Man-in-the-Middle: Tip untuk Deteksi dan Pencegahan

Serangan Man-in-the-Middle adalah bentuk serangan siber yang menggunakan metode untuk mencegat data untuk menyusup ke koneksi atau proses komunikasi yang ada. Penyerang dapat menjadi pendengar pasif dalam percakapan Anda, diam-diam mencuri informasi, atau peserta aktif, mengubah konten pesan Anda, atau meniru orang atau sistem yang menurut Anda sedang Anda ajak bicara.



Pikirkan kembali abad ke-20, ketika banyak yang memiliki sambungan telepon rumah dengan banyak handset, dan satu anggota keluarga dapat menjawab sementara yang lain berbicara. Anda bahkan mungkin tidak curiga bahwa ada orang lain yang mendengarkan Anda sampai mereka mulai terlibat dalam percakapan. Ini adalah prinsip serangan man-in-the-middle.

Bagaimana cara kerja serangan man-in-the-middle?

Kebanyakan serangan man-in-the-middle, apa pun metode yang digunakan, memiliki urutan tindakan yang sederhana. Mari kita pertimbangkan dengan menggunakan contoh tiga karakter: Alice, Bob dan Chuck (penyerang).

1. Chuck diam-diam mendengar saluran komunikasi Alice dan Bob
2. Alice mengirim pesan ke Bob
3. Chuck menyadap dan membaca pesan Alice tanpa sepengetahuan Alice atau Bob.
4. Chuck mengubah pesan antara Alice dan Bob, membuat respons yang tidak diinginkan atau berbahaya

Serangan man-in-the-middle biasanya digunakan di awal rantai pembunuhan - selama pengintaian, invasi, dan infeksi. Penyerang sering menggunakan serangan man-in-the-middle untuk mengumpulkan kredensial dan informasi tentang target mereka.



Otentikasi multi-faktor dapat menjadi pertahanan yang efektif terhadap pencurian kredensial. Meskipun penyerang mengetahui nama pengguna dan kata sandi Anda, mereka akan membutuhkan faktor otentikasi kedua Anda untuk menggunakannya. Sayangnya, dalam beberapa kasus, perlindungan multi-faktor dapat dilewati .



Berikut adalah contoh praktis dari serangan man-in-the-middle di dunia nyata pada Microsoft Office 365, di mana penyerang melewati otentikasi multi-faktor:

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

Anda dapat menonton demo langsung serangan ini selama lokakarya serangan dunia maya mingguan kami .

Metode dan jenis serangan man-in-the-middle

Berikut adalah beberapa taktik umum yang digunakan oleh penyerang untuk menjadi "orang di tengah".

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

Seberapa umum serangan man-in-the-middle?

Serangan man-in-the-middle telah ada sejak lama, dan meskipun tidak lazim seperti phishing, malware, atau bahkan ransomware, serangan tersebut biasanya merupakan bagian dari serangan target yang kompleks di mana penyerang memiliki niat yang jelas. Misalnya, penyerang yang ingin mencuri nomor kartu bank dapat menemukan data ini dengan mencegat lalu lintas Wi-Fi di kafe. Penyerang lain dapat menggunakan serangan man-in-the-middle sebagai bagian dari rencana yang lebih besar untuk menembus jaringan perusahaan besar. Kami lab man-in-the-middle attack menunjukkan bagaimana seorang penyerang dapat menggunakan malware untuk lalu lintas jaringan mencegat dan email perusahaan menyusup.

Bagaimana mendeteksi serangan man-in-the-middle

Serangan man-in-the-middle tidak kentara, tetapi kehadirannya masih meninggalkan jejak dalam aktivitas jaringan normal, dan profesional keamanan siber serta pengguna akhir dapat menemukan jejak ini. Secara umum diterima bahwa lebih baik mencegah daripada mendeteksi.

Tanda-tanda serangan man-in-the-middle

Berikut ini beberapa tanda bahwa Anda mungkin memiliki pendengar tak diundang di jaringan Anda:

• Pemutusan sambungan tak terduga atau berulang: Penyerang memaksa pengguna untuk memutuskan sambungan untuk menghalangi nama pengguna dan sandi saat mereka mencoba menyambung kembali. Dengan memantau perjalanan tak terduga atau berulang, Anda dapat mengantisipasi perilaku berbahaya tersebut sebelumnya.
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

Berikut adalah beberapa pedoman untuk melindungi Anda dan jaringan Anda dari serangan man-in-the-middle. Namun, tidak ada yang menjamin keandalan 100%.

