Man-in-the-middle Attack là gì? Các cuộc tấn công MITM là mối đe dọa nghiêm trọng, đặc biệt đối với người dùng ví điện tử, tài khoản ngân hàng và sàn giao dịch trong thị trường crypto. Hacker có thể đánh cắp dữ liệu, chiếm quyền kiểm soát tài sản chỉ qua một kết nối không an toàn. Do đó, việc nhận diện các hình thức MITM phổ biến và biết cách phòng tránh là yếu tố then chốt để bảo vệ ví tiền số của bạn. Khám phá ngay cùng coin568net để hiểu rõ và phòng ngừa hiệu quả!
MITM là gì? Tổng quan về tấn công Man-in-the-Middle
Man in the Middle Attack là gì? Đây là cuộc tấn công trên đường truyền (on-path attack). MITM là một hình thức tấn công Internet mà người thực hiện thầm lặng chuyển tiếp và có thể sửa đổi nội dung giao tiếp giữa đôi bên, điều này làm cho họ lầm tưởng rằng họ đang được giao dịch trực tiếp với nhau. Kẻ thực hiện sẽ xâm nhập vào giữa cuộc trò chuyện mà không bị ai phát giác.
Tấn công đường truyền đã được áp dụng nhiều và mang đến nhiều khó khăn trong thế giới mật mã học và an ninh máy tính, hình thức này sử dụng cho cả thiết bị mạng có dây và không dây. MITM được dùng để nghe trộm các thông tin, tác động trực tiếp đến giao dịch và truyền dữ liệu dựa trên thời gian thực tế.
Cách thức hoạt động của Man-in-the-Middle
Vậy cách thức hoạt động của Man-in-the-Middle là gì? Chúng tôi sẽ giải đáp ngay tại đây.
Một ví dụ minh hoạ về tấn công trên đường truyền với mục đích nghe lén chủ động. Lúc này, kẻ tấn công sẽ cài đặt các liên kết độc lập với đối tượng mà họ nhắm đến và chuyển các thông điệp giữa họ, điều này làm cho cả hai tin chắc rằng họ đang trò chuyện với đối phương bằng một kết nối độc lập.
Kẻ xấu sẽ đứng chính giữa của đôi bên (thường là máy tính hay máy chủ), thông qua những điểm thiếu sót trên mạng như giả mạo ARP hay giả mạo DNS.
Kết nối riêng tư không chỉ là giao tiếp giữa hai khách hàng mà còn là chính bạn đang tương tác với giao thức, website, ứng dụng,…
Kẻ tấn công MITM sẽ nghe lén tất cả cuộc trò chuyện giữa 2 người, lấy thông tin quan trọng như mật khẩu, số thẻ tín dụng, thông tin cá nhân,… Thậm chí, kẻ tấn công có thể sửa thông tin mà hai bên đang trao đổi với nhau.
Để quá trình này được thực hiện thuận lợi, kẻ xấu cần ngăn chặn toàn bộ thông điệp mà hai người tương tác và thêm thông điệp mới mà kẻ tấn công muốn truyền đạt.
Họ có thể hủy hoại cuộc giao tiếp được mã hóa, chuyển đổi thông tin mã hóa sang văn bản để dễ dàng hiểu.
Chẳng hạn, một kẻ xấu tiến hành tấn công điểm phát WiFi chưa mã hóa để có thể dễ dàng đưa bản thân vào giữa và tiến hành cuộc tấn công nhằm đạt được mục đích.
Các loại tấn Man-in-the-Middle phổ biến hiện nay
Sau khi tìm hiểu về Man-in-the-Middle Attack là gì và cách hoạt động của MITM, tiếp theo đây chúng tôi sẽ đề cập đến các loại tấn công trên đường truyền thường thấy nhất. Cụ thể:
- Giả mạo ARP: Hacker sẽ chuyển thông điệp ARP giả vào mạng, qua mặt các thiết bị để có thể gửi thông tin qua máy của người tấn công.
- Giả mạo DNS: Họ sẽ chuyển đổi các bản ghi DNS, làm cho nạn nhân mở website giả mạo chứ không phải là trang web uy tín.
- Xâm nhập vào mạng công cộng: Tin tặc sẽ cài đặt điểm truy cập mạng giả hay khai thác những địa điểm truy cập không chất lượng.
- Tấn công Bluetooth: Tận dụng những thiếu sót trong giao thức Bluetooth nhằm chặn và điều khiển thông tin truyền giữa các thiết bị với nhau.
- Tấn công thông qua trình duyệt: Hacker sẽ dùng những tiện ích nâng cao hay ứng dụng xấu để chặn và chỉnh sửa dữ liệu trên trình duyệt.
