Атаки “Людина посередині” є серйозною проблемою для безпеки. Ось що Вам потрібно знати, щоб захистити себе.

Що таке MITM-атака

Атака “Людина посередині” (MITM) – це загальний термін для позначення ситуації, коли зловмисник позиціонує себе в розмові між користувачем і додатком – або для підслуховування, або для того, щоб видати себе за одну зі сторін, створюючи враження, що відбувається звичайний обмін інформацією.

Мета атаки – викрасти особисту інформацію, таку як облікові дані для входу в систему, дані рахунків і номери кредитних карток. Цілями зазвичай стають користувачі фінансових додатків, SaaS-бізнесу, сайтів електронної комерції та інших веб-сайтів, де потрібен вхід в систему.

Інформація, отримана під час атаки, може бути використана для багатьох цілей, включаючи крадіжку особистих даних, несанкціоновані перекази коштів або незаконну зміну пароля.

Крім того, вона може бути використана для того, щоб закріпитися всередині захищеного периметра на етапі проникнення під час атаки з використанням сучасних постійних загроз (APT).

Читайте також

Заходи з кібербезпеки: 10 помилок, яких припускаються користувачі

Що робить Linux таким надійним?

Як розпізнати небезпечні вкладення та шкідливе ПЗ в електронній пошті

Під загрозою кібератак: як захистити корпоративні дані у 2025 році

Як відрізнити додатки-підробки у Google Play Маркет?

У широкому розумінні, MITM-атака – це еквівалент того, що листоноша відкриває вашу банківську виписку, записує дані вашого рахунку, а потім запечатує конверт і доставляє його до ваших дверей.

“Краса” (за відсутності кращого слова) атак MITM – це те, що зловмисник не обов’язково повинен мати доступ до Вашого комп’ютера, фізично чи віддалено. Він або вона можуть просто сидіти в тій самій мережі, що і Ви, і тихо перебирати дані. MITM може навіть створити свою власну мережу і обманом спонукати Вас використовувати її.

Атаки на основі мережі та бездротові маршрутизатори

Дивовижно, але люди стають надто довірливими, коли справа стосується підключення до точок Wi-Fi у громадських місцях. Вони бачать слова “безкоштовний Wi-Fi” і не замислються, що, можливо, за ним стоїть нечесний хакер.

Створити шахрайську точку доступу простіше, ніж це звучить. Є навіть фізичні апаратні продукти, які роблять це неймовірно просто. Однак вони призначені для законних фахівців з кібербезпеки, які виконують тести на проникнення.

Крім того, не забувайте, що маршрутизатори – це комп’ютери, які мають жахливу безпеку. Одні і ті ж паролі за замовчуванням, як правило, повторно використовуються через цілі рядки. Ще один можливий шлях атаки – маршрутизатор, інфікований шкідливим кодом, який дозволяє сторонній особі виконувати атаку MITM здалеку.

Зловмисне програмне забезпечення та атаки MITM

Як ми вже згадували раніше, противник цілком може здійснити атаку MITM, не перебуваючи в одній кімнаті з Вами чи навіть на одному континенті. Один із способів зробити це – за допомогою шкідливого програмного забезпеченням.

Атака man-in-the-browser (MITB) відбувається, коли веб-браузер заражений шкідливим програмним забезпеченням. Іноді це робиться через фальшиве розширення, яке надає зловмиснику майже безперешкодний доступ.

Наприклад, хтось може маніпулювати веб-сторінкою, щоб показати щось інше, ніж на справжньому сайті. Зловмисник також може викрадати активні сеанси на веб-сайтах, таких як банківські сторінки чи соціальні медіа, та розповсюджувати спам або красти кошти.

Одним із прикладів цього був Trojan SpyEye, який використовувався як кейлоггер для крадіжки облікових даних для веб-сайтів. Він також може заповнювати форми новими полями, дозволяючи зловмиснику захоплювати ще більше особистої інформації.

Як відбувається атака “Людина посередині”

Успішне виконання MITM складається з двох окремих фаз: перехоплення та розшифрування.

Перехоплення

На першому етапі перехоплюється трафік користувача через мережу зловмисника до того, як він досягне місця призначення.

