在途攻击者将自己放置到受害者和他们要访问的服务之间,目的通常是为了窃取数据。
阅读本文后,您将能够:
复制文章链接
在途攻击者将自己隐匿到两个设备(通常是 Web 浏览器和 Web 服务器)之间,并拦截或修改这两者之间的通信。然后,攻击者可以收集信息并且假冒这两者中的任意一方。除了网站之外,这些攻击还可能针对电子邮件通信、DNS 查询和公共 WiFi 网络。在途攻击者的常见目标包括 SaaS 企业、电子商务企业和金融应用程序的用户。
您可以将在途攻击者比作一个无赖的邮政工作人员,他坐在邮局里拦截了两个人之间通信。该邮政工作人员可以阅读私人邮件,甚至可以编辑这些信件的内容,然后再将其投递给预期的收件人。
举一个更现代的例子,在途攻击者可以介入用户和他们想要访问的网站之间,并且收集其用户名和密码。这可以通过将用户和网站之间的 HTTP 连接作为目标来完成;劫持此连接后,攻击者可以充当代理来收集和修改用户与站点之间发送的信息。或者,攻击者可以窃取用户的 Cookie(由网站创建并存储在用户计算机上的小段数据,用于识别和其他用途)。攻击者可以使用窃取的这些 Cookie 来劫持用户的会话,从而在网站上假冒该用户。
在途攻击者也可能针对 DNS 服务器。DNS 查找过程通过将域名转换为 IP 地址来允许 Web 浏览器查找网站。在 DNS 在途攻击(例如 DNS 欺骗和 DNS 劫持)中,攻击者可以入侵 DNS 查找过程,并将用户发送到错误的站点,通常是散布恶意软件和/或收集敏感信息的站点。
另一种常见的攻击是电子邮件劫持;在途攻击者利用这种攻击将自己放置到电子邮件服务器和网络之间,从而潜入电子邮件服务器。一旦服务器失守,攻击者便可出于各种目的来监视电子邮件通信。一种这样的诈骗涉及了等待一人需要将钱转给另一人的机会(例如,顾客向企业付款)。然后,攻击者可以使用仿冒的电子邮件地址来要求将钱转入攻击者的帐户。电子邮件在收件人看来似乎合法且无害(“对不起,我的上一封电子邮件中有错字!我的帐号实际上是:XXX-XXXX”),让攻击得逞并造成经济损失。2015 年,比利时的一个网络犯罪团伙利用电子邮件劫持从多家欧洲公司窃取了超过 600 万欧元。
WiFi 网络上常常发生在途攻击。攻击者可以创建似乎无害的恶意 WiFi 网络,或者克隆合法的 WiFi 网络。一旦用户连接到失守的 WiFi 网络,在途攻击者可以监视该用户的网上活动。老练的攻击者甚至还可以将用户的浏览器重定向到合法网站的伪造副本。
由于在途攻击者使用多种方法,因此,没有针对此类攻击的一体化解决方案。防范针对 HTTP 流量的攻击的一种最基本方法是使用 SSL/TLS 协议,会在用户与 Web 服务之间创建安全连接。遗憾的是,这并不是一个万无一失的解决方案,因为更复杂/狡猾的在途攻击者可以绕过 SSL/TLS 保护。为进一步防范此类攻击,一些 Web 服务采用了 HTTP 严格传输安全 (HSTS) 协议,它强制要求与所有浏览器或应用程序建立安全 SSL/TLS 连接,阻止不安全的 HTTP 连接并防止 cookie 盗窃。如需了解有关 HSTS 的更多信息,请阅读 Cloudflare 博客文章。
也可以利用身份验证证书来防御在途攻击。组织可以在其所有设备上实施基于证书的身份验证,以便只有具有正确配置的证书的用户才能访问其系统。
要防止电子邮件劫持,可以使用安全/多用途互联网邮件扩展 (S/MIME)。此协议加密电子邮件,并允许用户用唯一数字证书对电子邮件进行数字签名,让接收者知道该邮件是合法的。
个人用户也可以避免在任何公共 WiFi 网络上提交任何敏感信息,除非有安全虚拟专用网络 (VPN) 的保护,从而保护自己远离在途攻击者。