众所周知,检测中间人攻击非常困难。 然而,这些攻击确实有一些微妙的迹象,包括登陆明显虚假的网站以及您的互联网连接神秘地变得不可靠。 此外,中间人攻击经常发生在开放、未加密的公共网络上,因此始终了解您的在线环境非常重要。
继续阅读以了解更多关于什么是中间人攻击、它们如何工作、需要注意哪些迹象以及如何保护自己免受攻击。
什么是中间人攻击?
中间人攻击 (MITM) 是一种网络攻击,网络犯罪分子拦截在两台设备之间传输的数据,通常是一台运行网络浏览器的计算机或移动设备和一台主机服务器。 网络犯罪分子经常使用 MITM 攻击来窃取登录凭证以及银行或支付卡信息。 网络犯罪分子还可能尝试更改正在交换的数据以安装恶意软件并危害您的设备。
MITM 攻击利用安全性较弱的网络的漏洞,尤其是免费的公共 WiFi 网络。 对于移动设备或计算机上的最终用户来说,即使发生中间人攻击,一切也可能看起来完全正常。
中间人攻击如何工作?
“中间人攻击”是一个总称术语,用于描述涉及拦截数据的几种不同类型的网络攻击。 最常见的 MITM 攻击类型之一被称为“邪恶双胞胎”攻击,其目标是使用免费公共 WiFi 网络的用户,例如酒店、餐厅、机场、商店和其他公共场所的网络。 这些网络通常未加密,并且根本不需要密码或仅需要弱密码。
在这种类型的 MITM 攻击中,威胁行为者会建立一个虚假的“相似” WiFi 网络,其名称与真实网络非常相似。 例如,如果真实网络名为 YourHotel,则虚假网络可能名为 YourHote1。 由于网络犯罪分子控制了该网络,因此他们可以窃听连接到该网络的任何人,查看他们的所有网络和应用程序活动 – 不仅包括他们访问的网站,还包括个人用于登录帐户的登录凭证。 在某些情况下,威胁行为者可能会更改正在传输的数据和/或将用户重定向到获取登录凭证或传播恶意软件的恶意站点。
其他类型的中间人攻击
现在我们已经了解了虚假 WiFi 热点,接下来我们来看看其他一些常见的中间人攻击。
HTTPS 欺骗
安全超文本传输协议 (HTTPS) 可确保浏览器和网站之间发送的所有数据都经过加密。 然而,仅仅因为网站启用了 HTTPS 并不意味着该网站本身就是合法的。
HTTPS 欺骗是一种 MITM 技术,网络犯罪分子会注册与流行的合法域非常相似的域。 例如,威胁行为者将注册 www.examp1e.com,而不是 www.example.com,然后构建恶意网站并使用 HTTPS 保护其安全。 无意中访问虚假网站的用户可能不会注意到 URL 相差一个字符,特别是因为他们的浏览器会显示一个绿色的锁,表明该网站使用 HTTPS。
IP 欺骗
互联网协议 (IP) 地址是设备或本地网络的唯一标识符。 IP 欺骗会创建虚假 IP 地址来隐藏网络犯罪分子的身份、冒充合法地址或两者兼而有之。 IP 欺骗通常会诱骗用户相信他们正在与合法来源进行通信,因此用户可以轻松地与欺骗的 IP 地址共享敏感信息。 此外,DDoS 攻击中使用 IP 欺骗,使受攻击的系统不知道流量的真正来源,这使得攻击难以阻止。
DNS 欺骗
域名系统 (DNS) 是将用户设备连接到网站的数字 IP 地址的在线目录。 DNS 欺骗通常用于域欺骗,它会更改 DNS 记录并将用户重新路由到欺诈性网站,这些网站会窃取登录凭证、自动将恶意软件下载到访问者的计算机上或两者兼而有之。
SSL 操纵
安全套接字层 (SSL) 是一种安全协议,可在网站和用户之间提供加密连接。 SSL 操纵,也称为 SSL 劫持,是一种 MITM 攻击,其中威胁参与者为 HTTPS 站点的域生成伪造的 SSL 证书。 当用户尝试访问该网站时,他们会被重定向到一个恶意网站,该网站的设计看起来与真实网站一模一样。
会话劫持
