Keeper 中间人攻击指南

立即获得保护

网络攻击日趋严重

网络攻击在过去十年中显著增加,历史上最严重的一些攻击就发生在过去几年之内。尽管互联网强大而有益,它也是现代社会企业面临的一些最危险威胁的发源地。

网络拉近了我们之间的距离,但在这样做时,我们也牺牲了自己的数据。世界各地的网络犯罪分子都在寻找新的、复杂的方法来访问这些数据,以进行窃取、复制或出售。其中一种方法称为中间人攻击或 MITM 攻击。

在本指南中,您将详细了解如何保护企业免受可能造成数百万潜在损失的网络攻击。许多企业和个人没有数百万资产可偷,但这并不意味着他们没有风险。

中间人攻击问题尤其严重,因为其可在极短的时间内发生。一次攻击可能只需要 10-15 分钟,但其对企业所造成的伤害可能是长期并致命。据估计,全球因网络犯罪造成的损失到 2025 年时将高达约 10 万亿美元,现在是时候让我们更加认真地对待网络安全了。

您对 MITM 攻击了解得越多,就越能保护您的公司。

网络攻击日趋严重
了解、检测和防范软件供应链攻击

什么是中间人攻击 (MITM)?

中间人攻击 (MITM) 是一种网络攻击,网络犯罪分子可截获两个企业或人员之间发送的数据。截获的目的是窃取、窃听或修改数据以达到某些恶意目的,例如勒索钱财。

中间人攻击的原理是什么?

MITM 攻击依赖于操纵网络或创建网络犯罪控制的恶意网络网络犯罪分子截获流量,要么让流量通过并收集信息,要么将其重新路由到其他地方。

网络犯罪分子在信息发送者和信息接收者之间实质上是充当“中间人”,因此被称为“中间人攻击”。这些攻击非常常见,尤其是在公共 WiFi 上。由于公共 WiFi 通常不安全,您无法知道谁在监控或截获 Web 流量,因为任何人都可以登录。

MITM 攻击类型

有几种 MITM 攻击,使它们成为当今最多样的网络威胁之一。其中包括:

恶意接入点

恶意接入点

恶意接入点是安装在合法网络上的无线接入点。这使得网络犯罪分子能够截获或监控传入流量,并通常将其全部重新路由至不同的网络,以鼓励下载恶意软件或勒索用户。

IP 欺骗

IP 欺骗

此方法涉及修改 IP 地址以将流量重新路由至攻击者的网站。攻击者通过改变数据包头将自己伪装成合法的应用或网站来“欺骗”地址。

ARP 欺骗

ARP 欺骗

此攻击在局域网上使用虚假的 ARP 消息将攻击者的 MAC 地址与受害者的 IP 地址连接在一起。受害者发送到局域网的任何数据都会被重新路由至网络犯罪分子的 MAC 地址,从而允许网络犯罪分子随意截获和操纵数据。

DNS 欺骗

DNS 欺骗

网络犯罪分子进入网站的 DNS 服务器并修改网站的网址记录。修改后的 DNS 记录将传入流量改为路由至网络犯罪分子的网站。

HTTPS 欺骗

HTTPS 欺骗

当用户连接到具有 https:// 前缀的安全网站时,网络犯罪分子会向浏览器发送虚假的安全证书。这“欺骗”了浏览器,使其认为连接是安全的,而事实上,网络犯罪分子却在截获并可能重新路由数据。

会话劫持

会话劫持

网络犯罪分子使用会话劫持来控制 Web 或应用会话。劫持将合法用户逐出会话,有效地将网络犯罪分子锁定在应用或网站帐户中,直至其获得所需的信息。

数据包注入

数据包注入

网络犯罪分子创建看似正常的数据包,并将其注入已建立的网络,以访问和监控流量或发起 DDoS 攻击。

SSL 剥离

SSL 剥离

网络犯罪分子会截获来自应用或网站的 TLS 信号,并对其进行修改,使网站以不安全的连接加载 HTTP 而非 HTTPS。这使得网络犯罪分子可以查看用户的会话,并暴露敏感信息。

