Cách Kẻ Tấn Công Sử Dụng Tấn Công Man-in-the-Middle Ngày Nay

Chúng ta đang sống trong một thời đại số nơi hầu hết giao tiếp, giao dịch, và thậm chí các tương tác xã hội diễn ra trực tuyến. Tuy nhiên, đằng sau nền tảng số là các mối đe dọa tinh vi, và các cuộc tấn công Man-in-the-Middle (MitM) nằm trong số những mối đe dọa nguy hiểm nhất. Những hacker hiện đại đã tinh chỉnh phương pháp của họ, lợi dụng cả các thực hành đã lỗi thời lẫn các tiến bộ công nghệ. Hiểu cách các cuộc tấn công MitM hoạt động ngày nay là điều thiết yếu đối với doanh nghiệp và cá nhân quan tâm đến an toàn dữ liệu.

Cấu trúc của một cuộc tấn công Man-in-the-Middle

Cuộc tấn công Man-in-the-Middle có ý tưởng khá đơn giản nhưng dễ bị đánh lừa: kẻ tấn công bí mật chặn và có thể sửa đổi sự giao tiếp giữa hai bên mà họ cho rằng đang giao tiếp trực tiếp với nhau. Có một số phương pháp chính mà tội phạm mạng sử dụng để tiến hành MitM:

• Chụp gói tin (Packet Sniffing): Giám sát các mạng Wi-Fi không được bảo mật để thu thập dữ liệu chưa được mã hóa.
• Chiếm quyền phiên (Session Hijacking): Chiếm quyền một phiên giữa người dùng và một dịch vụ web.
• Đánh lừa DNS (DNS Spoofing): Định tuyến lưu lượng truy cập của một trang web tới một trang độc hại bằng cách làm hỏng bộ đệm DNS.
• Loại bỏ SSL (SSL Stripping): Hạ cấp các kết nối HTTPS an toàn xuống HTTP không được mã hóa.

Ví dụ, trong một sự cố nổi bật vào năm 2023, các kẻ tấn công đã thiết lập một điểm truy cập giả có tiêu đề “Free_Airport_WiFi.” Những du khách không cảnh giác đã kết nối, và dữ liệu của họ—bao gồm thông tin đăng nhập và thông tin tài chính—đã bị rút trộm một cách âm thầm theo thời gian thực, nhờ việc chụp gói tin.

Chiến thuật tiến hóa: Các kỹ thuật MITM hiện đại

Nghiên cứu an ninh mạng năm 2024 cho thấy MitM không tĩnh—các kỹ thuật tiếp tục tiến hóa. Ngay nay kẻ tấn công khai thác các bộ công cụ tiên tiến như Bettercap và Evilginx2, tự động hóa các chu trình chặn bắt phức tạp. Trong số các đổi mới chính:

• Thu thập thông tin đăng nhập tự động (Automated Credential Harvesting): Các công cụ tấn công nay tích cực giả lập các trang hợp lệ và trích xuất thông tin đăng nhập từ các phiên bị chặn. Evilginx2, ví dụ, rất phổ biến để vượt qua xác thực hai yếu tố (2FA) bằng cách proxy một phiên của người dùng.
• Khám phá thiết bị IoT (IoT Device Exploitation): Các thiết bị Internet of Things (IoT) thường chạy firmware lỗi thời và giao tiếp bằng các giao thức không an toàn, khiến chúng trở thành mục tiêu dễ bị tấn công trên mạng cục bộ.
• Ứng dụng MiTM trên di động (MiTM Apps): Ứng dụng di động độc hại có thể thiết lập các kết nối nền, chặn chi tiết đăng nhập của người dùng và gửi chúng đến máy chủ của kẻ tấn công.

Một nghiên cứu năm 2023 của IBM cho thấy hơn 75% thiết bị IoT thiếu mã hóa mạnh, khiến các doanh nghiệp tình cờ trở nên dễ bị tắc nghẽn trong mạng nội bộ.

