: вместе с девушкой едете в автобусе. Без беседы поездка — скучное дело, поэтому весь путь проходит в обсуждениях прошедшего дня. Вы настолько увлечены, что даже не замечаете: за вами шпионят. «Человеком посередине» можно назвать даже крайне любопытного пассажира, который решил подслушать ваш разговор. Незаметно для вас он стал третьим участником беседы: незнакомец перехватывает ваши слова, запоминает их и не подает вида, что подслушивает.

Так же работает атака man in the middle. Хакер проникает в процесс передачи данных и остается незамеченным шпионом. Однако разница между любопытным пассажиром из автобуса и хакером все же есть. Первый подслушивает, потому что интересно, второй — потому что информацию можно конвертировать в наживу.

Рассмотрим три MITM-атаки, при помощи которых хакеры доводят пользователей до белого каления.

И снова общественные точки доступа

В 2016 году компания Avast Software провела «хакерский» эксперимент. В аэропорту Барселоны было создано три публичные Wi-Fi-точки с непримечательными именами: Starbucks, Airport_Free_Wifi_AENA и MWC Free WiFi. Только вместо легитимных точек доступа специалисты ИБ расставили сети, перехватывающие данные пользователей.

MITM-атака через посредника

Эксперимент длился четыре часа. За это время к поддельным Wi-Fi-соединениям подключилось более 2 тысяч человек. Сотрудники Avast Software узнали о посетителях аэропорта многое: с каких устройств они входили в сеть Интернет, какие запросы вводили в браузер, каков логин и пароль пользователей, а также кто из людей чатился с друзьями в социальных сетях.

Прошло уже шесть лет, но многие пользователи продолжают подключаться к небезопасным точкам доступа. А некоторые и не слышали про функцию автоматического подключения к общедоступным сетям, которую необходимо активировать только при необходимости.

Перейдите по ссылке и потеряйте деньги

Второй пример MITM-атаки связан с подменой адресов популярных сайтов. У этой категории атак есть собственное название — DNS-спуфинг.

Вам приходит письмо: «Ура, мы снизили цены на товары, которые вы просматривали!». Список товаров действительно состоит из тех предметов, к которым вы приценивались совсем недавно. Вы кликаете по ссылке или картинкам и переходите на сайт. Совершаете покупку и отправляете деньги злоумышленнику. Что произошло?

Хакер подсмотрел ваши пожелания, создал сайт-дублер и подменил его IP-адрес в каталоге DNS, хранящем адреса всех веб-страниц. Адрес сайта мог быть даже идентичен легитимному, но замена адреса на DNS-сервере сделала свое дело. Защитные системы почтового сервиса обмануты, а ваши деньги утекли на поддельный банковский счет.

Конечно, DNS-спуфинг происходит не так просто. Это сложный и местами захватывающий процесс, подобнее о котором я уже писал. 

Взломать аккаунт по хлебным крошкам

Кому нужен мой аккаунт на Госуслугах? Пока одни пользователи продолжают так думать, другие хватаются за голову, потому что их все-таки взламывают.

Угон аккаунта позволил мошенникам оформить кредитную карту на жителя Санкт-Петербурга. Размер суммы составил 400 000 рублей. На уральскую учительницу хакеры оформили несколько кредитов на 20 тысяч рублей. А все начиналось со взлома учетных записей на Госуслугах.

Как аккаунт могут взломать при помощи атаки посредника?

Один из наиболее популярных сценариев MITM-атаки заключается в перехвате сеанса: когда пользователь пытается зайти в аккаунт, а в этот процесс внедряется третье лицо. Виной всему печеньки, то есть cookie-файлы.

Печеньки хранят большое количество информации о вас, в том числе и учетные данные. Если хакер сможет обмануть ваше внимание и заставит перейти на фишинговый сайт, украсть куки при помощи специализированной программы — дело 2 минут.

Есть ли разница между вторым и третьим сценарием атаки? Для хакера это два технически разных, но эффективных способа обворовать пользователя. А для пользователя нет разницы в том, как взломают его страницу или украдут деньги. Главное, что это произошло, и он понес убытки.

Здесь еще никто ничего не писал. Станьте первым.

Оставьте комментарий