Před nedávnem jsme na našich sociálních sítích upozorňovali na zvýšené riziko AiTM útoků prostřednictvím phishingových sad. Co zkratka znamená a jak se před tímto typem útoku bránit?
Adversary-in-the-Middle (AiTM) je druh útoku Man-in-the-Middle (MITM). Je to typ napadení, kdy se mezi uživatele a druhou stranu (například aplikaci nebo webovou stránku, kterou se chystá navštívit) podvodně vloudí útočník. Má tak možnost sledovat či dokonce ovlivňovat aktivity své oběti na internetu a získat různé zneužitelné informace.
Nebezpečí spočívá v tom, že útočník do komunikace nezasahuje nijak znatelně, takže na první pohled si ničeho podezřelého nemusíte všimnout. Podvodná činnost probíhá pod vašima rukama na úrovni procesů nutných pro spojení mezi vámi a vaším cílem na internetu.
Útočník například vytvoří falešný Wi-Fi hotspot, kam se připojíte v domnění, že se jedná o Wi-Fi vaší kavárny. Nebo ovlivní komunikaci mezi dvěma body tak, že ji přesměruje nejprve k sobě. V případě AiTM útoku vám pošle odkaz na falešnou přihlašovací stránku, kde mu nevědomky vyklopíte své údaje, a potom teprve vás „propustí“ dál na do vašeho pravého účtu. Takové phishingové sady se stávají dokonce předmětem obchodu – zločinci je nabízejí zájemcům jako instantní balíčky.
Cesty jsou různé, ale vy jako uživatel navenek vidíte stále obvyklé stránky nebo aplikace a jste v klidu. Bohužel jen do doby, než se projeví následky.
Co při AiTM/MITM útoku hrozí?
Krádež identity a finanční podvody: Útočník získá dostatečné informace, aby se mohl vydávat za oběť a dostat se tak k účtu a financím.
Špionáž: Sledování komunikace mezi dvěma stranami odhalí citlivé informace, jako jsou obchodní tajemství, strategie a další důvěrné informace.
Šíření malware: Útok může posloužit také k infikování napadeného zařízení malwarem, což zase usnadní krádež dat, vzdálené ovládání zařízení a podobně.
Jak AiTM/MITM útok poznat?
Není to snadné. Koneckonců, útočník dělá vše pro to, aby zůstal nepoznanou šedou eminencí v pozadí. Přesto existují některé znaky, které mohou naznačovat, že se něco děje:
Nepředvídatelné chování sítě: Náhle se začnou vyskytovat problémy s připojením k síti, zpomalí se přenos dat nebo zaznamenáte jiné nesrovnalosti v přenosu dat.
Chybové hlášky: Znenadání se objevují neobvyklé chybové hlášky při přístupu k webovým stránkám nebo při komunikaci se serverem.
Neplatné certifikáty: Váš webový prohlížeč varuje před neplatnými certifikáty při přístupu k zabezpečeným stránkám.
Neobvyklá aktivita v síti: Vysoký počet paketů či pokusy o připojení k neznámým serverům naznačují, že možná probíhá útok.
Antivir varuje: Pokud antivirový program hlásí cokoliv podezřelého, zpozorněte.
Tyto příznaky nemusí nutně znamenat, že se jedná zrovna o AiTM útok. Nicméně je v takovém případě určitě vhodné provést další šetření a zaměřit se při něm na to, jestli jste se nestali obětí tohoto druhu napadení.
A jak takovému útoku předcházet?
Zločinec se na cizí komunikaci často napojí pomocí phishingového e-mailu. Proto platí: buďte velmi obezřetní, na co klikáte a kam zadáváte své přístupové údaje. Neuškodí pravidelná školení zaměstnanců, která jim zásady vždy po čase připomenou.
Důležité je odolné vícefaktorové ověření, například pomocí biometrie nebo FIDO klíčenky.
Samozřejmostí je dobře zabezpečená síť, pravidelné aktualizace softwaru na poslední verze, případně vhodně zvolená VPN. Můžete také omezit připojování do firemní sítě zvenčí.
Vyhýbejte se nezabezpečeným webovým stránkám.
A dávejte mimořádný pozor při připojování k internetu přes veřejné Wi-Fi. Pokud není zabezpečeno alespoň heslem, tak ho raději vůbec nevyužívejte.
Pokud potřebujete poradit s nastavením a zabezpečením sítě, nevíte si rady, jak vyvážit neprůstřelné zabezpečení a uživatelskou přívětivost, nebo byste chtěli audit kybernetické bezpečnosti ve vaší firmě, ozvěte se nám. Od toho jsme tady.