Các nghiên cứu trường hợp thực tế: MITM đang diễn ra

Các sự cố cụ thể nhấn mạnh mức độ nghiêm trọng của MitM. Vào cuối năm 2022, nhiều khách hàng ngân hàng ở châu Âu báo cáo chuyển tiền trái phép. Cuộc điều tra sau đó tiết lộ một chiến dịch MITM tinh vi:

1. SMS lừa đảo (Phishing SMS): Người dùng nhận được tin nhắn SMS tự xưng là từ ngân hàng của họ, yêu cầu đăng nhập vào một cổng giả.
2. Định tuyến phiên qua proxy (Session Proxying): Khi người dùng nhập thông tin xác thực, kẻ tấn công đã dùng Evilginx2 để bắt cookie phiên. Thay vì chỉ đánh cắp tên người dùng và mật khẩu, chúng chiếm đoạt toàn bộ phiên, vượt qua các bảo vệ 2FA.
3. Giao dịch im lặng (Silent Transactions): Kẻ tấn công thực hiện các chuyển khoản khi nạn nhân vẫn đang đăng nhập, cho đến khi tài khoản của họ bị rút sạch.

Dạng MitM này đặc biệt nguy hiểm vì nó vượt ra ngoài nghe lén thụ động để thao túng các tài khoản và phiên người dùng.

HTTPS: Con dao hai lưỡi

Trong nhiều năm, các chuyên gia an ninh đã khuyến nghị sử dụng HTTPS để chống lại các cuộc tấn công MitM. Tuy nhiên, kẻ tấn công đã thích nghi—một quá trình thường được gọi là SSL stripping. Dưới đây là cách nó hoạt động:

1. Chặn và hạ cấp: Khi người dùng cố gắng kết nối tới một trang web thông qua HTTPS, kẻ tấn công MitM chặn bắt quá trình bắt tay ban đầu và hạ cấp nó xuống HTTP.
2. Giả mạo chứng chỉ SSL: Các công cụ như SSLsplit có thể trình bày cho nạn nhân một chứng chỉ giả địa phương, mở cửa cho việc nghe lén liên lạc.
3. Thu thập dữ liệu: Không có cảnh báo từ trình duyệt (nếu chứng chỉ không được xác thực đúng), dữ liệu nhạy cảm—như thông tin đăng nhập—chảy trực tiếp đến kẻ tấn công.

Kẻ tấn công cũng sử dụng Các Cơ quan cấp chứng chỉ độc hại (CAs), thường bằng cách nhiễm hệ thống để trình duyệt tin tưởng các chứng chỉ giả. Điều này cho phép họ giải mã và mã hóa lại lưu lượng một cách liền mạch, vẫn ẩn danh với nạn nhân. Google cho biết năm 2023 gần 5% lưu lượng web cho thấy dấu hiệu bị chặn SSL bởi các CA không đáng tin cậy ở các khu vực chịu kiểm duyệt hoặc hoạt động tội phạm mạng cao.

Đánh cắp Wi-Fi công khai: Một cổ điển vẫn còn đang được áp dụng

Mặc dù MitM ngày càng tinh vi, các mối nguy từ Wi-Fi công khai vẫn tồn tại qua thời gian. Kẻ tấn công thường thiết lập:

• Điểm truy cập Evil Twin: Gần như giống tên với Wi-Fi công khai thực sự.
• Cuộc tấn công captive portal: Hiển thị màn hình đăng nhập gần như thật và bắt giữ thông tin đăng nhập trước khi cấp quyền truy cập Internet.
• ARPSpoofing: Trên các mạng không tách khách hàng, kẻ tấn công có thể làm ô nhiễm bảng đệm ARP để toàn bộ lưu lượng đi qua thiết bị của họ trước.

Theo Symantec, năm 2019 gần 40% người dùng Mỹ truy cập email cá nhân hoặc công việc qua Wi-Fi công khai. Trong khi nhiều tổ chức bắt buộc dùng VPN, thói quen cá nhân vẫn còn chậm.

Mẹo: Không bao giờ đăng nhập vào các tài khoản nhạy cảm (tài chính, liên quan đến công việc) trên Wi-Fi công cộng, trừ khi bạn đang dùng một VPN được cấu hình tốt với các giao thức mã hóa mạnh.