- Giả mạo SSL/TLS: Người tấn công MITM sẽ dùng chứng chỉ giả mạo hay tìm kiếm lỗ hổng trên giao thức SSL/TLS để chặn và dịch dữ liệu truyền.
Với những cách Man-in-the-Middle Attack phía trên, với những khách hàng thường và không cập nhật nhiều thông tin về bảo mật Internet of Thing cần phải đề phòng trước các cuộc tấn công thông qua mạng công cộng.
Tại quốc gia Việt Nam, Wifi là một dịch vụ cần thiết và miễn phí, cũng có nhiều người không bao giờ quan tâm đến vấn đề bị tấn công qua Wifi mà kết nối không do dự. Đây cũng là lý do mà bạn vẫn không hiểu vì sao thông tin cá nhân của mình bị tiết lộ ra bên ngoài.
Xem thêm:
Tìm hiểu Eclipse Attack trong hệ thống phân tán trên mạng lưới blockchain
Các loại Cyber Attack thường gặp các nhà đầu tư nên biết
Một số tình huống tấn công MITM nổi bật trong thực tế
Trong giới tài chính số, các cuộc tấn công theo hình thức Man-in-the-Middle (MITM) không còn xa lạ, đặc biệt khi các tổ chức tội phạm mạng ngày càng tinh vi.
Các cuộc tấn công từ nhóm tin tặc bị nghi ngờ có liên hệ với Triều Tiên – Lazarus
Một trong những nhóm hacker có tiếng tăm là Lazarus đã từng thực hiện nhiều chiến dịch tấn công nghiêm trọng, tác động trực tiếp đến cả hệ thống ngân hàng truyền thống lẫn thị trường tài sản kỹ thuật số:
- Vụ tấn công ngân hàng trung ương Bangladesh (2016): Lazarus đã lợi dụng điểm yếu trong hệ thống chuyển tiền SWIFT, qua đó tạo ra các lệnh chuyển tiền giả và chiếm đoạt tới 81 triệu USD. Đây là ví dụ điển hình cho việc thao túng kênh truyền tải dữ liệu tài chính nhằm thực hiện hành vi gian lận.
- Chiến dịch mã độc WannaCry (2017): Nhóm này phát tán ransomware mang tên WannaCry, khóa dữ liệu của người dùng và yêu cầu thanh toán tiền chuộc. Hàng trăm nghìn thiết bị tại hơn 150 quốc gia bị ảnh hưởng, trong đó có hệ thống y tế công tại Anh (NHS). Không ít nạn nhân đã buộc phải chuyển khoản bằng Bitcoin để lấy lại quyền truy cập dữ liệu.
- Tấn công vào các công ty trong lĩnh vực crypto: Lazarus đã nhiều lần đột nhập vào hạ tầng bảo mật của các sàn giao dịch tiền mã hóa, đánh cắp ví nóng và lạm dụng phần mềm độc hại để mở cửa hậu cho việc rút tài sản trái phép. Các cuộc tấn công này thường nhắm đến điểm yếu bảo mật của API hoặc hệ thống xác thực chưa đủ mạnh.
Các cuộc tấn công MITM nổi bật khác
Ngoài Lazarus, nhiều cuộc tấn công MITM khác cũng đã được ghi nhận, cho thấy mức độ phổ biến và rủi ro thực sự của kỹ thuật tấn công này:
- Equifax (2017): Một trong những vụ rò rỉ dữ liệu lớn nhất lịch sử. Hacker đã sử dụng trang giả mạo và kỹ thuật đánh lừa chứng chỉ bảo mật (SSL spoofing), từ đó thu thập thông tin nhạy cảm của hơn 145 triệu người dùng tại Mỹ bao gồm dữ liệu tài chính, số an sinh xã hội và thông tin cá nhân.
- DSniff và Fiddler2: Đây là các công cụ được phát triển công khai và thường được sử dụng để kiểm tra mạng, nhưng cũng có thể bị lợi dụng để thực hiện MITM. DSniff nhắm vào các kết nối mã hóa yếu như SSL/SSH phiên bản cũ, còn Fiddler2 có khả năng giải mã và phân tích lưu lượng HTTP/HTTPS, dễ bị lạm dụng nếu rơi vào tay kẻ xấu.
- NSA giả mạo Google: Tài liệu rò rỉ từ Edward Snowden cho thấy cơ quan an ninh quốc gia Hoa Kỳ từng sử dụng kỹ thuật MITM để tạo một bản sao giả của Google, đánh lừa người dùng nhằm thu thập dữ liệu và theo dõi hoạt động trực tuyến.
