การโจมตี แบบ man-in-the-middle คือการโจมตีทางไซเบอร์ที่ผู้โจมตีสามารถดักจับข้อความระหว่างบุคคลสองคนหรือมากกว่านั้นที่เชื่อว่ากำลังสื่อสารกันได้อย่างลับๆ ผู้โจมตีสามารถใช้ตำแหน่ง "man-in-the-middle" เพื่ออ่านข้อมูลที่เป็นความลับนี้ แม้กระทั่งแก้ไขอย่างมีเจตนาร้าย หรือแทรกข้อความของตนเองเข้าไป ซึ่งอาจนำไปสู่การละเมิดข้อมูลอันร้ายแรงหรือการแพร่กระจายของมัลแวร์ไปทั่วสภาพแวดล้อมไอทีขององค์กร
การโจมตี แบบ MITM เป็นกลวิธีที่ผู้ไม่หวังดีใช้กันทั่วไปแต่กลับถูกมองข้ามบ่อยครั้ง ตัวอย่างเช่น ในปี 2019 ผู้ใช้แอปมือถือ Android UC Browser มากกว่า 500 ล้านคนถูกโจมตีแบบ MITM เนื่องจากแอปดังกล่าวดาวน์โหลดโค้ดปฏิบัติการจากเซิร์ฟเวอร์ของบุคคลที่สาม (Gatlan, 2019)
การโจมตีแบบ man-in-the-middle คืออะไร และเราจะเริ่มป้องกันการโจมตีแบบ man-in-the-middle ได้อย่างไร เราจะตอบคำถามเหล่านี้และคำถามอื่นๆ ด้านล่าง
การโจมตีแบบ Man-in-the-Middle (MitM) คืออะไร?
การโจมตี แบบ MITM เป็นการแอบฟังข้อมูลดิจิทัลประเภทหนึ่ง ช่วยให้ผู้โจมตีขโมยข้อมูลสำคัญหรือปลอมตัวเข้าร่วมการสนทนาได้ การโจมตีแบบนี้เป็นอันตรายเพราะออกแบบมาเพื่อปกปิดเท่านั้น ผู้โจมตีจะหลบหนีไปโดยที่ฝ่ายที่สื่อสารไม่รู้เรื่อง
เป้าหมายของ การโจมตีแบบ man-in-the-middle คือเพื่อให้ผู้โจมตีสามารถใช้ประโยชน์จากจุดยืนการแอบฟังที่มีสิทธิพิเศษนี้ ผู้โจมตีบางรายดักฟังบทสนทนาเพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลทางการเงิน หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนอื่นๆ ผู้โจมตีบางรายใช้แนวทาง MITM เป็นส่วนหนึ่งของการโจมตีทางไซเบอร์ที่ใหญ่กว่า โดยใช้ตำแหน่งของตนเพื่อแทรกมัลแวร์เพื่อเข้าถึงระบบไอทีหรือเครือข่าย
การโจมตีแบบ Man-in-the-Middle ทำงานอย่างไร?
