Tấn công Man-in-the-Middle (MitM) là gì? Cách phòng chống

Man-in-the-middle là một kiểu tấn công mạng nghiêm trọng, gây thiệt hại cho doanh nghiệp lẫn khách hàng. Vậy tấn công Man-in-the-middle là gì? Làm sao để tránh Man-in-the-middle attack? Hãy cùng Viettel IDC tìm hiểu trong bài viết dưới đây!

Tấn công Man-in-the-Middle (MitM) là gì?

Man-in-the-middle (MitM) hay tấn công xen giữa là kiểu tấn công mạng xảy ra khi kẻ tấn công bí mật chen vào giữa hai bên đang giao tiếp (thường trên trình duyệt web hoặc máy chủ web). Kẻ tấn công sẽ chặn kết nối giữa hai bên, giả danh thành nạn nhân để đánh cắp dữ liệu quan trọng.

Không chỉ trên nền tảng website, Man-in-the-middle attack có thể xảy ra khi liên lạc qua email, truy cập mạng Wifi công cộng hoặc DNS lookups. Thông thường, những doanh nghiệp thương mại điện tử hoặc người dùng ứng dụng tài chính sẽ là đối tượng bị tấn công Man-in-the-middle.

Hầu hết tổ chức hoặc người dùng khi bị tấn công Man-in-the-middle sẽ không biết mình đang bị giả mạo. Do đó, nếu những kẻ tấn công đánh cắp thông tin sẽ dẫn đến hậu quả nghiêm trọng như:

- Rò rỉ các thông tin quan trọng: Tên đăng nhập, mật khẩu, số thẻ tín dụng,...

- Kẻ tấn công có thể thay đổi nội dung giao tiếp, dẫn đến những hậu quả nghiêm trọng, đặc biệt là trong các giao dịch tài chính.

- Trong một số trường hợp, kẻ tấn công có thể kiểm soát toàn bộ hệ thống.

Xem thêm:

- Những thiệt hại khi bị tấn công mạng

- Cyber attack là gì? Các loại hình tấn công và giải pháp

- Mã độc tống tiền là gì? Tìm hiểu về giải pháp phòng chống

Tấn công Man-in-the-Middle xảy ra như thế nào?

Tấn công Man-in-the-middle sẽ bao gồm 2 loại chính:

- Man-in-the-middle vật lý: Kẻ tấn công phải ở gần mạng hoặc thiết bị của nạn nhân để thực hiện tấn công. Ví dụ như cắm bộ định tuyến giả vào mạng không dây công cộng, tạo điểm truy cập ảo để lừa người dùng truy cập.

- Man-in-the-middle phần mềm: Kẻ tấn công sẽ sử dụng phần mềm độc hại cài vào máy tính của nạn nhân, sau đó chặn và điều khiển quyền truy cập. Ví dụ như dùng phần mềm keylogger để ghi lại mọi thao tác được thực hiện trên bàn phím.

Những cuộc tấn công Man-in-the-middle sẽ diễn ra theo 2 giai đoạn chính là Interception và Decryption. Trong đó:

- Giai đoạn Interception (hay chặn bắt): Kẻ tấn công tìm cách chặn tất cả hoặc một phần thông tin được truyền đi giữa hai thiết bị hoặc máy chủ. Lúc này, kẻ tấn công có thể sử dụng những công cụ và kỹ thuật khác nhau như ARP Spoofing, DNS Spoofing, SSL Stripping,...

- Giai đoạn Decryption (hay giải mã): Sau khi chặn thông tin, kẻ tấn công sẽ giải mã dữ liệu để đọc hiểu nội dung. Những dữ liệu được mã hoá của nạn nhân sẽ được giải mã theo nhiều cách khác nhau như sử dụng công cụ crack mật khẩu, khai thác lỗ hổng bảo mật,...

Các hình thức tấn công Man-in-the-Middle

Dưới đây là những hình thức tấn công Man-in-the-middle phổ biến hiện nay:

- IP Spoofing (giả mạo địa chỉ IP): Kẻ tấn công sẽ giả mạo địa chỉ IP của nạn nhân, sau đó thay thế nạn nhân để giao tiếp với đối phương. Lúc này, kẻ tấn công có thể đánh cắp toàn bộ thông tin và dữ liệu đang trao đổi.

- DNS spoofing (giả mạo DNS): Kẻ tấn công sẽ thay đổi địa chỉ website trên máy chủ DNS, khiến nạn nhân truy cập vào website giả mạo. Mục tiêu của hình thức này là thủ phạm cần tăng lượng truy cập cho website giả mạo hoặc đánh cắp thông tin đăng nhập của nạn nhân.

- HTTPS spoofing (giả mạo HTTPS): Kẻ tấn công sẽ tạo ra một kết nối HTTPS giả mạo để khiến nạn nhân nghĩ rằng họ đang kết nối với một trang web an toàn. Tuy nhiên, kết nối này thực chất không được mã hóa an toàn, kẻ tấn công sẽ theo dõi tương tác của nạn nhân ở trên website và đánh cắp các thông tin được chia sẻ.

- SSL Hijacking (đánh cắp SSL): Kẻ tấn công chặn các kết nối SSL giữa máy chủ và máy khách, sau đó mã hoá dữ liệu để đánh cắp thông tin.