Найпоширеніший (і найпростіший) спосіб зробити це – пасивна атака, в якій зловмисник робить безкоштовну, шкідливу точку доступу WiFi загальнодоступною. Зазвичай вони мають назву, яка відповідає їхньому місцезнаходженню, і не захищені паролем. Як тільки жертва підключається до такої точки доступу, зловмисник отримує повний контроль над будь-яким обміном даними в Інтернеті.

Зловмисники, які бажають застосувати більш активний підхід до перехоплення, можуть запустити одну з наступних атак:

• Підміна IP-адреси – зловмисник маскується під програму, змінюючи заголовки пакетів в IP-адресі. В результаті користувачі, які намагаються отримати доступ до URL-адреси, пов’язаної з додатком, перенаправляються на веб-сайт зловмисника.
• Підміна ARP – це процес зв’язування MAC-адреси зловмисника з IP-адресою законного користувача в локальній мережі за допомогою підроблених ARP-повідомлень. В результаті, дані, надіслані користувачем на IP-адресу хоста, замість цього передаються зловмиснику.
• Підміна DNS, також відома як отруєння кешу DNS, передбачає проникнення на DNS-сервер і зміну адресного запису веб-сайту. В результаті користувачі, які намагаються отримати доступ до сайту, перенаправляються за зміненим записом DNS на сайт зловмисника.

Розшифрування

Після перехоплення будь-який двосторонній SSL-трафік необхідно розшифрувати без попередження користувача або програми. Для цього існує кілька методів:

• Підміна HTTPS надсилає фальшивий сертифікат до браузера жертви після першого запиту на підключення до захищеного сайту. Він містить цифровий відбиток пальця, пов’язаний зі скомпрометованим додатком, який браузер перевіряє за наявним списком довірених сайтів. Після цього зловмисник може отримати доступ до будь-яких даних, введених жертвою до того, як вони будуть передані додатку.
• SSL BEAST (браузерний експлойт проти SSL/TLS) націлений на вразливість TLS версії 1.0 в SSL. Тут комп’ютер жертви заражається шкідливим JavaScript, який перехоплює зашифровані файли cookie, що надсилаються веб-додатком. Потім компрометується ланцюжок блоків шифрування (CBC) додатку, щоб розшифрувати його файли cookie та токени автентифікації.
• Перехоплення SSL відбувається, коли зловмисник передає підроблені ключі автентифікації як користувачеві, так і додатку під час рукостискання TCP. Це створює видимість безпечного з’єднання, хоча насправді людина посередині контролює весь сеанс.
• Зняття SSL знижує рівень HTTPS-з’єднання до HTTP, перехоплюючи TLS-автентифікацію, що надсилається від програми користувачеві. Зловмисник надсилає користувачеві незашифровану версію сайту додатку, зберігаючи при цьому захищений сеанс з додатком. При цьому зловмисник бачить весь сеанс користувача.

Запобігання атакам типу “Людина посередині”

Блокування MITM-атак вимагає декількох практичних кроків з боку користувачів, а також поєднання методів шифрування та верифікації для додатків.

Для користувачів це означає:

• Уникати з’єднань WiFi, не захищених паролем.
• Звертати увагу на сповіщення браузера про те, що веб-сайт є незахищеним.
• Негайний вихід із захищеного додатку, коли він не використовується.
• Не використовувати публічні мережі (наприклад, кав’ярні, готелі) під час проведення чутливих транзакцій.

Якщо ж уникнути використання публічної  мережі WiFi не вдається, використовуйте VPN, який зашифрує весь трафік між Вашим комп’ютером та зовнішнім світом, захистивши вас від MITM-атак. Звичайно, тут рівень Вашої безпеки на стільки високий і хороший, як постачальник VPN, який Ви використовуєте, тому вибирайте ретельно. Іноді варто заплатити трохи коштів за послугу, якій можна довіряти. Якщо Ваш роботодавець пропонує Вам VPN під час подорожі, обов’язково скористайтесь ним.

Для операторів веб-сайтів безпечні протоколи зв’язку, зокрема TLS і HTTPS, допомагають пом’якшити атаки спуфінгу завдяки надійному шифруванню та автентифікації даних, що передаються. Це запобігає перехопленню трафіку сайту і блокує розшифровку конфіденційних даних, таких як токени автентифікації.