การโจมตีแบบ Man-in-the-middle ต้องมีจุดบกพร่องด้านความปลอดภัยหรือช่องโหว่ในสภาพแวดล้อมไอทีที่ผู้โจมตีสามารถแฮ็กและใช้ประโยชน์ได้ ขั้นตอนของการโจมตีแบบ MITM มีดังนี้:
- การเข้าถึง: ผู้โจมตีสามารถเข้าถึงช่องทางการสื่อสารส่วนตัวในรูปแบบใดรูปแบบหนึ่ง วิธีการเข้าถึงอาจรวมถึงการสกัดกั้นการรับส่งข้อมูลบนเครือข่าย การแฮ็กเข้าไปในจุดเชื่อมต่อ Wi-Fi ที่ไม่ปลอดภัย หรือการแสวง ประโยชน์จากช่องโหว่ในแอปพลิเคชันบนเว็บ
- การดักฟัง: เมื่อผู้โจมตี MITM เข้าถึงได้แล้ว พวกเขาจะเริ่มโจมตีโดยขโมยข้อความส่วนตัวและข้อมูลที่ส่งไปมาภายในช่องทาง ซึ่งอาจทำได้โดยเพียงแค่ดักฟังการสื่อสารหรือสร้างเว็บไซต์หรือเซิร์ฟเวอร์ปลอมเพื่อดักฟังข้อความของผู้ใช้
- การใช้ประโยชน์: การโจมตีแบบ MITM ที่ซับซ้อนอาจแทรกข้อความเข้าไปในบทสนทนา โดยแอบอ้างว่าเป็นบุคคลที่ถูกต้องตามกฎหมาย ตัวอย่างเช่น อาจเปลี่ยนเนื้อหาของอีเมลหรือหลอกให้ผู้ใช้เปิดเผยรายละเอียดทางการเงินของตน
- การโจมตีเพิ่มเติม: ผู้โจมตีอาจใช้ความรู้ที่ได้รับระหว่างการโจมตี MITM เพื่อโจมตีเป้าหมายเพิ่มเติม ตัวอย่างเช่น ข้อมูลรับรองการเข้าสู่ระบบของพนักงานอาจใช้เพื่อเข้าสู่สภาพแวดล้อมไอทีและสร้างความเสียหายหรือการหยุดชะงักเพิ่มเติม
ประเภทของการโจมตีแบบ Man-in-the-Middle
มีการโจมตีแบบ man-in-the-middle หลายประเภท ทำให้ธุรกิจจำเป็นต้องรับรู้สัญญาณเตือนทั้งหมด นักวิจัยด้านความปลอดภัยได้ค้นพบการโจมตีแบบ MITM ที่อาจเกิดขึ้นได้ โดยกำหนดเป้าหมายไปที่เราเตอร์อินเทอร์เน็ต เทคโนโลยีระบบระบุตำแหน่งแบบเรียลไทม์ (RLTS) และแม้แต่สมาร์ทวอทช์สำหรับเด็ก
ต่อไปนี้เป็นเพียงวิธีการบางประการที่ผู้ก่ออาชญากรรมทางไซเบอร์ใช้ในการก่อเหตุโจมตีแบบ MITM:
- การดักฟัง Wi-Fi: ผู้โจมตีอาจแฮ็กเข้าไปในเครือข่าย Wi-Fi ที่ไม่ปลอดภัยหรือตั้งค่าจุดเชื่อมต่อ Wi-Fi ที่เป็นอันตรายเพื่อดูการสื่อสารของผู้ใช้ ตัวอย่างเช่น ผู้โจมตีอาจสร้างจุดเชื่อมต่อ Wi-Fi โดยใช้ชื่อธุรกิจใกล้เคียงเพื่อหลอกให้ผู้ใช้เชื่อมต่อ
- การปลอมแปลง IP: ผู้โจมตีอาจเปลี่ยนที่อยู่ IP ของเว็บไซต์ เซิร์ฟเวอร์ หรืออุปกรณ์ ซึ่งทำให้ผู้ใช้เชื่อว่าตนกำลังโต้ตอบกับบุคคลที่ถูกต้องตามกฎหมาย ในขณะที่ในความเป็นจริงแล้ว ตนกำลังสื่อสารกับผู้โจมตีที่เป็นอันตราย