Praktik terbaik umum

Kepatuhan pada aturan keamanan siber umum akan membantu Anda melindungi dari serangan man-in-the-middle:

• Hubungkan hanya ke router Wi-Fi yang diamankan, atau gunakan koneksi terenkripsi operator nirkabel Anda. Sambungkan ke router yang menggunakan protokol keamanan WPA2. Itu tidak memberikan keamanan mutlak, tetapi masih lebih baik daripada tidak sama sekali.
• Gunakan VPN untuk mengenkripsi lalu lintas antara titik akhir dan server VPN (di jaringan perusahaan Anda atau di Internet). Jika lalu lintas dienkripsi, akan lebih sulit bagi “man in the middle” untuk mencegat atau memodifikasinya.
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

Enkripsi ujung-ke-ujung akan membantu mencegah penyerang membaca pesan jaringan Anda, bahkan jika mereka mendengarkan lalu lintas Anda. Dengan enkripsi, pengirim dan penerima menggunakan kunci bersama untuk mengenkripsi dan mendekripsi pesan saat transit. Tanpa kunci ini, pesan Anda akan terlihat seperti sekumpulan karakter acak, dan "pria di tengah" tidak akan dapat memanfaatkannya.



Enkripsi mempersulit penyerang untuk mencegat dan membaca data jaringan, tetapi masih mungkin dan tidak memberikan perlindungan lengkap terhadap pengungkapan informasi Anda, karena penyerang telah mengembangkan metode untuk melewati enkripsi.



Misalnya, di laboratorium kami mempelajari serangan man-in-the-middle, kami mendemonstrasikan bagaimana penyerang dapat mencuri token otentikasi yang berisi nama pengguna, kata sandi, dan informasi otentikasi multi-faktor untuk masuk ke akun email. Setelah cookie sesi dibajak, tidak masalah jika komunikasi antara klien dan server dienkripsi - peretas cukup masuk sebagai pengguna akhir dan dapat mengakses informasi yang sama dengan pengguna tersebut.

Masa depan serangan man-in-the-middle

Serangan man-in-the-middle akan tetap menjadi alat yang efektif di gudang penyerang selama mereka dapat mencegat data sensitif seperti kata sandi dan nomor kartu bank. Ada perlombaan senjata yang konstan antara pengembang perangkat lunak dan penyedia layanan jaringan di satu sisi dan penjahat dunia maya di sisi lain untuk menghilangkan kerentanan yang digunakan penyerang untuk meluncurkan serangan mereka.



Ambil contoh ekspansi besar-besaran dari Internet of Things (IoT) .selama beberapa tahun terakhir. Perangkat IoT belum memenuhi standar keamanan dan tidak memiliki kemampuan yang sama dengan perangkat lain, yang membuatnya lebih rentan terhadap serangan man-in-the-middle. Penyerang menggunakannya untuk memasuki jaringan organisasi dan kemudian beralih ke metode lain. Siapa yang menyangka bahwa lemari es dengan akses Internet bukan hanya perangkat modis baru, tetapi juga lubang pada sistem keamanan? Penjahat dunia maya tahu ini!



Jaringan nirkabel yang tersebar luas seperti 5G, Apakah kesempatan lain bagi penyerang untuk menggunakan serangan man-in-the-middle untuk mencuri data dan menyusup ke organisasi. Hal ini telah banyak ditunjukkan pada konferensi keamanan komputer BlackHat 2019. Perusahaan teknologi nirkabel memiliki tanggung jawab untuk mengatasi kerentanan seperti yang ditampilkan di BlackHat dan menyediakan tulang punggung yang aman bagi pengguna dan perangkat.



Tren saat ini sedemikian rupa sehingga jumlah jaringan dan perangkat yang terhubung dengannya terus bertambah, yang berarti penyerang memiliki lebih banyak kesempatan untuk menggunakan metode man-in-the-middle. Mengetahui tanda-tanda serangan man-in-the-middle dan menerapkan teknik deteksi dapat membantu Anda mendeteksi serangan sebelum menyebabkan kerusakan.



Kunjungi kamiLokakarya Serangan Cyber ​​Langsung , di mana kami mendemonstrasikan bagaimana penyerang man-in-the-middle dapat mencegat token otentikasi pengguna untuk menyusup dan mencuri data sensitif. Kami juga akan menunjukkan bagaimana Varonis dapat mendeteksi jenis serangan ini.