Cyberprzestępcy coraz częściej stosują ataki typu Man-in-the-Middle (MITM): przechwytują komunikację pomiędzy stronami w celu kradzieży lub modyfikacji przesyłanych danych. Jak wskazują eksperci Fortinet, to poważne zagrożenie przede wszystkim dla sektorów: finansowego, opieki zdrowotnej oraz przedsiębiorstw przemysłowych.
Man-in-the-middle to rodzaj cyberataku, w którym osoba trzecia przechwytuje komunikację pomiędzy stronami bez ich wiedzy, aby wykraść lub zmodyfikować ważne informacje. Ataki tego rodzaju są poważnym zagrożeniem dla prywatności i bezpieczeństwa.
Ataki MITM mogą przybierać bardzo różne formy. Najpopularniejsze z nich polegają na przejęciu poczty e-mail, podszywaniu się pod nazwy domen (DNS) i adresy IP, przejęciu kontroli nad SSL, kradzieży plików cookies przeglądarki czy session hijacking, czyli przejęciu sesji internetowej.
Podczas niektórych ataków mogą być wykorzystywane boty generujące wiadomości tekstowe czy naśladujące głos osoby podczas rozmowy telefonicznej, w celu pobrania z urządzeń istotnych informacji.
MITM jest wyjątkowo niebezpieczny, ponieważ żadna ze stron wysyłających e-maile, SMS-y lub rozmawiających na czacie podczas połączenia wideo nie jest świadoma, że ktoś jeszcze włączył się do rozmowy i właśnie kradnie ich dane, ostrzegają eksperci Fortinet.
Ataków Man-in-the-Middle najczęściej doświadczają banki i ich aplikacje, firmy z sektora finansowego, systemy opieki zdrowotnej oraz przedsiębiorstwa obsługujące przemysłowe sieci urządzeń, które komunikują się ze sobą za pomocą protokołów Internetu Rzeczy (IoT).
Atak MITM polega na wykorzystaniu luk w protokołach bezpieczeństwa sieci, stron internetowych lub przeglądarek w celu przekierowania legalnego ruchu i kradzieży informacji od ofiar. Niezależnie od konkretnych technik, atak zawsze przebiega w następujący sposób: osoba A wysyła osobie B wiadomość, atakujący przechwytuje ją bez wiedzy osób A i B, a następnie zmienia treść wiadomości lub całkowicie ją usuwa. Ataki MITM stoją za największymi masowymi naruszeniami danych, takimi jak atak na Cognyte przeprowadzony w 2021 r. (5 mld skradzionych rekordów), platformę streamingową Twitch (5 mld rekordów), Linkedin (700 mln rekordów) czy Facebook (553 mln rekordów).
Jednym z najsłynniejszych przykładów MITM jest ujawnienie w 2013 r. przez Edwarda Snowdena informacji o programie PRISM, który polegał na masowym podsłuchiwaniu rozmów Amerykanów i obywateli innych krajów, prowadzonych poprzez VoIP i internet. W celu nielegalnego szpiegowania ludzi NSA (National Security Administration) podszywała się pod Google i przechwytywała cały ruch, fałszując także certyfikaty szyfrowania SSL.
O tym, że trwa właśnie atak może świadczyć nietypowe lub powtarzające się rozłączenia z usługą. Cyberprzestępcy szukają jak największej liczby okazji do wyłudzenia nazw użytkowników i haseł, a wielokrotne ich wpisywanie ułatwia im to zadanie. Należy również uważać na podejrzane adresy URL.
Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce, podkreśla, że ataki MITM są poważnym zagrożeniem dla wszystkich przedsiębiorstw i to niezależnie od ich wielkości. Organizacje: SCORE i SBA, które zapewniają przedsiębiorcom bezpłatny mentoring, w przeszłości oszacowały, że ok. 43 proc. wszystkich ataków ukierunkowanych jest w sektor małych i średnich firm, ponieważ zwykle są one gorzej zabezpieczone. Z kolei Business News Daily poinformował, że straty spowodowane cyberatakami na małe firmy wyniosły średnio 55 tys. USD.
Aktualizacja i zabezpieczenie domowych routerów WiFi, korzystanie z VPN czy stosowanie tam, gdzie to możliwe szyfrowania end-to-end, to zalecane przez Fortinet dobre praktyki w zakresie cyberbezpieczeństwa, które pozwolą uchronić się przed naruszeniami danych w wyniku ataku MITM.
