Man-in-the-Middle là gì? Cách phòng tránh MitM hiệu quả cho doanh nghiệp

Hiện nay, các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và nguy hiểm hơn bao giờ hết. Một trong những hình thức tấn công phổ biến nhưng ít người dùng Internet để ý đến là Man-in-the-Middle (MitM) cho phép tin tặc có thể âm thầm xâm nhập vào quá trình trao đổi thông tin giữa hai bên mà không bị phát hiện. Tấn công MitM đe dọa đến quyền riêng tư khiến người dùng mất thông tin cá nhân, tài khoản ngân hàng hoặc dữ liệu quan trọng. Vậy Man-in-the-Middle là gì? MitM hoạt động như thế nào và làm sao để phòng tránh hiệu quả? 

Man-in-the-Middle là gì?

Man-in-the-Middle (MitM) - Tấn công trung gian là một cuộc tấn công mạng mà kẻ tấn công đứng giữa người dùng và ứng dụng, để chặn thông tin liên lạc và trao đổi dữ liệu của họ và sử dụng cho mục đích xấu như thực hiện giao dịch mua hàng trái phép hoặc tấn công mạng.

Người dùng cho rằng họ đang tương tác độc quyền với một trang web đáng tin cậy và sẵn sàng từ bỏ thông tin đăng nhập, thông tin tài chính hoặc dữ liệu xâm phạm khác. Do đó, tội phạm mạng có thể dễ dàng lấy được dữ liệu nhạy cảm

Tội phạm mạng có thể nghe lén các tương tác bằng cách chen vào giữa một đường truyền internet hoặc trực tiếp mạo danh một bên thông qua trang web giả mạo để tấn công Man-in-the-Middle. Khi đăng nhập và nhập dữ liệu xảy ra, tin tặc có thể lấy thông tin để đánh cắp danh tính của ai đó, truy cập hoặc kiểm soát tài khoản của người dùng, thực hiện mua hàng hoặc chuyển tiền hoặc xâm nhập vào mạng của tổ chức.

Các ngành công nghiệp phổ biến cho các cuộc tấn công MitM là các ngân hàng và các ứng dụng ngân hàng của họ, các công ty tài chính, hệ thống chăm sóc sức khỏe và các doanh nghiệp vận hành mạng công nghiệp của các thiết bị kết nối bằng Internet vạn vật (IoT). Hàng triệu thiết bị có thể bị tấn công trong sản xuất, quy trình công nghiệp, hệ thống điện, cơ sở hạ tầng quan trọng.

Ví dụ, một sự cố năm 2014 đã xảy ra khi Lenovo phân phối máy tính có phần mềm quảng cáo Superfish Visual Search. Phần mềm cho phép tạo và triển khai quảng cáo trên các trang web được mã hóa và thay đổi chứng chỉ SSL để thêm chứng chỉ của riêng họ. Do đó, kẻ tấn công có thể xem hoạt động web và dữ liệu đăng nhập trong khi ai đó đang duyệt trên Chrome hoặc Internet Explorer.

Tấn công Man-in-the-Middle hoạt động như thế nào?

Trong các cuộc tấn công MitM, kẻ tấn công tự đưa mình vào giữa các giao dịch dữ liệu hoặc giao tiếp trực tuyến. Thông qua việc phân phối phần mềm độc hại, kẻ tấn công có thể dễ dàng truy cập vào trình duyệt web của người dùng và dữ liệu mà trình duyệt gửi và nhận trong quá trình giao dịch. Các trang web thương mại điện tử và ngân hàng trực tuyến yêu cầu xác thực an toàn là mục tiêu chính của các cuộc tấn công MitM vì chúng cho phép kẻ tấn công lấy được thông tin đăng nhập và các thông tin bí mật khác.

Thông thường, các cuộc tấn công Man-in-the-Middle được thực hiện thông qua một quy trình gồm hai bước được gọi là chặn dữ liệu và giải mã. Chặn dữ liệu là hành vi mà kẻ tấn công chặn dữ liệu truyền giữa máy khách và máy chủ, tạo kết nối đến trang web thực và hoạt động như một proxy để đọc và chèn thông tin sai vào giao tiếp.

Sau đây là các bước của kỹ thuật chặn dữ liệu:

Bước 1: Kẻ tấn công cài đặt một chương trình đánh hơi gói tin để đánh giá bất kỳ lưu lượng mạng nào có thể không an toàn như người dùng truy cập vào trang web dựa trên Giao thức HTTP hoặc sử dụng điểm truy cập công cộng không an toàn.

Bước 2: Khi người dùng đăng nhập vào trang web không an toàn, tin tặc sẽ lấy thông tin của người dùng và chuyển hướng họ đến một trang web giả mạo.

Bước 3: Trang web giả mạo sẽ bắt chước trang web gốc và thu thập mọi dữ liệu người dùng có liên quan, sau đó tin tặc có thể sử dụng dữ liệu này để truy cập mọi tài nguyên của người dùng trên trang web gốc.

Giai đoạn giải mã là giai đoạn dữ liệu bị chặn không được mã hóa. Lúc này, tin tặc giải mã và sử dụng dữ liệu theo hướng có lợi cho chúng. Ví dụ, chúng có thể thực hiện hành vi trộm cắp danh tính hoặc gây gián đoạn hoạt động kinh doanh.

Các loại tấn công Man-in-the-Middle

Để truy cập vào các thiết bị và thông tin nhạy cảm, tội phạm mạng sử dụng những cách sau để thực hiện các cuộc tấn công MitM:

• Giả mạo IP: Tội phạm mạng thay đổi địa chỉ Giao thức Internet (IP) của trang web, địa chỉ email hoặc thiết bị và giả mạo thực thể đó khiến người dùng nghĩ rằng họ đang tương tác với một nguồn đáng tin cậy trong khi thực tế họ đang truyền thông tin cho kẻ xấu.
• Giả mạo DNS: Đối với việc giả mạo Hệ thống tên miền DNS, kẻ gửi thư rác sẽ tạo và vận hành một trang web giả mạo mà người dùng quen thuộc và định tuyến họ đến trang web đó để lấy thông tin đăng nhập của người dùng hoặc thông tin khác.
• HTTPS Spoofing: Người dùng cho rằng một trang web có HyperText Transfer Protocol Secure (HTTPS), nghĩa là họ đã mã hóa dữ liệu máy tính của mình vào máy chủ trang web. Tuy nhiên, họ đã được chuyển hướng bí mật đến một trang web HTTP không an toàn, cho phép tội phạm theo dõi các tương tác và đánh cắp thông tin.

• Email Hijacking: Kẻ tấn công bí mật truy cập vào tài khoản email của công ty ngân hàng hoặc thẻ tín dụng để theo dõi các giao dịch và đánh cắp thông tin. Chúng cũng có thể sử dụng tài khoản email hoặc địa chỉ email giả mạo hơi khác so với địa chỉ email thực tế để cung cấp hướng dẫn sai cho khách hàng như chuyển tiền vào tài khoản thanh toán mới.
• Nghe lén WiFi: Những kẻ gửi thư rác tạo ra các mạng WiFi công cộng hoặc các điểm truy cập có vẻ như là một doanh nghiệp gần đó hoặc một nguồn đáng tin cậy khác. Người dùng kết nối sau đó sẽ bị chặn mọi hoạt động và dữ liệu nhạy cảm của họ.
• Tấn công SSL: Là một phần mở rộng của tấn công giả mạo HTTPS, tấn công SSL là khi tin tặc lợi dụng giao thức này để mã hóa các kết nối HTTPS và chặn dữ liệu người dùng truyền giữa chúng và máy chủ mà chúng đang kết nối tới.
• Chiếm đoạt phiên: Thường được gọi là đánh cắp cookie của trình duyệt, kẻ tấn công sẽ đánh cắp thông tin được lưu trữ trên cookie của trình duyệt web như mật khẩu đã lưu.

Làm thế nào để phát hiện cuộc tấn công Man-in-the Middle (MitM)?

Man-in-the-Middle thường là những hình thức tấn công quen thuộc như lừa đảo hay giả mạo mà người dùng và nhân viên có thể đã được đào tạo để nhận biết nhưng cũng không dễ phát hiện. Hiện nay, tội phạm mạng ngày càng tinh vi, việc nhận diện các cuộc tấn công MitM đòi hỏi sự kết hợp chặt chẽ giữa các biện pháp kỹ thuật và yếu tố con người. Dưới đây là một số dấu hiệu cảnh báo cho thấy có thể đang xảy ra một cuộc tấn công MitM hoặc có kẻ đang âm thầm nghe lén hoạt động mạng của bạn.

Ngắt kết nối bất thường

Một trong những dấu hiệu của cuộc tấn công Man-in-the-Middle là bạn thường xuyên bị đăng xuất khỏi các dịch vụ và phải đăng nhập lại nhiều lần một cách bất ngờ. Tin tặc có thể cố tình tạo ra các lần ngắt kết nối này để đánh cắp thông tin đăng nhập của bạn. Mỗi lần bạn nhập lại tên người dùng và mật khẩu, là thêm một cơ hội để chúng thu thập dữ liệu. Tình trạng này gây bất tiện đối với người dùng và rất có lợi cho kẻ tấn công trong việc đánh cắp thông tin.

URL lạ

Trong một vụ lừa đảo giả mạo, tội phạm mạng tạo ra các trang web giả mạo trông giống hệt các trang web đáng tin cậy, dễ nhận biết để dụ nạn nhân nhập thông tin đăng nhập của họ. Trong cuộc tấn công Man-in-the-Middle, trang web được gửi đến người dùng trong trình duyệt của họ là một trang web giả mạo và URL trong cửa sổ địa chỉ rõ ràng không phải là địa chỉ dễ nhận biết của trang web hoặc ứng dụng đáng tin cậy.

Những kẻ tấn công MitM sử dụng một vụ chiếm đoạt DNS để người dùng sẽ tương tác và tham gia vào trang web giả mạo trong khi mã độc chặn tin nhắn của họ và thu thập dữ liệu của họ. Đối với bất kỳ và tất cả các giao dịch tài chính cá nhân, người dùng nên kiểm tra cẩn thận các trang web của tổ chức tài chính của họ để xác định xem có điều gì đó có vẻ lạ không.

WiFi công cộng, không an toàn

Hạn chế sử dụng WiFi công cộng, đặc biệt là từ những địa điểm bạn không quen thuộc. Khác với WiFi miễn phí do thành phố cung cấp, nhiều mạng WiFi công cộng tại quán cà phê, nhà hàng hoặc nơi công cộng khác có thể tiềm ẩn rủi ro. Ngay cả khi bạn không thực hiện giao dịch ngân hàng hay chia sẻ thông tin quan trọng, kẻ tấn công vẫn có thể cài mã độc vào thiết bị để theo dõi tin nhắn, cuộc trò chuyện hoặc hoạt động trực tuyến của bạn. Chúng thường đặt tên mạng nghe có vẻ vô hại như “WiFi miễn phí gần đây” hoặc “Local Free Wireless” để đánh lừa người dùng. 

Cách phòng tránh tấn công Man-in-the Middle

Sau đây là một số biện pháp kiểm soát phòng ngừa cuộc tấn công Man-in-the-Middle mà bạn có thể sử dụng để bảo vệ người dùng và mạng của mình:

• Cập nhật và bảo mật router WiFi tại nhà: Khi làm việc từ xa, nhiều nhân viên sử dụng router WiFi tại nhà để truy cập vào hệ thống công ty. Firmware cần được cập nhật theo thời gian, phải thực hiện thủ công vì các bản cập nhật chương trình cơ sở không tự động. Ngoài ra, bạn cần cài đặt bảo mật của router ở mức mạnh nhất, theo Wi-Fi Alliance, hiện là WPA3.
• Sử dụng VPN khi kết nối với internet: VPN mã hóa dữ liệu truyền giữa các thiết bị và máy chủ VPN vì lưu lượng được mã hóa khó sửa đổi hơn.
• Sử dụng mật khẩu mạnh và trình quản lý mật khẩu: Mật khẩu vẫn là lớp bảo mật phổ biến và quan trọng, dù đã có nhiều phương thức xác thực hiện đại hơn. Vì vậy, bạn nên  sử dụng mật khẩu mạnh, dài, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt đồng thời sử dụng trình quản lý mật khẩu để lưu trữ và tạo mật khẩu an toàn cho từng dịch vụ. 
• Triển khai xác thực đa yếu tố (MFA): Ngoài mật khẩu, bạn nên sử dụng MFA để truy cập vào các thiết bị và dịch vụ trực tuyến. Đây biện pháp phòng thủ tốt nhất của các tổ chức chống lại các mối đe dọa.

• Chỉ kết nối đến các trang web an toàn: Luôn kiểm tra xem trang web bạn truy cập có biểu tượng ổ khóa ở đầu thanh địa chỉ hay không. Tránh truy cập các trang chỉ dùng HTTP hoặc không có biểu tượng ổ khóa, vì chúng không an toàn. Người dùng có thể cài thêm plugin trình duyệt để tự động chặn các trang web không bảo mật. Ngoài ra, nhiều hệ thống an ninh mạng hiện nay cũng hỗ trợ tính năng lọc web, ngăn nhân viên truy cập vào các trang không dùng HTTPS. 
• Mã hóa lưu lượng DNS: DNS giúp chuyển tên miền thành địa chỉ IP để kết nối Internet. Tuy nhiên, nếu không được mã hóa, lưu lượng DNS có thể bị chặn hoặc theo dõi. Để bảo vệ quyền riêng tư, nên sử dụng các công nghệ như DNS qua TLS (DoT) hoặc DNS qua HTTPS (DoH). Các phương thức này sẽ mã hóa dữ liệu DNS giữa thiết bị của bạn và máy chủ DNS, giúp ngăn chặn kẻ xấu giả mạo hoặc nghe lén. Đồng thời, chúng sử dụng chứng chỉ bảo mật để xác minh danh tính máy chủ DNS, đảm bảo dữ liệu được gửi đến đúng nơi. 
• Áp dụng Zero Trust: Zero Trust là mô hình bảo mật yêu cầu mọi thiết bị, người dùng và ứng dụng dù ở bên trong hay ngoài mạng đều phải được xác minh kỹ lưỡng trước khi cấp quyền truy cập. Với tính năng kiểm tra liên tục và kiểm soát truy cập chặt chẽ, Zero Trust giúp ngăn chặn các cuộc tấn công MitM ngay từ đầu hoặc hạn chế thiệt hại nếu cuộc tấn công đã xảy ra. 

Kết luận

Tấn công Man-in-the-Middle (MitM) là một trong những mối nguy hiểm âm thầm nhưng cực kỳ nghiêm trọng trong thế giới mạng hiện đại. Hy vọng, bạn đã hiểu rõ cách thức hoạt động của MitM cũng như áp dụng các biện pháp phòng tránh được Việt Tuấn đưa ra ở trên để chủ động bảo vệ bản thân trước những nguy cơ tiềm ẩn, giảm thiểu rủi ro và giữ an toàn cho dữ liệu cá nhân hiện nay.