SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
Coin98 Insights
Save
Copy link

Man-in-the-Middle là gì? Cuộc tấn công mạng dành cho "kẻ thứ ba"

Việc hiểu rõ các loại tấn công Man-in-the-Middle phổ biến và áp dụng các biện pháp bảo vệ hiệu quả là cực kỳ quan trọng để bảo vệ tài sản số của bạn. Cùng tìm hiểu về Man-in-the-Middle trong bài viết này.
Avatar
trangtran.c98
Published Jul 07 2024
9 min read
man in the middle

Man-in-the-Middle là gì?

Man-in-the-Middle (MITM), hay còn gọi là tấn công trên đường truyền (on-path attack), là một kiểu tấn công mạng mà kẻ tấn công bí mật chuyển tiếp và có thể thay đổi các giao tiếp giữa hai bên, khiến họ tin rằng họ đang trực tiếp giao tiếp với nhau. Kẻ tấn công đã chèn mình vào giữa hai bên mà họ không hề hay biết. 

MITM là một trong những hình thức tấn công phổ biến và nguy hiểm trong lĩnh vực mật mã học và an ninh máy tính, có thể được thực hiện trên cả mạng có dây và không dây. Kỹ thuật này thường được sử dụng để nghe trộm thông tin, ảnh hưởng đến các giao dịch và truyền dữ liệu thời gian thực.

man in the middle là gì
Sự có mặt của kẻ thứ ba “Man-in-the-middle" trong một giao tiếp riêng tư giữa Alice và Bob
advertising

Cách thức hoạt động của Man-in-the-Middle

Một ví dụ điển hình của tấn công MITM là nghe lén chủ động (active eavesdropping). Trong trường hợp này, kẻ tấn công thiết lập các kết nối độc lập với các nạn nhân và chuyển tiếp các thông điệp giữa họ, làm cho họ tin rằng họ đang nói chuyện trực tiếp với nhau qua một kết nối riêng tư. 

Kẻ tấn công đặt mình vào giữa hai bên (thường là máy tính và máy chủ), thường bằng cách khai thác các điểm yếu trong mạng như giả mạo ARP (ARP Spoofing) hoặc giả mạo DNS (DNS Spoofing).

Có thể hiểu một kết nối riêng tư ở đây không hẳn chỉ là giao tiếp giữa hai người dùng. Nó có thể là việc chính bạn đang giao tiếp với một giao thức, một trang web, một ứng dụng...

mô hình hoạt động của mitm
Mô hình hoạt động của hầu hết các cuộc tấn công MITM

Kẻ tấn công có thể nghe lén toàn bộ giao tiếp giữa hai bên, thu thập thông tin nhạy cảm như mật khẩu, số thẻ tín dụng và dữ liệu cá nhân. Họ cũng có thể thay đổi nội dung của các thông điệp mà hai bên trao đổi.

Để thực hiện điều này, kẻ tấn công phải có khả năng chặn tất cả các thông điệp liên quan đi qua giữa hai nạn nhân và chèn thêm những thông điệp mới.

Trong một số trường hợp, kẻ tấn công có thể phá vỡ các giao tiếp được mã hóa, biến các dữ liệu mã hóa thành dạng văn bản rõ ràng mà họ có thể đọc và hiểu.

Ví dụ, một kẻ tấn công trong phạm vi của một điểm truy cập Wi-Fi không được mã hóa có thể dễ dàng chèn mình vào giữa và trở thành người trung gian.

Các tình huống tấn công MITM trong thực tiễn

Nhóm tin tặc Lazarus của Bắc Hàn nổi tiếng với các cuộc tấn công mạng quy mô lớn. Chúng đã thực hiện nhiều vụ tấn công đáng chú ý, bao gồm:

  • Tấn công ngân hàng Bangladesh: Vào tháng 2/2016, nhóm Lazarus đã đánh cắp 81 triệu USD từ Ngân hàng Trung ương Bangladesh bằng cách xâm nhập vào hệ thống SWIFT và gửi các thông điệp chuyển tiền giả mạo​ (Justice.gov)​.
  • Ransomware WannaCry: Năm 2017, Lazarus phát tán mã độc WannaCry, gây ảnh hưởng đến hàng trăm ngàn máy tính trên toàn thế giới, bao gồm cả Hệ thống Y tế Quốc gia Anh (NHS), gây thiệt hại hàng triệu USD​ (U.S. Department of the Treasury)​.
  • Tấn công các công ty tiền điện tử: Lazarus cũng tấn công nhiều công ty tiền điện tử, đánh cắp hàng triệu đô la từ các sàn giao dịch tiền điện tử và sử dụng các ứng dụng mã độc để tạo ra các lỗ hổng trong hệ thống của nạn nhân​ (Justice.gov)​​.
tấn công mitm
Tin tặc Bắc Hàn bị FBI truy nã

Một số cuộc tấn công MITM khác:

