中間攻擊 (MiTM) 攻擊是一種主要的網絡威脅,其名稱是攻擊者將自己插入兩個通信方之間的事實。 如果所有通訊在路徑前往目的地時都通過攻擊者,攻擊者可能會在到達預定收件者之前刪除、讀取或修改郵件。
若要執行 MitM 攻擊,攻擊者需要達到兩個目標。 首先,他們需要以一種方式將自己插入通信中,以使他們能夠攔截到目的地的路上的流量。 攻擊者可以執行此操作的一些方式包括:
一旦進入通訊中間,攻擊者需要能夠讀取訊息;然而,大部分網際網路流量會使用 SSL/TLS 加密。 如果流量已加密,則讀取和修改郵件需要能夠偽造或中斷 SSL/TLS 連線。
這可以通過幾種不同的方式實現。 如果攻擊者能誘騙使用者接受網站的虛假數位憑證,攻擊者將能夠解密用戶端的流量並在將其傳送到伺服器之前讀取或修改。 或者,攻擊者可以使用 SSL 刪除或降級攻擊破壞 SSL/TLS 工作階段的安全性。
MitM 攻擊可以通過各種方式進行,這取決於被攻擊的協議和攻擊者的目標。 例如,當通訊串流未加密,且攻擊者自然位於目標流量的路徑上時,執行 MiTM 攻擊會更容易。
一般使用者已了解如何根據網址列中的 https 和鎖定圖示確定其 Web 瀏覽工作階段是否已加密。然而,對於行動應用程式和物聯網(物聯網裝置)來說,驗證資料流是否已加密更加困難。它們的安全性不佳,並且使用 Telnet 或 HTTP 等未加密通訊協定進行通訊並不罕見。
如果是這種情況,那麼攻擊者可以輕鬆讀取並可能修改行動應用程式或物聯網裝置與伺服器之間流動的資料。通過使用無線存取點或某種形式的偽造,攻擊者可以將自己插入通訊串流,以便所有流量流通過它們。 由於這些通訊協定缺少資料完整性或真實性的內建檢查,攻擊者可以隨意變更流量的內容。
SSL/TLS 旨在透過為網路流量提供機密性、完整性和身份驗證來防止中間人攻擊。但是,它依賴於使用者只接受特定網域的有效數位憑證。 如果攻擊者能夠誘騙用戶訪問網路釣魚網站,說服他們接受虛假證書,或破壞公司用於SSL 檢查的數位證書,那麼這些保護措施就會被破壞。
在此情況下,攻擊者會維護兩個使用 SSL/TLS 加密的個別工作階段。 其中,它在偽裝為服務器並使用其假 SSL 憑證時連接到客戶端。 另一方面,它呈現為連接到合法服務器的客戶端。 由於攻擊者控制兩個工作階段,因此他們可以解密一個工作階段中的資料、檢查和修改它,以及為另一個工作階段重新加密。
MitM 攻擊取決於攻擊者能夠攔截和讀取流量。 防止這種情況的一些網際網路安全最佳做法包括:
驗證數位憑證:合法網站應始終具有在瀏覽器中顯示為有效的數位憑證。 信任可疑憑證可能會啟動 MiTM 攻擊。
Check Point 遠端存取 VPN 可以協助保護遠端員工免受 MitM 攻擊和其他網路攻擊。若要詳細了解您的組織面臨的網路威脅,請查看2023 年網路安全報告。然後,進行免費的安全檢查,了解您的組織如何改善其安全狀態。