Tình báo doanh nghiệp: MitM trong thế giới kinh doanh

Đối với tội phạm mạng và các nhóm được nhà nước hậu thuẫn, doanh nghiệp là mục tiêu hấp dẫn. MitM có thể được khai thác để:

• Đánh cắp sở hữu trí tuệ: Trộm thiết kế sản phẩm, kế hoạch kinh doanh hoặc dữ liệu tài chính khi đang truyền tải.
• Phá hỏng nhắn tin được mã hóa: Ngay cả các dịch vụ nhắn tin đầu cuối được cho là an toàn cũng có thể bị ảnh hưởng nếu khóa phiên hoặc điểm cuối bị thao túng tại thời điểm trao đổi.

Ví dụ: Năm 2022, một tập đoàn viễn thông ở châu Á bị xâm nhập sau khi kẻ tấn công lợi dụng các switch nội bộ dễ bị tổn thương. Lưu lượng quản trị không được mã hóa cho phép chúng định tuyến lại và chặn các truyền dữ liệu, dẫn tới thiệt hại lên tới hàng triệu đô la.

Mẹo doanh nghiệp: Sử dụng phân đoạn mạng, xác thực TLS mutual (mutual TLS), và đảm bảo mọi giao diện quản trị mạng được cách ly và mã hóa nghiêm ngặt (ví dụ, bằng SSH hoặc VPN được giới hạn bởi IP).

Email ở giữa: Gian lận chuyển tiền và phishing

Email là một kênh phân phối chính—đặc biệt trong các môi trường kinh doanh có lưu lượng yêu cầu chuyển tiền cao. Tội phạm hiện đại đã hoàn thiện một cuộc tấn công đa bước:

1. Business Email Compromise (BEC): Kẻ tấn công chiếm quyền truy cập vào email doanh nghiệp thông qua phishing hoặc phơi nhiễ MitM trước đó.
2. Conversation Hijack: Một khi đã vào, họ quan sát lưu lượng hoá đơn trước đó, bắt chước cả phong cách và các chi tiết tài chính lặp đi lặp lại.
3. Payment Diversion: Các email giả yêu cầu cập nhật hướng dẫn thanh toán hoặc chuyển tiền gấp được gửi khi các bên hợp pháp chưa biết rằng các trao đổi thư từ của họ đang được đọc hoặc bị chậm trễ.

Báo cáo Tội phạm Internet của FBI năm 2023 cho thấy thiệt hại toàn cầu liên quan đến BEC vượt quá 2,7 tỷ USD, với nhiều vụ liên quan đến một yếu tố của các thông tin liên lạc bị chặn hoặc chiếm quyền phiên—chứ không chỉ spear-phishing.

Vai trò của Kỹ thuật Xã hội

Khả năng kỹ thuật một mình hiếm khi đảm bảo thành công MitM. Kỹ thuật xã hội—làm thao túng con người để có được truy cập hoặc đánh lạc hướng sự nghi ngờ—vẫn là trung tâm:

• Pretexting: Giả vờ là quản trị IT và yêu cầu mục tiêu đăng nhập vào một cổng công ty được xây dựng giả qua một liên kết được thiết kế đặc biệt.
• Đóng vai Hỗ trợ Wi-Fi: Những kẻ tấn công ở gần người dùng đề nghị “giúp” họ trực tuyến, dụ dỗ họ kết nối một cách vô tình với các điểm truy cập độc hại.
• Cập nhật ứng dụng giả: Lừa người dùng cài đặt các cơ quan cấp chứng chỉ giả cho phép kẻ tấn công giải mã và mã hóa lại toàn bộ lưu lượng của họ.

Những kỹ thuật này phác họa các điểm truy cập phi kỹ thuật mà khi kết hợp với các cuộc tấn công ở mức mạng sẽ tạo ra kết quả tàn phá.