会话劫持,也称为 cookie 劫持,是一种 MITM 攻击,当网络犯罪分子通过窃取您的浏览器 cookie 来接管您的互联网会话时,就会发生这种攻击。 Cookie 是网站用来跟踪访问者的信息,其中包括验证安全网站(例如银行、购物、游戏或订阅网站)的用户登录会话。 一旦网络犯罪分子窃取了会话 cookie,他们就可以使用它来冒充原始用户并登录他们的帐户。
中间人攻击的迹象
中间人攻击可能很难检测到,因为它们被设计为在您不知情的情况下在后台发生。 然而,有一些微妙的迹象需要留意。
SSL 证书错误
如果当您尝试访问某个网站时,您的浏览器显示有关 SSL 证书无效或过期的错误消息,则表明可能存在 SSL 操纵。 SSL 证书可能已被伪造,用于将您重定向到看似合法网站的恶意网站。 假网站会要求您提供登录凭证和 MFA,然后网络犯罪分子使用这些信息登录合法网站。
互联网连接不可靠
无法解释的延迟和频繁断开连接是许多不同问题的症状,包括网络设置配置错误或互联网提供商出现问题。 然而,它们也可能是 MITM 攻击的迹象,特别是如果您已经排除了所有其他可能的原因。
假网站
网络犯罪分子煞费苦心地让 MITM 攻击中使用的虚假网站看起来合法,但字体、颜色或徽标通常存在细微差别。 如果某些内容看起来不太正确,请仔细检查网站的 URL 以确保其正确。 例如,您可能会看到 http:// 而不是 https://,或者 go0gle.com 而不是 google.com。 还要注意网站上的任何其他差异,例如随机弹出广告或可疑请求。
如何保护自己免受中间人攻击
由于中间人攻击很难检测到,因此最好的保护措施就是从一开始就防止它们发生。 以下是保护自己免受 MITM 攻击的最佳方法。
避免使用公共 WiFi
由于 MITM 攻击经常针对公共 WiFi 热点的用户,因此避免 MITM 攻击的最佳方法是避免使用不安全的公共 WiFi。 如果您在旅行或外出时需要互联网连接,请连接手机的数据连接或使用 VPN。 此外,请确保您的笔记本电脑和移动设备配置为不自动连接到公共 WiFi。
使用 VPN
虚拟专用网络 (VPN) 是一项通过隐藏您的 IP 地址和加密您的数据来保护您的在线活动的服务。 如果您必须使用公共 WiFi,请使用 VPN 来创建安全连接并加密您传输的数据。 VPN 可防止网络犯罪分子窃听您,并使您能够安全地使用公共 WiFi 热点。
使用密码管理器
密码管理器 是一种以加密保险库的方式安全地存储您所有登录凭证和敏感信息的工具。 确保您的密码管理器使用零知识加密来保护您存储在保险库中的任何内容,这意味着除了您之外没有人可以访问您的保险库。
密码管理器防止 MITM 攻击的最重要方法之一是密码管理器不会在虚假网站上自动填充您的凭证。 您可能无法区分 example.com 和 example1e.com 之间的区别(尤其是在移动设备上),但您的密码管理器可以。 如果您尝试手动填写登录凭证,如果您访问的是不安全的网站,密码管理器会向您发出警告。
启用 MFA
多因素身份验证 (MFA) 要求您在获准访问在线帐户之前提供额外的身份验证形式,从而增加了额外的安全层。 例如,除了您的用户名和密码之外,您还必须提供一次性代码或插入安全密钥。 启用 MFA 后,即使您的登录凭证在 MITM 攻击中受到损害,如果没有额外的身份验证因素,它们对网络犯罪分子来说也是毫无用处的。
自我教育
网络犯罪分子总是在开发新的方法来窃取您的个人信息。 您应该开展网络威胁相关的自我教育,以便将来识别并避免其发生。 您还应该采用网络安全最佳实践,例如使用强密码以及仅在绝对必要时共享敏感信息。
使用 Keeper 避免中间人攻击
中间人攻击会构成严重威胁,因为它们可能在您不知情的情况下发生,尤其是在您旅行时。 这些攻击通常发生在公共 WiFi 网络和可疑网站上。 处理这些类型的攻击的最佳方法是保护自己免受它们的侵害。Keeper 密码管理器提供零知识加密来安全保护和共享您的敏感信息。 开始免费试用以保护自己免受 MITM 攻击。