- Phần mềm độc hại Superfish (2014): Lenovo đã tích hợp sẵn phần mềm quảng cáo này vào một số dòng laptop, gây tranh cãi dữ dội. Superfish cài chứng chỉ gốc giả và can thiệp vào kết nối SSL, từ đó cho phép hiển thị quảng cáo xen kẽ ngay cả trên các trang được mã hóa. Điều này khiến người dùng dễ bị MITM mà không hay biết.
- Forcepoint Content Gateway: Mặc dù là một công cụ dùng trong môi trường doanh nghiệp để giám sát lưu lượng SSL thông qua proxy, nhưng nếu không cấu hình đúng, nó cũng có thể trở thành một cánh cổng mở cho MITM.
- Comcast: Nhà mạng lớn tại Mỹ từng bị phát hiện chèn mã JavaScript vào các website mà người dùng truy cập. Dù mục đích là để hiển thị thông báo và quảng cáo, hành vi này cũng mang dấu hiệu của MITM khi họ kiểm soát nội dung truyền giữa trình duyệt và trang web gốc.
- Vụ MITM tại Kazakhstan (2015): Chính phủ nước này bị cáo buộc sử dụng kỹ thuật MITM để can thiệp và theo dõi lưu lượng internet. Người dân buộc phải cài chứng chỉ gốc do nhà nước cấp, mở đường cho việc giải mã và kiểm soát thông tin truyền tải qua HTTPS.
Một số biện pháp ngăn chặn tấn công MITM trên lĩnh vực Crypto
Để có thể mang lại kết quả tốt trong lần tấn công Man-in-the-Middle (MITM), người thực hiện cần giả mạo cả 2 đối tượng tương tác nhằm đạt được mong muốn của nạn nhân. Do đó mà nếu muốn phòng tránh cuộc tấn công MITM thì đòi hỏi giao thức mật mã phải là một bước xác thực điểm cuối.
Chẳng hạn, giao thức TLS có thể tiến hành xác thực một hay hai bên thông qua cơ quan chứng nhận được cả 2 đồng thuận.
Bạn có thể tham khảo một số phương pháp ngăn chặn MITM dưới đây:
- Xác thực chứng chỉ: Thường xuyên kiểm tra chứng chỉ SSL/TLS của các website mà bạn truy cập nhằm khẳng định bạn đang tương tác với một trang web an toàn.
- Không nên dùng mạng công cộng xấu: Kẻ thực hiện MITM có thể dễ dàng xâm nhập vào mạng chưa được mã hóa, nên dùng VPN nếu cần kết nối Wifi.
- Đề cao cảnh giác với các app, website giả: Kẻ tấn công MITM (Man-in-the-Middle) có thể sẽ xây dựng website hay ứng dụng giả để đánh lừa khách hàng và cung cấp các thông tin quan trọng.
- Dùng VPN: VPN sẽ mã hóa tất cả lưu lượng mạng của bạn, điều này ngăn chặn được kẻ tấn công không thể giải mã dữ liệu dù cho họ đã chặn lưu lượng. Dùng VPN là điều cần thiết khi bạn thường xuyên sử dụng mạng công cộng.
- Xác thực hai yếu tố: 2FA cho tài khoản của mình là điều quan trọng, giúp lớp bảo mật chắc chắn hơn. Dù cho thông tin của bạn bị đánh cắp thì kẻ tấn công vẫn không thể đăng nhập vào tài khoản.
- Dùng HTTPS và TLS: Bạn cần chắc chắn giao dịch Crypto và mọi tương tác của mình đều thông qua mã hóa HTTPS và TLS để tránh bị tấn công Man in the Middle.
Kết luận
Toàn bộ thông tin mà Coin568net mang đến cũng giúp các bạn nắm được Man-in-the-Middle Attack là gì, cách hoạt động và biện pháp phòng tránh tấn công MITM. Hình thức tấn công này ảnh hưởng rất nhiều đến an ninh mạng, vì thế mỗi người dùng cần hiểu cơ chế hoạt động để đưa ra biện pháp ngăn chặn cuộc tấn công diễn ra với bản thân.
Tôi là Phùng Cảnh Lang, với hơn 5 năm kinh nghiệm trong thị trường Crypto, tôi hy vọng những bài viết của mình thật sự hữu ích với bạn. Là một người từng trải, tôi rất mong khi ai đó gia nhập vào thị trường Crypto hãy nên trang bị đầy đủ kiến thức, vì đây là đầu tư không phải một canh bạc may rủi.