SSL 欺骗

SSL 欺骗

此方法涉及“欺骗”成安全站点地址,以让受害者浏览至那里。网络犯罪分子劫持受害者和他们想要访问的网站的 Web 服务器之间的通信,将恶意网站伪装成合法网站的 URL。

公共 WiFi

公共 WiFi

最常见的 MITM 攻击方法之一是通过公共 WiFi。公共 WiFi 通常不安全,因此网络犯罪分子可以从连接网络的任何设备中看到 Web 流量,并根据需要获取信息。

SSL BEAST

SSL BEAST

网络犯罪分子通过恶意的 JavaScript 感染用户的电脑。然后,恶意软件会截获网站 Cookie 和身份验证令牌以进行解密,使受害者的整个会话暴露在网络犯罪分子面前。

SSL 窃取浏览器 Cookies

SSL 窃取浏览器 Cookies

Cookie 是您访问的网站存储在您设备上的有用网站信息。它们对于记住网络活动和登录名称非常有用,但网络犯罪分子可以窃取它们以获取信息,并用于恶意目的。

嗅探

嗅探

嗅探攻击通过监控流量来窃取信息。嗅探通过应用或硬件执行,并将受害者的 Web 流量暴露给网络犯罪分子。

如何检测中间人攻击

检测 MITM 攻击可以帮助企业或个人减少网络犯罪分子可能造成的潜在损失。以下是一些检测方法:

分析奇怪的网址

  • 让您的团队留意网络浏览器的搜索栏或 URL 栏是否有奇怪的网址。DNS 劫持可能会对常见地址进行欺骗,通常几乎没有明显的变化。例如,攻击者可能会将“www.facebook.com”替换为“www.faceb00k.com”。这种欺骗方法效果出奇的好,我们大多数人未仔细观察就放过了简单的更改。

意外断开连接和网络延迟

  • 某些形式的 MITM 攻击会导致突然、意外的网络延迟或完全断开连接。这些可能偶尔发生,通常不伴有网络困境或其他明显状况。
  • 如果您的团队在网络上经常遇到连接断开或延迟,最好仔细查看,以确保这不仅仅是网络问题。

留意公共 WiFi

  • 攻击者通常会截获通过公共网络发送的信息,甚至在公共场所创建虚假网络。这些网络允许网络犯罪分子在您不知道自己受到攻击的情况下查看团队的所有网络活动。尽可能避免使用公共 WiFi。如果您的团队确实需要连接,请使用 VPN。另外请让您的团队避免连接名称可疑的陌生网络。
如何检测中间人攻击

如何防范中间人攻击

防范中间人攻击可以为企业节省成千上万的损失,并保持其网络和公众身份完好无损。以下是有助于防范 MITM 攻击的一些重要工具:

企业密码管理 (EPM) 平台

  • 使用具有适当网络安全功能的密码管理平台可确保安全地存储企业的所有登录帐密。一项重要的反 MITM 功能是端到端加密。Keeper 集成了端到端加密和使用 PKI(公钥基础架构)的保管库之间共享。这意味着网络犯罪分子无法截获传输中的密码或其他共享记录。Keeper 还提供共享团队文件夹以及基于角色的控制功能,允许管理员在团队中限制和分配访问权限。

虚拟专用网络

  • 虚拟专用网络 (VPN) 可将所有互联网流量重新路由至多个不同的服务器,从而有效地隐藏用户的 IP 地址,并使浏览会话更加私密安全。VPN 还包含固有的加密,有助于保护消息和其他数据的安全。

新闻报道的中间人攻击示例

Equifax

Equifax

2017 年,Equifax 遭到网络犯罪分子的攻击,他们利用了一个 HTTP 错误截获到 Equifax 服务器的流量。公司迅速解决了此漏洞,但显示了 MITM 攻击的严重性。数以千计(甚至数以百万计)的个人记录可能被暴露或窃取。

风险投资公司资金被盗

风险投资公司资金被盗

一家中国风险投资公司和一家以色列初创公司是一次严重 MITM 攻击的受害者,造成约 100 万美元的启动资金被盗。网络犯罪分子截获了两家公司之间的电子邮件通信,并将创业公司的种子资金转移至自己的账户。

Keeper 可保护您的公司免受 MITM 攻击。

立即获得保护
close
中文 (CN) 致电我们
免费试用