  • Equifax: Năm 2017, Equifax bị tấn công MITM dẫn đến việc dữ liệu của 145.5 triệu người dùng bị lộ. Kẻ tấn công đã sử dụng trang web giả mạo và thao túng các chứng chỉ SSL để đánh lừa người dùng, từ đó thu thập thông tin nhạy cảm của họ.
  • DSniff: Đây là công cụ công khai đầu tiên thực hiện các cuộc tấn công MITM chống lại SSL và SSHv1.
  • Fiddler2: Một công cụ chẩn đoán HTTP(S) dùng để kiểm tra và phân tích lưu lượng mạng.
  • NSA mạo danh Google: Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã sử dụng MITM để mạo danh Google và đánh cắp dữ liệu.
  • Superfish malware: Năm 2014, Lenovo đã phát hành máy tính với phần mềm Superfish, cho phép chèn quảng cáo vào các trang web mã hóa và thay đổi các chứng chỉ SSL. Điều này khiến cho các thông tin truy cập web của người dùng bị lộ và dễ bị tấn công MITM.
  • Forcepoint Content Gateway: Sử dụng để kiểm tra và phân tích lưu lượng SSL tại các máy chủ proxy.
  • Comcast: Nhà cung cấp dịch vụ internet này đã sử dụng MITM để chèn mã JavaScript vào các trang web của bên thứ ba nhằm hiển thị quảng cáo và thông báo của mình.
  • Cuộc tấn công MITM ở Kazakhstan năm 2015: Chính phủ Kazakhstan đã thực hiện các cuộc tấn công MITM để giám sát và kiểm soát thông tin.

Các loại tấn công MITM phổ biến

Giả mạo ARP: Kẻ tấn công gửi các thông điệp ARP giả mạo vào mạng, đánh lừa các thiết bị khác để gửi dữ liệu qua máy của kẻ tấn công.

Giả mạo DNS (DNS Spoofing): Kẻ tấn công thay đổi các bản ghi DNS, khiến người dùng truy cập vào một trang web giả mạo thay vì trang web thật.

Tấn công vào Wi-Fi công cộng: Kẻ tấn công thiết lập các điểm truy cập Wi-Fi giả mạo hoặc khai thác các điểm truy cập Wi-Fi không an toàn.

Tấn công Bluetooth: Lợi dụng các lỗ hổng trong giao thức Bluetooth để chặn và thao túng dữ liệu truyền giữa các thiết bị.

Giả mạo SSL/TLS: Kẻ tấn công sử dụng chứng chỉ giả mạo hoặc khai thác lỗ hổng trong giao thức SSL/TLS để chặn và giải mã dữ liệu truyền.

Tấn công dựa trên trình duyệt (Browser-based MITM): Kẻ tấn công sử dụng các tiện ích mở rộng hoặc phần mềm độc hại để chặn và thay đổi dữ liệu trình duyệt.

Trong các hình thức trên, đối với người dùng phổ thông và chưa có nhiều kiến thức liên quan đến bảo mật trong thế giới Internet of Thing, họ cần phải đặc biệt cẩn trọng với trường hợp tấn công vào Wi-Fi công cộng.

Ở Việt Nam, khi Wi-Fi là loại hình dịch vụ được cung cấp rất phổ biến và miễn phí, người dùng thường chủ quan khi kết nối với các Wi-Fi này. Đây cũng là một trong những nguyên nhân khiến cho chúng ta đôi khi "không hiểu tại sao dữ liệu thông tin cá nhân bị lộ".

Tìm hiểu thêm: Spoofing là gì? Cách phát hiện và phòng chống Spoofing.

Cách phòng tránh tấn công MITM trong thị trường tiền điện tử

Để tấn công MITM thành công, kẻ tấn công phải mạo danh cả hai đầu mối liên lạc đủ tốt để đáp ứng kỳ vọng của họ. Để ngăn chặn các cuộc tấn công này, hầu hết các giao thức mật mã đều bao gồm một hình thức xác thực điểm cuối nào đó. 

Ví dụ, giao thức TLS (Transport Layer Security) có thể xác thực một hoặc cả hai bên bằng cách sử dụng một cơ quan chứng nhận được cả hai bên tin tưởng.

Sử dụng HTTPS và TLS: Đảm bảo rằng các giao dịch tiền điện tử và liên lạc của bạn đều được mã hóa bằng HTTPS và TLS để bảo vệ khỏi MITM.

Xác thực chứng chỉ: Luôn kiểm tra chứng chỉ SSL/TLS của các trang web bạn truy cập để đảm bảo rằng bạn đang giao tiếp với một trang web hợp pháp.

Tránh sử dụng Wi-Fi công cộng không an toàn: Kẻ tấn công có thể dễ dàng thực hiện MITM trên các mạng không được mã hóa. Sử dụng VPN nếu bạn cần kết nối trên các mạng này.

Cảnh giác với các ứng dụng và trang web giả mạo: Kẻ tấn công có thể tạo các trang web và ứng dụng giả mạo để lừa bạn cung cấp thông tin đăng nhập và các thông tin nhạy cảm khác.

Sử dụng VPN: VPN mã hóa toàn bộ lưu lượng mạng của bạn, làm cho kẻ tấn công không thể đọc được dữ liệu ngay cả khi họ chặn được lưu lượng đó. Sử dụng VPN đặc biệt quan trọng khi bạn kết nối với các mạng Wi-Fi công cộng.

Xác thực hai yếu tố (2FA): Sử dụng xác thực hai yếu tố cho các tài khoản trực tuyến của bạn để tăng cường bảo mật. Điều này giúp bảo vệ tài khoản của bạn ngay cả khi thông tin đăng nhập bị đánh cắp.

Đọc thêm: Các phương thức xác thực 2FA hiệu quả.

Tấn công Man-in-the-Middle là một mối đe dọa nghiêm trọng đối với an ninh mạng, nhưng bằng cách hiểu rõ về cách thức hoạt động và áp dụng các biện pháp phòng tránh phù hợp, bạn có thể giảm thiểu nguy cơ trở thành nạn nhân.