- การปลอมแปลง DNS: ผู้โจมตีสามารถปลอมแปลงหรือ "วางยาพิษ" แคชระบบชื่อโดเมน (DNS) ซึ่งทำให้การรับส่งข้อมูลของผู้ใช้ที่ถูกต้องถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม วิธีนี้ทำให้ผู้โจมตีต้องใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ DNS หรือหลอกล่อผู้ใช้ให้ดาวน์โหลดมัลแวร์ที่เปลี่ยนการตั้งค่า DNS ของตน
- การวางยาพิษในแคช ARP: ผู้โจมตีสามารถจัดการแคช Address Resolution Protocol (ARP) สำหรับผู้ใช้ในเครือข่ายท้องถิ่นเดียวกันได้ แคช ARP อาจถูก "วางยาพิษ" ด้วยข้อมูลที่อยู่ MAC ปลอมของอุปกรณ์อื่นบนเครือข่าย ทำให้ผู้โจมตีปลอมตัวเป็นหน่วยงานที่ถูกต้องตามกฎหมายและแอบฟังการสื่อสาร
- การแฮ็กเซสชัน: ผู้โจมตีสามารถใช้ประโยชน์จากเซสชันเว็บไซต์ปัจจุบันของผู้ใช้ที่ถูกกฎหมายหรือคุกกี้เบราว์เซอร์เพื่อเข้าถึงข้อมูลส่วนตัวของผู้ใช้ ซึ่งจะทำให้พวกเขาสามารถขโมยข้อมูลที่เป็นความลับของผู้ใช้หรือแฮ็กบัญชีการเงินของผู้ใช้ได้
ตัวอย่างการโจมตีแบบ Man-in-the-Middle
ตัวอย่างการโจมตี MitM ในชีวิตจริงบางส่วนที่ก่อให้เกิดผลกระทบร้ายแรงมีดังต่อไปนี้:
การโจมตีด้วยแอดแวร์ Lenovo Superfish MitM (HTTPS Spoofing): ตัวอย่างการโจมตีแบบ man-in-the-middle ที่มีชื่อเสียงอย่างหนึ่งคือการโจมตีด้วยแอดแวร์ Lenovo ซึ่งคอมพิวเตอร์ของแบรนด์นี้มาพร้อมกับแอดแวร์ Superfish Visual Search ที่ติดตั้งไว้ล่วงหน้า ทำให้ผู้ใช้กลายเป็นเป้าหมายที่อาจตกเป็นเป้าหมายของการโจมตีด้วย MitM (CISA, 2016) ซอฟต์แวร์ดังกล่าวติดตั้งใบรับรองรูทที่ลงนามเองบนอุปกรณ์ของผู้ใช้ ทำให้ซอฟต์แวร์สามารถสกัดกั้นปริมาณการใช้งานเว็บที่เข้ารหัสของผู้ใช้และแทรกโฆษณาของตัวเองเข้าไป
การโจมตี DigiNotar MitM (การแฮ็ก SSL): ผลกระทบอันเลวร้ายจากเหตุการณ์การโจมตี DigiNotar ในปี 2011 ทำให้บริษัทต้องประกาศล้มละลายในที่สุด หลังจากที่ไม่สามารถต้านทานการโจมตีได้ DigiNotar ซึ่งเป็นบริษัทสัญชาติดัตช์ที่ออกใบรับรองดิจิทัล เผชิญกับการโจมตีในเดือนกรกฎาคม โดยผู้บุกรุกหลอกล่อให้บริษัทออกใบรับรองดิจิทัลปลอม 500 ใบให้กับบริษัทชั้นนำ เช่น Google, Mozilla และ Skype แฮกเกอร์อ้างว่าสามารถเจาะระบบใบรับรองเพิ่มเติมอีก 4 รายการได้นอกเหนือจาก DigiNotar เขาบรรยายตัวเองว่าเป็นนักศึกษาอิหร่านอายุ 21 ปี (Zetter, 2011)
คุณจะตรวจจับการโจมตีแบบ Man-in-the-Middle ได้อย่างไร?