Biện pháp đối phó: Giữ an toàn trong năm 2024

Trong khi bối cảnh đe dọa tiếp tục thay đổi, một số bước có thể thực hiện mang lại một hệ phòng thủ vững chắc:

• Luôn sử dụng HTTPS: Kiểm tra kỹ HTTPS và chứng chỉ hợp lệ khi kết nối tới các trang web. Trình duyệt hiện đại cung cấp tín hiệu và cảnh báo cho các chứng chỉ đáng ngờ—hãy tuân thủ chúng không ngoại lệ.
• Tận dụng VPN một cách chiến lược: Mạng riêng ảo mã hóa dữ liệu từ thiết bị của bạn tới một điểm cuối từ xa, làm cho việc chặn bắt khó khăn hơn nhiều, đặc biệt trên Wi-Fi công cộng.
• Ép buộc Xác thực đa yếu tố (MFA): Các công cụ MitM tiên tiến thu thập cookie phiên, vì vậy chỉ dựa vào SMS hoặc mã từ ứng dụng là không còn đủ. Ở các nơi có thể, hãy dùng khóa phần cứng (FIDO2, Yubikey), vốn kháng chặn MitM tốt hơn.
• Phân đoạn mạng và Giám sát: CNTT doanh nghiệp nên bổ sung các công cụ giám sát mạng (IDS/IPS) được điều chỉnh cho ARP poisoning, các vấn đề chứng chỉ đáng ngờ, và các điểm truy cập rogue.
• Đào tạo và Chính sách: Thường xuyên đào tạo nhân sự—cả kỹ thuật và phi kỹ thuật—về nhận diện kỹ thuật xã hội và xác thực các dấu hiệu an ninh trang web.

Một ví dụ nổi bật trong phòng thủ chủ động đến từ một chuỗi bệnh viện lớn của Mỹ. Sau một sự cố MitM năm 2021 khiến thông tin thanh toán của bệnh nhân bị lộ, bộ phận CNTT đã triển khai các tác nhân bảo mật thiết bị bắt buộc, bắt buộc dùng VPN cho mọi kết nối bên ngoài và thực thi ghim tên miền nghiêm ngặt trên các ứng dụng web trọng yếu. Kết quả? Không có vi phạm MitM thành công trong năm tiếp theo.

Mối đe dọa nổi lên của máy tính lượng tử

Nhìn về phía trước, mối đe dọa từ các cuộc tấn công MitM được dự báo sẽ tăng lên cùng sự ra đời của tính toán lượng tử. Hiện nay các chuẩn mật mã—đặc biệt là những chuẩn nền tảng cho HTTPS và VPN—có thể bị tấn công lượng tử trong tương lai và có thể giải mã dữ liệu bị chặn.

Các nhà nghiên cứu an ninh dự đoán rằng ngay cả bây giờ, các tác nhân được nhà nước hậu thuẫn có thể đang thu thập một lượng lớn lưu lượng được mã hóa, lưu trữ để giải mã khi máy tính lượng tử trưởng thành. Khái niệm này, được gọi là “ăn trộm ngay bây giờ, giải mã sau này,” khiến các cuộc tấn công MitM không chỉ là một vector thời gian thực mà còn là một mối đe dọa liên tục và dài hạn.

Mẹo để chuẩn bị cho tương lai: Các doanh nghiệp nên bắt đầu điều tra và triển khai các chuẩn mật mã hậu lượng tử, làm việc với các nhà cung cấp áp dụng các thuật toán được NIST chọn khi chúng trở nên phổ biến.

Việc đi trước những kẻ tấn công sử dụng chiến thuật Man-in-the-Middle đòi hỏi sự cảnh giác, giáo dục và các lớp phòng thủ công nghệ có tầng. Khi tội phạm mạng đổi mới, các tổ chức và cá nhân phải tinh chỉnh chiến lược của họ, đối xử với mọi tương tác mạng—dù có vẻ bình thường đến đâu—bằng một cái nhìn thận trọng và nghi ngờ. Cộng đồng công chúng, doanh nghiệp và các nhà cung cấp công nghệ đều nắm giữ các mảnh ghép cho bài toán an ninh liên tục này, và những người thích nghi nhanh nhất sẽ là những người duy trì an toàn trong bối cảnh an ninh mạng đang phát triển.