MitM（中间人攻击）

什么是中间人攻击？

MitM（中间人攻击）通常发生两方通信过程中，攻击者秘密介入双方之间的通信链路，并对信息进行拦截、转发甚至篡改，而通信双方误以为自己正在直接与对方进行安全通信，从而为攻击者操纵、窃取或窃听敏感信息提供机会。

‍

中间人攻击是如何运作的？

1. 通信拦截： 攻击者利用多种技术手段，介入通信双方链路，从而截获双方传输的数据。
2. 数据窃取与篡改： 成功介入通信链路后，攻击者能够读取、记录甚至篡改敏感信息，例如登录凭证、银行卡信息及私人消息等，进一步引发未授权交易或数据泄露等风险。

‍

中间人攻击的类型

根据攻击者对通信链路的利用方式，可分为主动型攻击与被动型攻击两类：

主动攻击

1. HTTPS 伪造
   
   • 虚假网站：攻击者伪造看似安全可信的虚假网站，诱导用户输入登录凭证等敏感信息。
2. 电子邮箱劫持
   
   • 邮箱账户盗用：攻击者劫持电子邮箱账户，对通信内容进行拦截与篡改，进而实施欺诈性交易或窃取敏感信息。
3. 会话劫持
   
   • 会话劫持：攻击者通过窃取会话Cookie或登录凭证，接管用户会话，从而非法访问私人账户。
4. DNS 欺骗
   
   • 重定向流量：攻击者篡改DNS查询结果，将用户流量重定向至恶意网站，进而窃取登录凭证或传播恶意软件。

被动攻击

1. Wi-Fi 窃听
   
   • 数据拦截：攻击者通过未授权的Wi-Fi网络窃取用户通信数据，从而监控用户活动并窃取支付信息及登录凭证。

关键点： 中间人攻击主要利用通信链路中的安全漏洞，对数据进行拦截与篡改。因此，防范中间人攻击需加强网络连接安全、使用强加密协议，提高对网络钓鱼及虚假网站的警惕性。

中间人攻击示例

• 公共 Wi-Fi 攻击：攻击者在公共区域内伪造Wi-Fi热点。不知情用户连接后，攻击者即可盗取电子邮件、账户密码及金融交易信息。

• 虚假银行网站：攻击者通过DNS欺诈，将用户从真实银行网站重定向至伪造网站，诱导其输入登录凭证，从而实施账户盗取。

• 企业电子邮箱劫持：攻击者通常会攻击企业员工邮箱，进而利用其展开欺诈性交易或窃取企业机密信息。

‍

对企业的影响

攻击者会将窃取的数据用于身份盗用、金融欺诈或进一步攻击企业网络等恶意用途。

1. 经济损失
   • 欺诈性交易：被拦截及篡改的交易可能导致企业出现资金损失。
2. 数据泄露
   • 敏感信息泄露：企业敏感数据及机密信息可能遭到泄露。
3. 声誉损害
   • 信任问题：安全事件可能会削弱客户对企业安全能力的信任。
4. 运营中断
   • 业务中断：企业在处理安全事件及加强安全措施期间，业务运营可能受到影响。
5. 法律和监管后果
   • 合规问题：若企业无法充分保障通信安全，可能面临监管处罚及法律责任。

如何检测中间人攻击

• 加密流量监控：检测加密流量中是否存在异常情况，如HTTPS缺失、证书异常变更等。
• 网络流量分析：分析网络流量模式是否存在异常，例如异常数据路由或可疑IP地址。
• DNS 查询监控：检测未经授权的DNS配置变更或指向不可信网站的异常行为。
• 会话检测：通过安全工具监测异常会话活动，识别未授权访问行为。
• 行为分析：基于AI驱动的解决方案，识别与正常用户行为存在偏离的异常情况，从而发现潜在的中间人攻击行为。

如何防范中间人攻击

防范中间人攻击需构建多层安全防护体系：

1. 多因素身份验证 (MFA)
   通过生物识别、一次性密码（OTP）等额外验证步骤加强账户安全，降低未授权访问风险。
2. 安全连接
   对所有通信强制采用TLS（传输层安全性协议）等加密协议，并确保用户通过HTTPS安全连接访问网站。
3. 机器人检测和防护
   部署验证码及其余高级检测算法，以拦截利用系统漏洞的自动化攻击。
4. 安全的电子邮件协议
   采用SPF（发件人策略框架）、DKIM（域名密钥识别邮件标准）及DMARC（基于域的身份验证报告与一致性协议）等反欺诈措施，保护电子邮箱通信安全、有效防范钓鱼等相关中间人攻击。
5. 设备智能
   通过分析IP地址、浏览器配置及操作系统等属性识别可疑设备，标记并屏蔽潜在异常行为。
6. 泄露凭据监测
   持续监测泄露凭证，并在检测到数据泄露时及时提醒用户重置密码。‍
7. 全球风险画像
   利用全球风险画像等高级欺诈风控工具分析用户行为并识别异常风险。
8. ‍用户安全教育
   重视培训员工及用户识别虚假网站的能力，避免使用不安全的Wi-Fi，并严格遵循安全通信规范。

通过结合上述检测与防范措施，企业能够有效降低中间人攻击带来的安全风险与业务影响。了解有关人工智能驱动的欺诈检测工具 。