Вважається, що найкращою практикою для додатків є використання SSL/TLS для захисту кожної сторінки сайту, а не лише тих сторінок, які вимагають від користувачів входу в систему. Це зменшує ймовірність викрадення зловмисником сесійних файлів cookie у користувача, який переглядає незахищений розділ веб-сайту під час входу в систему”.

Ця стаття Що таке атака “Людина посередині” (MITM) та як себе захистити? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

У специфікаціях Bluetooth Core і Mesh Profile виявили уразливості, що дозволяють зловмисникам видавати себе за легітимний пристрій під час створення пари. Завдяки експлуатації виявлених уразливостей кіберзлочинці можуть запустити атаки типу “Людина посередині” (man-in-the-middle, MitM).

Специфікації Bluetooth Core і Mesh Profile визначають вимоги, необхідні Bluetooth-пристроям для взаємодії один з одним. Про вразливості розповіли фахівці Національного агентства безпеки інформаційних систем Франції (ANSSI).

За словами дослідників, перебуваючи в радіусі дії Bluetooth, потенційний зловмисник може запустити атаки MitM. Проблему визнала організація Bluetooth Special Interest Group (SIG), що займається розвитком і підтримкою стандартів, сервісів і додатків Bluetooth.

Загалом експерти знайшли сім уразливостей, шість з яких вже отримали ідентифікатори:

• CVE-2020-26559
• CVE-2020-26556
• CVE-2020-26557
• CVE-2020-26560
• CVE-2020-26555
• CVE-2020-26558

“Ми передали компаніям технічні подробиці уразливостей і методи протидії їх експлуатації. Всім рекомендується терміново встановити вже готові патчі. Як завжди, користувачам технології Bluetooth варто переконатися, що на і пристроях стоять останні апдейти від виробників”, – пише Bluetooth SIG.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Баги в Bluetooth дозволяють хакерам відобразити легітимний пристрій раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

За словами експертів, за допомогою цього вектора можна обійти захист ПІН-кодом. Відповідне дослідження опублікували співробітники Швейцарської вищої технічної школи Цюріха (ETHZ), які взяли за основу інший звіт, датований вереснем 2020 року, пише The Hacker News.

Як запевняли фахівці у вересні, зловмисники можуть використовувати вкрадені або загублені банківські карти громадян для оплати дорогих товарів, обходячи при цьому стандартний захист ПІН-кодом від операцій на великі суми.

“Насправді, ця атака серйозніша, ніж може здаватися. Наприклад, злочинці можуть використовувати цей метод для обходу захисту ПІН-кодом”, – писали дослідники.

Новий звіт показує, як зловмисники можуть використовувати “серйозні” уразливості в протоколі EMV, який прийнятий міжнародним стандартом для операцій за банківськими картками з чіпом. На цей раз в зоні ризику банківські карти, випущені Mastercard.

Згідно зі звітом фахівців, атаку можна здійснити за допомогою спеціального Android-додатку, який реалізує атаку “людина посередині” (Man-in-the-Middle, MitM). В результаті додаток зможе не тільки пересилати повідомлення між терміналом і картою, а й вдаватися до NFC-взаємодії.

Іншими словами, зловмисник використовує уразливості в процесі перевірки ідентифікатора AID терміналом. Як правило, POS визначає тип карти, грунтуючись на PAN-номері і AID.

Детальніше з методом атаки можна ознайомитися на відео, яке записали експерти:

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Нова атака може обдурити термінал для оплати та обійти захист ПІН-кодом раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Уразливість в iOS, що загрожує захопленням контролю над близько розташованим пристроєм за допомогою Wi-Fі та яку можна з легкістю проексплуатувати, виявили фахівці з кібербезпеки.

У разі успіху зловмисник зможе безперешкодно переглядати фотоальбом жертви, читати приватні повідомлення і відслідковувати дії на пристрої в реальному часі.

Проблему, якій було надано ідентифікатор CVE-2020-9844, виявив учасник проекту Google Project Zero Іан Бір (Ian Beer). Отримавши звіт, Apple скоригувала код і випустила відповідні оновлення для iOS ( 13.5 ) і macOS Catalina (10.15.5) – вони вийшли в травні.

