Modo de ataque de ataque de intermediario

El ataque de intermediario (ataque MITM) ha sido durante mucho tiempo un método de ataque antiguo comúnmente utilizado por los piratas informáticos y todavía tiene mucho espacio para expandirse en la actualidad. En términos de seguridad de la red, los ataques MITM se utilizan ampliamente. Técnicas que alguna vez estuvieron muy extendidas, como el secuestro de sesiones de SMB y la suplantación de DNS, son ataques MITM típicos. Cuando la tecnología de piratería se utiliza cada vez más para obtener beneficios financieros, los ataques MITM se han convertido en los métodos de ataque más amenazantes y destructivos para la banca, los juegos y las transacciones en línea. Cuando A y B se comunican, C no los "reenvía" activamente, sino que solo realiza una copia de seguridad de los datos que transmiten para obtener información confidencial, como números de cuenta y contraseñas. Este es un ataque pasivo y es muy difícil de detectar.

Al implementar un ataque de intermediario, los atacantes a menudo consideran la suplantación de ARP o la suplantación de DNS para cambiar en secreto el tráfico de comunicación de ambas partes en la sesión, lo cual es completamente transparente para ambas partes en la sesión. . Tomemos como ejemplo la suplantación de DNS común. El objetivo envía su solicitud de DNS al atacante, quien luego falsifica la respuesta de DNS y reemplaza la dirección IP correcta con otra IP. Luego inicia sesión en la IP designada por el atacante. El atacante ha organizado sitios web falsos, como sitios web de bancos, en esta IP para engañar a los usuarios para que ingresen la información deseada, como números de cuentas bancarias, contraseñas, etc. Esto puede verse como una forma de ataque de phishing. Para los usuarios individuales, para evitar el secuestro de DNS, tengan cuidado de no hacer clic en conexiones desconocidas, no visitar sitios web de origen desconocido y no realizar transacciones en línea en sitios web pequeños. Lo más importante es recordar el nombre de dominio del sitio web al que vas. Por supuesto, también puede anotar las direcciones IP de algunos sitios web que visita con frecuencia, enviar información confidencial e ingresar directamente la dirección IP para iniciar sesión cuando sea necesario.

Para evitar ataques MITM, parte de la información confidencial se puede cifrar antes de transmitirse, por lo que es difícil descifrarla incluso si es interceptada por un "intermediario". Además, algunos métodos de autenticación pueden detectar ataques MITM. Por ejemplo, detección de anomalías en el dispositivo o la IP: si el usuario nunca antes ha utilizado el dispositivo o la IP para acceder al sistema, el sistema tomará medidas. También existe la detección de frecuencia de dispositivo o IP: si un solo dispositivo o IP accede a una gran cantidad de cuentas de usuario al mismo tiempo, el sistema también tomará medidas. Una forma más eficaz de prevenir ataques MITM es realizar una autenticación fuera de banda. El proceso específico es: el sistema realiza una devolución de llamada telefónica automática en tiempo real, envía el código PIN secundario a SMS (SMS Gateway) y SMS Gateway lo reenvía al usuario. Una vez que el usuario lo reciba, enviará el código PIN secundario a la puerta de enlace SMS para confirmar si es un usuario real. La autenticación fuera de banda proporciona muchos métodos y canales de autenticación diferentes. La ventaja es que los atacantes MITM no afectarán todos los procesos de autenticación. Por ejemplo, MITM intercepta información confidencial a través de sitios web falsos. La "autenticación fuera de banda" relacionada se refiere a confirmar la autenticidad del usuario mediante autenticación telefónica o autenticación por SMS, y los atacantes de MITM no pueden obtener ninguna información. Por supuesto, este método es más problemático.