เนื่องจากได้รับการออกแบบมาให้ซ่อนไว้ ดังนั้นการตรวจจับการโจมตีแบบ man-in-the-middle จึงเป็นเรื่องท้าทาย วิธีการตรวจจับว่าคุณตกเป็นเหยื่อของการโจมตีแบบ MITM มีดังนี้:
- มองหาการสื่อสารที่ไม่คาดคิด: หากคุณสังเกตเห็นสิ่งแปลกหรือไม่คาดคิดเกี่ยวกับข้อความที่คุณได้รับ (เช่น เนื้อหาหรือเวลา) นี่อาจบ่งบอกว่าคุณกำลังสื่อสารกับผู้โจมตีแบบ MITM
- การสแกนปริมาณการรับส่งข้อมูลบนเครือข่าย: เครื่องมือตรวจสอบเครือข่ายและวิเคราะห์แพ็คเก็ต เช่น tcpdump และ Wireshark ช่วยค้นหาความผิดปกติในปริมาณการรับส่งข้อมูลในสภาพแวดล้อมไอทีของคุณได้
- การตรวจสอบใบรับรอง SSL/TLS: การตรวจสอบใบรับรอง SSL และโปรโตคอลการตรวจสอบสิทธิ์อื่น ๆ สามารถตรวจยืนยันว่าผู้ใช้สื่อสารกับเอนทิตีที่ถูกต้องหรือไม่
- การติดตั้งซอฟต์แวร์ป้องกันมัลแวร์: ซอฟต์แวร์ป้องกันมัลแวร์และป้องกันไวรัสสามารถช่วยตรวจจับการมีอยู่ของแอพพลิเคชั่นที่ไม่ได้รับอนุญาตและโค้ดที่ถูกแทรกโดยผู้โจมตีแบบ MITM
แนวทางปฏิบัติที่ดีที่สุดในการป้องกันการโจมตีแบบ Man-in-the-Middle
แม้ว่าผู้โจมตีจะมีเทคนิคมากมายในกล่องเครื่องมือ MITM แต่เป้าหมายที่อาจเป็นเป้าหมายของพวกเขาก็ไม่ได้ไร้ทางสู้โดยสิ้นเชิง ด้านล่างนี้คือแนวทางปฏิบัติที่ดีที่สุดบางประการสำหรับการป้องกันการโจมตีแบบ man-in-the-middle สำหรับบุคคล องค์กร และผู้ดำเนินการเว็บไซต์:
- การใช้ VPN และการเข้ารหัส: เครือข่ายส่วนตัวเสมือน (VPN) เป็นช่องทางที่เข้ารหัสซึ่งอนุญาตให้ผู้ใช้เชื่อมต่ออินเทอร์เน็ตอย่างปลอดภัยและแลกเปลี่ยนข้อมูลที่ละเอียดอ่อน โดยทั่วไป การใช้การเข้ารหัสเพื่อปกป้องข้อมูลทั้งในระหว่างการส่งและการเก็บรักษาถือเป็นแนวทางปฏิบัติที่ดีเยี่ยมในการขัดขวางการโจมตี MITM
- หลีกเลี่ยงจุดเชื่อมต่อ Wi-Fi สาธารณะ: จุดเชื่อมต่อ Wi-Fi ที่เป็นอันตรายเป็นกลวิธีที่ผู้โจมตี MITM ชื่นชอบ ผู้ใช้ควรเชื่อมต่อกับเครือข่าย Wi-Fi ที่เชื่อถือได้เท่านั้นโดยใช้โปรโตคอลการเข้ารหัสที่ทันสมัย เช่น WPA3
- การใช้การเชื่อมต่อที่ปลอดภัย: ผู้เยี่ยมชมเว็บไซต์ควรตรวจสอบว่าตนกำลังใช้การเชื่อมต่อที่ปลอดภัยแบบ HTTPS (และไม่ใช่แค่ HTTP เท่านั้น) เบราว์เซอร์ส่วนใหญ่มีสัญลักษณ์การเชื่อมต่อ HTTPS พร้อมไอคอนแม่กุญแจในแถบที่อยู่
- การบังคับใช้รหัสผ่านที่แข็งแกร่งและการพิสูจน์ตัวตนหลายปัจจัย: การโจมตี MITM จำนวนมากเกิดขึ้นเมื่อผู้โจมตีสามารถเจาะระบบป้องกันของระบบไอทีและปลอมตัวเป็นผู้ใช้ที่ถูกต้อง การบังคับให้ผู้ใช้มีรหัสผ่านที่แข็งแกร่งและใช้การพิสูจน์ตัวตนหลายปัจจัย (MFA) เพื่อยืนยันตัวตนทำให้ผู้โจมตี MITM ใช้แนวทางนี้ได้ยากขึ้นมาก
บทสรุป