Показовий експлойт CVE-2020-9844 був опублікований у вівторок, 1 грудня ц.р. У своїх бюлетенях Apple класифікує вразливість як подвійне звільнення пам’яті, яке може викликати системний збій і спричинити порушення цілісності пам’яті ядра.

У своєму блозі Бір пояснив, що коренем проблеми є помилка переповнення буфера, яка виникає під час роботи Wi-Fi-драйвера, асоційованого з протоколом Apple Wireless Direct Link (AWDL). Цей протокол Apple спеціально розробила для спрощення комунікацій між своїми пристроями.

Для демонстрації експлойта дослідник використовував iPhone 11 Pro, комп’ютер Raspberry Pi і два різних Wi-Fi-адаптери. У підсумку він зміг віддалено отримати доступ на читання і запис до пам’яті ядра цільового пристрою і впровадити в неї шел-код з правами root, а також вийти за межі пісочниці і дістатися до призначених для користувача даних.

Відомостей про використання CVE-2020-9844 в реальних атаках поки немає, проте Бір вважає, що вендори експлойтів вже взяли цю уразливість на замітку. Баги в пропрієтарному протоколі AWDL оголошувалися й раніше.

Так, в липні дослідники з Дармштадтського технічного університету розкрили інформацію про уразливості, які давали можливість стежити за користувачами “яблучних” гаджетів, викликати системні збої, а також перехоплювати файли, що пересилаються між пристроями, за допомогою атаки man-in-the-middle.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Уразливість в iOS дозволяла віддалено зламати iPhone за допомогою Wi-Fi раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. Попередження щодо цього випустили організація Bluetooth SIG і Координаційний центр CERT при Університеті Карнегі-Мелон.

Проблема (CVE-2020-15802) пов’язана з компонентом стандарту Cross-Transport Key Derivation (CTKD), який використовують для установки ключів аутентифікації при сполученні Bluetooth-пристроїв з підтримкою стандартів Low Energy (BLE) і Basic Rate/Enhanced Data Rate (BR/EDR ). За допомогою вразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.

Дана уразливість дозволяє провести ряд атак, включаючи атаку “людина посередині”. Як наголошується, в залежності від варіанту атаки BLURtooth атакуючий може або повністю перезаписати ключі аутентифікації, або відкотити стандарт шифрування до більш ненадійною версії.

Уразливість зачіпає стандарти Bluetooth з 4.0 до 5.0. У версії Bluetooth 5.1 реалізовані функції, що дозволяють запобігти експлуатацію BLURtooth. В даний час Bluetooth SIG проводить роботу з інформування виробників Bluetooth-пристроїв про проблему і способи її вирішення. Коли будуть доступні патчі, не уточнюється.

Bluetooth Special Interest Group (Bluetooth SIG) – організація по стандартизації, яка стежить за розвитком Bluetooth стандартів та ліцензування технологій Bluetooth і товарних знаків для виробників.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ

Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ

Як захистити екаунт TikTok? Поради

Нове сімейство троянських шкідливих програм виявили фахівці з кібербезпеки. Загроза поширюється через шкідливі торенти та використовує численні прийоми, щоб отримати якомога більше криптовалюти від жертв, та при цьому уникнути виявлення.

Також компанії Apple і Google оголосили, що в майбутніх версіях операційних систем iOS і Android буде реалізована система відстеження поширення COVID-19, для використання якої раніше була потрібна установка окремого додатка.

Зверніть увагу, як з’ясували фахівці компанії Palo Alto Networks, найчастіше зловмисники імітують сайти Microsoft, Facebook, Netflix, PayPal, Apple, Royal Bank of Canada, LinkedIn, Google, Apple iCloud, Bank of America, Dropbox, Amazon і Instagram.

До речі, Apple випадково дозволила шкідливій програмі Shlayer працювати на macOS. Шкідливе ПЗ було замасковано під оновлення для Adobe Flash Player і пройшло необхідну верифікацію в Mac App Store.

Співробітники Mozilla провели нове дослідження, яке підтвердило, що історія переглядів браузера дозволяє ідентифікувати користувачів. Вони з’ясували, що більшість користувачів слідують звичними схемами перегляду веб-сторінок, і це дозволяє онлайн-рекламодавцям створювати їх точні профілі.

Ця стаття Уразливість у Bluetooth дозволяє провести атаку “людина посередині” раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар