¿Qué es el ataque MITM (Man in the Middle) y cómo funciona?

SUMAN 11 octubre, 2022
0 Comentarios
MITM (Man in the Middle)

Man in the Middle (MITM) es un término común en el que el perpetrador se involucra en una conversación entre el usuario y la aplicación, ya sea intentando o imitando a una de las partes, haciendo que parezca que el intercambio de datos normal está en curso.

El objetivo del ataque es robar información personal, como credenciales de inicio de sesión, detalles de cuentas y números de tarjetas de crédito. Usuarios objetivo de aplicaciones financieras, negocios, sitios de comercio electrónico y otros sitios web donde se requiere iniciar sesión.

La información obtenida durante un ataque puede usarse para muchos propósitos, incluido el robo de identidad, transferencias de billetera no autorizadas o cambios de contraseña ilegales.

Además, se puede utilizar para ubicar un sitio dentro de un perímetro protegido durante la fase de entrada de un ataque continuo continuo (APT).

En general, los ataques MITM son el equivalente a un cartero que abre su extracto bancario, anota los detalles de su cuenta, luego renueva el sobre y lo entrega en su puerta.

Referencia: wikipedia

Cómo funcionan los ataques MITM (Man in the Middle)

La mayoría de los ataques MITM siguen pautas operativas específicas, independientemente de las tácticas específicas utilizadas en estos ataques.

En este ejemplo, hay tres organizaciones, Alice, Bob y Chuck (invasor).

  • Chuck escucha en secreto el canal donde hablan Alice y Bob
  • Alice envía un mensaje a Bob
  • Chuck recide y lee el mensaje de Alice sin que Alice o Bob lo sepan.
  • Chuck intercambia mensajes entre Alice y Bob, creando respuestas no deseadas/dañinas

Los atacantes a menudo usan MitM para cosechar autenticidad y recopilar inteligencia sobre sus intenciones.

ataque MITM (Man in the Middle)

La autenticación multifactor (MFA) puede ser una protección eficaz contra la verificación robada. Desafortunadamente, MFA puede pasar en algunos casos.

Aquí hay un ejemplo práctico de un ataque MITM real en un Microsoft Office 365 donde el MFA pasó por el atacante:

Un usuario hace clic en un enlace de estafa de phishing que lo lleva a una página falsa de Microsoft donde ingresa su nombre de usuario y contraseña.

  1. Una página web falsa transmite un nombre de usuario y una contraseña al servidor del atacante
  2. El atacante envía una solicitud de inicio de sesión a Microsoft para que no presenten una denuncia
  3. Microsoft envía un código de verificación de dos pasos al usuario a través de SMS
  4. El usuario ingresa el código en una página web falsa
  5. La página falsa transfiere el código 2FA al servidor del atacante
  6. El atacante usa Evilginx para robar una cookie de sesión
  7. El atacante pasa el código de usuario 2FA a Microsoft, y ahora el atacante puede iniciar sesión en Office 365 como un usuario reducido usando una cookie de sesión, y puede acceder a información confidencial dentro de la empresa.

Man in the Middle: Ataques y tipos

El primer paso es capturar el tráfico del usuario a través de la red del atacante antes de que llegue a su destino.

Los atacantes que deseen adoptar un enfoque activo pueden iniciar uno de los siguientes ataques:

  • La suplantación de IP implica que el atacante se disfraza de programa cambiando los títulos de los paquetes a la dirección IP. Como resultado, los usuarios que intentan acceder a la URL vinculada a la aplicación son redirigidos al sitio web del atacante.
  • La suplantación de ARP es el proceso de vincular la dirección MAC del atacante con la dirección IP del usuario oficial a una red local mediante mensajes ARP falsos. Como resultado, los datos enviados por el usuario a la dirección IP alojada se transmiten al atacante.
  • La suplantación de DNS , también conocida como envenenamiento de caché de DNS, consiste en infiltrarse en un servidor DNS y modificar el registro de direcciones de un sitio web. Como resultado, a los usuarios que intentan acceder al sitio se les envía un registro DNS modificado al sitio del atacante.
  • La suplantación de identidad de HTTPS envía un certificado falso al navegador de la víctima tan pronto como se realiza la primera solicitud para conectarse a un sitio seguro. Contiene una huella digital asociada con una aplicación corrupta, que es verificada por un navegador basado en una lista existente de sitios confiables. Luego, el atacante puede acceder a cualquier dato ingresado por la víctima antes de ser transferido a la aplicación.
  • El secuestro de SSL ocurre cuando el atacante pasa claves de verificación fraudulentas tanto al usuario como al sistema durante la captura de TCP. Esta configuración parece ser una conexión segura cuando, de hecho, el intermediario tiene el control todo el tiempo.
ilustrasi hacker ilustrasi serangan siber 4 169

¿Cómo detectar un ataque MITM (Man in the Middle)?

El sentido común es proteger más que ganar.

Señales a buscar

Estas son algunas características que pueden tener oyentes adicionales en sus redes.

  • Desconexión y/o duplicación inesperada: los atacantes interrumpen a la fuerza a los usuarios para recuperar un nombre de usuario y una contraseña cuando un usuario intenta volver a conectarse. Al monitorear las interrupciones inesperadas o repetidas, puede identificar estos comportamientos peligrosos.
  • Direcciones inusuales en la barra de direcciones de su navegador: si algo en la dirección se ve raro, incluso si es pequeño, verifíquelo dos veces. Podría ser un secuestrador de DNS. Por ejemplo, verá https: //www.go0gle.com en lugar de https: // www.google.com
  • Acceder a Wi-Fi públicas y/o no seguras: Ten mucho cuidado con las redes a las que te conectas, y protege las redes Wi-Fi públicas si es posible. Los atacantes crean redes falsas con identificaciones conocidas como “WIFI local gratuito” u otro nombre común para engañar a las personas para que se comuniquen. Cuando te conectas al Wi-Fi del atacante, este puede ver fácilmente todo lo que estás enviando a la red.

Fuente: onlinehacking

Recommend0 Recomendaciones

Categorías: Hacking
Visitas: 41

Artículos relacionados

Respuestas

Reportar

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

¿Bloquear alumno?

Por favor, confirme que desea bloquear a este miembro.

Ya no podrás hacerlo:

  • Ver los mensajes de los miembros bloqueados
  • Mencionar a este miembro en los mensajes
  • Invitar a este miembro a grupos
  • Mensaje a este miembro
  • Agregar este miembro como un amigo

Tenga en cuenta: Esta acción también eliminará a este miembro de sus amigos y enviará un informe al administrador del sitio. Espere unos minutos para que se complete este proceso.

Reportar

Ya has reportado de esto

¿Por qué registrarme?

  • Comparte tus escritos
  • Obtén seguidores
  • Gana dinero ahora
Registrarme
Saber más