หากคุณสนใจที่จะเรียนรู้วิธีการระบุและขัดขวางการโจมตีแบบ MITM และการโจมตีทางไซเบอร์ประเภทอื่นๆ โปรดไปที่ โปรแกรม C|PENT (Certified Penetration Testing Professional) การรับรองนี้ประกอบด้วยโมดูลทั้งทางทฤษฎีและปฏิบัติเกี่ยวกับการตรวจจับช่องโหว่ในสภาพแวดล้อมไอที ตั้งแต่เครือข่ายและแอปพลิเคชันเว็บไปจนถึง อุปกรณ์คลาวด์และอินเทอร์เน็ตของสรรพสิ่ง (IoT)
อ้างอิง
(Gatlan, S). (2019, 17 ตุลาคม). ผู้ใช้ UC Browser Android กว่า 500 ล้านคนถูกโจมตีด้วย MiTM อีกครั้ง (2019). BleepingComputer. https://www.bleepingcomputer.com/news/security/500-million-uc-browser-android-users-exposed-to-mitm-attacks-again/
เกี่ยวกับผู้เขียน
เดวิด ทิดมาร์ชเป็นโปรแกรมเมอร์และนักเขียน เขาทำงานเป็นนักพัฒนาซอฟต์แวร์ที่สถาบันเทคโนโลยีแมสซาชูเซตส์ สำเร็จการศึกษาระดับปริญญาตรีสาขาประวัติศาสตร์จากมหาวิทยาลัยเยล และปัจจุบันเป็นนักศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยเท็กซัส ออสติน
คุณพร้อมที่จะก้าวไปสู่อีกระดับของอาชีพในด้านความปลอดภัยทางไซเบอร์หรือยัง? ไม่ต้องมองหาที่ไหนไกลไปกว่าใบรับรอง CPENT และ LPT ซึ่งเป็นใบรับรองที่ทรงคุณค่าที่สุดในโลกของการทดสอบการเจาะระบบในปัจจุบัน ใบรับรองเหล่านี้ถือเป็นใบรับรองด้านความปลอดภัยที่ให้ผลตอบแทนสูงที่สุดทั่วโลก และสามารถเปิดประตูสู่โอกาสทางอาชีพที่มีรายได้ดีในอุตสาหกรรมความปลอดภัยทางไซเบอร์
ปลดล็อกศักยภาพของคุณด้วยการรับรอง CPENT และ LPT ด้วย ชุด CPENT iLearn
ด้วย ชุด CPENT iLearn ในราคาเพียง 999 ดอลลาร์ คุณสามารถได้รับการรับรองระดับนานาชาติอันทรงเกียรติสองรายการพร้อมกัน ได้แก่ CPENT และ LPT จาก EC-Council ชุดที่ครอบคลุมนี้ประกอบด้วยทุกสิ่งที่คุณต้องการเพื่อเตรียมตัวและผ่านการสอบ CPENT รวมถึงบัตรกำนัลการสอบสำหรับ CPENT ซึ่งช่วยให้คุณสอบออนไลน์ผ่าน RPS ได้ตามสะดวกภายใน 12 เดือน
หลักสูตรวิดีโอสตรีมมิ่งออนไลน์ CPENT สำหรับผู้เรียนด้วยตนเอง ซึ่งมีให้บริการบนแพลตฟอร์ม iClass ของ EC-Council ให้คำแนะนำที่เป็นประโยชน์และปฏิบัติได้จริงเพื่อให้การเตรียมสอบของคุณราบรื่น ด้วยระยะเวลาการเข้าถึง 1 ปี คุณจะได้รับคำแนะนำจากผู้เชี่ยวชาญและคำแนะนำทีละขั้นตอน ซึ่งรับรองว่าคุณมีความพร้อมอย่างเต็มที่ในการสอบ
แต่นั่นไม่ใช่ทั้งหมด – CPENT iLearn Kit ยังประกอบด้วย:
- อีคอร์สแวร์
- เข้าถึง CyberQ Labs เป็นเวลา 6 เดือน
- ใบรับรองการสำเร็จหลักสูตร
- คอร์สอบรม Cyber Range 30 วันในระบบ Aspen ของ EC-Council สำหรับสถานการณ์ฝึกฝนที่สมจริง เพิ่มโอกาสในการทำคะแนนสูงในการสอบ
เมื่อชำระเงินแล้ว คุณจะได้รับรหัส LMS และรหัสคูปองการสอบภายใน 3-7 วันทำการ ช่วยให้คุณเริ่มต้นการเตรียมตัวได้ทันที อาชีพด้านความปลอดภัยทางไซเบอร์พร้อมใบรับรอง CPENT และ LPT ลงทะเบียนวันนี้และปลดล็อกโลกแห่งความเป็นไปได้!