中間人攻擊（Man-in-the-Middle，MitM）：它們是如何運作的？

什麼是中間人攻擊（Man-in-the-Middle，MitM）？

 

中間人攻擊（Man-in-the-Middle，MitM）是一種網絡攻擊，攻擊者在不被察覺的情況下，秘密攔截並操控兩個毫無防備的通訊對象之間的通信。攻擊者可竊聽對話內容、竊取敏感資料，甚至在受害者毫不知情的情況下竄改訊息。

中間人攻擊的目的

 

網絡犯罪分子發動中間人攻擊（MitM）的目的多種多樣，包括：

 

• 竊取敏感資訊 — 攻擊者收集登入憑證、信用卡資料、銀行資訊及個人資料，用於身份盜用、金融詐騙或在暗網販售。
• 企業間諜活動 — 企業是主要目標，攻擊者可攔截電郵、合約或內部通訊，以獲取競爭情報。
• 竄改交易內容 — 黑客在請求送達銀行前修改付款資訊，將資金轉移至其控制的帳戶。
• 散播惡意軟件 — 透過在合法網站中植入惡意內容，誘騙受害者下載惡意軟件或前往偽造的登入頁面。
• 入侵政府與軍事通訊 — 中間人攻擊常被用於國家級網絡間諜行動，以攔截高度敏感的情報。

 

簡而言之，中間人攻擊的目的是在受害者毫不知情的情況下，透過竊取資料、干擾營運或操控資訊來牟利。

 

中間人攻擊是如何發生的

 

中間人攻擊通常分為兩個主要階段：

 

階段一：攔截 —— 取得通訊存取權

 

在此階段，攻擊者在雙方毫不知情的情況下，插入於通訊雙方之間。他們通常會利用網絡、裝置或應用程式中的漏洞來達成目的。常見的攔截方式包括：

 

• 假 Wi-Fi 熱點（Evil Twin 攻擊） — 攻擊者建立看似合法的 Wi-Fi 網絡（例如「免費咖啡店 Wi-Fi」）。當使用者連線後，所有網絡活動都會經由攻擊者的系統，從而被攔截。
• ARP 欺騙（本地網絡劫持） — 攻擊者操控位址解析協定（ARP），誘使裝置誤以為攻擊者的系統是網絡閘道，從而攔截原本應送往真實網絡的流量。
• DNS 欺騙（重新導向至偽造網站） — 透過污染 DNS 快取，攻擊者可將使用者重新導向至偽造網站（例如假冒的銀行網站），以竊取登入憑證。
• 工作階段劫持 — 攻擊者竊取儲存驗證權杖的工作階段 Cookie，在無需密碼的情況下取得未經授權的帳戶存取權。
• SSL 剝離（降級加密） — 攻擊者強迫使用者從 HTTPS 轉為未加密的 HTTP 連線，使流量更容易被攔截與竄改。

 

階段二：解密與操控 —— 擷取或竄改資料

 

一旦成功存取通訊內容，攻擊者便可：

 

• 被動竊聽 — 在不改變內容的情況下監聽通訊，收集密碼、電郵、銀行資料及其他機密資訊。
• 主動操控資料 — 即時修改訊息內容，例如竄改線上交易的付款資料、在網站流量中植入惡意程式碼，或將使用者重新導向至偽裝成真實網站的釣魚頁面。

 

攻擊者如何竄改資料的實例

 

假設一名使用者登入其網上銀行帳戶，而攻擊者正處於中間位置：

 

• 受害者輸入登入憑證並點擊「提交」。
• 攻擊者攔截請求、竊取登入資料，並將請求轉送至真正的銀行伺服器。
• 銀行完成驗證並回傳回應。
• 攻擊者竄改回應內容，例如變更帳戶餘額或加入惡意連結。
• 受害者在不知情的情況下與被竄改的資料互動，而攻擊者則在背景中控制其帳戶。

 

由於攻擊是在即時進行，中間人攻擊可同時欺騙通訊雙方，使其極難被察覺。

 

如何偵測中間人攻擊

 

中間人攻擊不易察覺，但以下是一些常見警示訊號：

 

• 異常的 SSL/TLS 警告 — 若瀏覽器提示網站憑證無效，切勿繼續存取，這可能是 SSL 剝離的徵象。
• 頻繁的網絡中斷 — 裝置反覆斷線並重新連線，可能代表攻擊者正在攔截流量。
• 網站行為異常 — 熟悉的網站外觀略有不同或缺少 HTTPS 加密，可能是攻擊者建立的偽造網站。
• 網速異常緩慢 — 在輸入敏感資料時出現延遲，可能是流量被攔截並轉送。
• 網址不符 — 連結重新導向至非預期網域，可能是釣魚攻擊。
• 不預期的登入提示 — 在不該重新登入時被要求輸入帳密，可能有人正嘗試竊取憑證。

 

對企業而言，使用入侵偵測系統（IDS）與網絡監控工具，有助於偵測與中間人攻擊相關的可疑活動。

 

HTTPS 與鎖頭圖示的角色

 

過去，瀏覽器中的鎖頭圖示 🔒 代表安全的 HTTPS 連線。然而，Google 已開始在 Chrome 中移除此圖示，改以較中性的圖標顯示。

 

許多使用者誤解鎖頭的含意，認為它代表網站完全安全，但實際上 HTTPS 只代表通訊已加密，並不保證網站本身的合法性。

 

使用者應留意網址是否為 HTTPS，並重視瀏覽器的安全警告。由於攻擊者仍可透過 SSL 剝離迫使用戶使用未加密連線，因此保持警覺仍然至關重要。

 

如何防範中間人攻擊

 

使用安全的網絡

 

• 避免使用公共 Wi-Fi：如必須使用，請透過 VPN（虛擬私人網絡）連線，並僅在安全通道上處理敏感資訊。
• 停用自動連線 Wi-Fi：避免裝置自動連接到惡意熱點。
• 敏感交易使用行動數據：行動網絡比公共 Wi-Fi 更難被攔截。

 

強化加密與安全性

 

• 確認使用 HTTPS：確保網站使用 HTTPS 而非 HTTP。
• 使用 VPN：VPN 可加密所有流量，防止被攔截。
• 啟用端對端加密：如 WhatsApp、Signal 等即時通訊工具。

 

保護您的裝置

 

• 保持系統更新：定期更新可修補安全漏洞。
• 使用強且唯一的密碼：避免在不同帳戶重複使用密碼。
• 啟用雙重驗證（2FA）：即使密碼被竊，也能阻止未經授權的存取。
• 使用防毒軟件與防火牆：可偵測可疑活動。

 

中間人攻擊是日益嚴重的網絡安全威脅，但只要提升意識並採取適當的防護措施，便可大幅降低風險。透過使用加密連線、避開可疑網絡，以及留意警示訊號，您可有效保護個人與企業資料。

 

透過安信資訊安全保護您的組織資料與端點

 

為應對不斷演變的威脅，安信資訊安全提供全面的資料保護與端點安全解決方案。我們的先進技術可即時監控、加密資料並偵測威脅，全面保護傳輸中與靜態資料，同時確保整個組織的端點安全。從惡意軟件偵測到阻止未經授權的存取，安信協助組織維持關鍵資料與系統的完整性與機密性。

 

了解更多安信的資料保護與端點安全解決方案，請按此處。