- Email Hijacking (đánh cắp email): Kẻ tấn công sẽ giả mạo hoặc xâm nhập vào tài khoản email của các tổ chức, đặc biệt là tổ chức tài chính. Sau đó, gửi email cho nạn nhân, lừa nạn nhân cung cấp các thông tin quan trọng.

- WiFi Eavesdropping (nghe lén Wifi): Kẻ tấn công sẽ thiết lập một điểm truy cập Wifi giả mạo để lừa người dùng kết nối. Sau đó, chặn và đánh cắp tất cả dữ liệu được truyền đi thông qua mạng Wifi ảo Hình thức tấn công MitM này thường xảy ra ở những điểm Wifi miễn phí hoặc Wifi công cộng, khi kẻ tấn công truy cập được bộ định tuyến Wifi.

- Stealing Browser Cookies (Ăn cắp trình duyệt cookie): Kẻ tấn công sẽ đánh cắp cookie của trình duyệt - nơi lưu trữ thông tin các phiên trình duyệt của nạn nhân. Thông qua đó, truy cập vào các tài khoản trực tiếp của nạn nhân mà không cần mật khẩu hoặc đánh cắp những thông tin quan trọng khác.

Cách phòng tránh tấn công Man-in-the-Middle

Để phòng tránh những cuộc tấn công Man-in-the-Middle, các cá nhân, tổ chức và doanh nghiệp cần:

- Đảm bảo các website mà bạn truy cập đều sử dụng giao thức HTTPS. Hiện nay, hầu hết các website đều triển khai HTTP Strict Transport Security (HSTS) để ngăn chặn tấn công MitM.

- Cảnh giác với những email lừa đảo, yêu cầu cung cấp mật khẩu hoặc các thông tin nhạy cảm khác. Ngoài ra, không nên nhấp trực tiếp vào những liên kết được cung cấp qua email, thay vào đó, hãy nhập thủ công trên trình duyệt. Đặc biệt, tổ chức nên sử dụng giao thức Secure/Multipurpose Internet Mail Extensions (S/MIME) để ngăn chặn Email Hijacking, đảm bảo email nhận được là hợp pháp.

- Hạn chế kết nối với Wifi công cộng hoặc Wifi có tên lạ. Đồng thời, nên sử dụng VPN (Virtual Private Network) để mã hoá kết nối internet và bảo vệ dữ liệu riêng tư của bạn. Ngoài ra, tránh gửi các thông tin cá nhân quan trọng như tài khoản đăng nhập, mật khẩu,... khi truy cập Wifi công cộng.

- Doanh nghiệp hoặc tổ chức nên sử dụng Authentication Certificates để phòng tránh tấn công Man-in-the-Middle. Cụ thể, tổ chức sẽ cung cấp chứng chỉ cho tất cả thiết bị trong hệ thống, đảm bảo chỉ người dùng có chứng chỉ và cấu hình thích hợp có truyền được truy cập.

- Cài đặt những phần mềm chống virus để đảm bảo kẻ đánh cắp không thể cài đặt phần mềm độc hại.

- Sau khi đăng nhập và thực hiện xong các tác vụ trên website, bạn hãy đăng xuất để tránh trình duyệt tự động lưu. Đồng thời, sử dụng thêm tính năng xác thực nhiều bước.

Đặc biệt, những kẻ tấn công thường sử dụng phần mềm độc hại để tấn công Man-in-the-Middle. Vì vậy, cá nhân và doanh nghiệp nên thực hiện các giải pháp bảo mật internet toàn diện trên máy tính cũng như các thiết bị khác. Đồng thời, xây dựng hệ thống an toàn bảo mật để phòng tránh tấn công mạng, gây rò rỉ thông tin quan trọng, tổn thất trực tiếp đến uy tín và doanh thu.

Hiện nay, Viettel IDC cung cấp giải pháp bảo mật thế hệ mới - Viettel Endpoint Security giúp bảo vệ các thiết bị đầu cuối như máy vật lý (Windows, Linux, Mac) hoặc máy chủ ảo hóa. Giải pháp này sẽ mang đến cho doanh nghiệp những lợi ích nổi bật:

- Kiểm soát và kịp thời ngăn chặn các cuộc tấn công từ virus, mã độc,... thông qua tính năng machine learning anti-malware, anti-exploit, ransomware protection,...

- Có khả năng phát hiện các loại mã độc bằng công nghệ phân tích trong môi trường giả lập (Endpoint Integrated Sandbox).

- Tính năng Hyper Detect Tunable Machine Learning giúp “lường trước" các mối đe dọa, kịp thời ngăn chặn trước khi chúng có khả năng thực thi (pre-execution).

- Chống virus qua web, ứng dụng và bộ nhớ. Sử dụng tính năng Web threat protection, Anti-Phishing và Web Security Filtering để ngăn chặn tấn công vào mạng bằng hình thức Brute Force attacks, Password Stealers, Network Exploits.

- Báo cáo thống kê về số lượng, loại virus đã phát hiện và kết quả xử lý trên từng máy tính.

Để được tư vấn chi tiết về giải pháp Viettel Endpoint Security, vui lòng liên hệ đến Viettel IDC thông qua:

- Hotline: 1800 8088 (miễn phí cước gọi)

- Fanpage: https://www.facebook.com/viettelidc

- Website: https://viettelidc.com.vn