ما هو هجوم الوسيط (MITM)؟

بعد أن يضع مهاجمو MITM أنفسهم خلسةً في وسط اتصالات بين طرفين، فإنهم يخترقون البيانات الحساسة، مثل أرقام بطاقات الائتمان، ومعلومات الحساب، وبيانات اعتماد تسجيل الدخول. ثم يستخدم المخترقون تلك المعلومات لارتكاب جرائم إلكترونية أخرى مثل إجراء عمليات شراء غير مصرح بها، وسرقة الحسابات المالية والهوية.

بالإضافة إلى عمليات التبادل بين المستخدم والتطبيق، قد يتنصت مهاجم MITM أيضًا على الاتصالات الخاصة بين شخصين. في هذا السيناريو، يقوم المهاجم بتحويل الرسائل ونقلها بين الشخصين، وأحيانًا يقوم بتغيير الرسائل أو استبدالها للتحكم في المحادثة.

يبتعد بعض المؤسسات وخبراء الأمن الإلكتروني عن مصطلح "هجوم الوسيط"؛ لأن البعض قد يعتبر التعبير متحيزًا. قد لا يسجل المصطلح أيضًا الحالات التي يكون فيها الكيان الوسيط روبوت أو جهازًا أو برنامجًا ضارًا بدلاً من شخص.

تتضمن المصطلحات البديلة لهذا النوع من الهجمات الإلكترونية مصطلحات بديلة مثل "آلة وسيطة"، و"هجوم على المسار"، و"خصم وسيط (AITM)" و"معالج وسيط".

تعد الثغرات الأمنية في الشبكات، ومتصفحات الويب، وحسابات البريد الإلكتروني، وسلوكيات المستخدم، وبروتوكولات الأمان، نقاط انطلاق هجمات MITM. يستغل المجرم الإلكتروني نقاط الضعف لإقحام نفسه بين المستخدمين والتطبيقات الموثوق بها؛ حتى يتمكن من التحكم في الاتصالات واعتراض البيانات في الوقت الفعلي.

هجمات التصيد الاحتيالي هي إحدى الوسائل الشائعة لدخول مهاجمي MITM. بالنقر على رابط خبيث في البريد الإلكتروني، يمكن للمستخدم أن يشن هجومًا وسيطًا من داخل المتصفح دون أن يدري. وفي أغلب الأحيان يعتمد مهاجمو MITM على هذا الأسلوب لإصابة متصفح الويب الخاص بالمستخدم ببرنامج ضار يمكّنه من إجراء تغييرات سرية على صفحات الويب، والتلاعب بالمعاملات، والتجسس على نشاط المستخدم.

تعد نقاط اتصال الواي فاي العامة مصدرًا آخر شائعًا لهجمات MITM. تحتوي أجهزة توجيه الواي فاي العامة على بروتوكولات أمان أقل من أجهزة توجيه wifi المنزلية أو في مكان العمل. وهذا يسهل على المستخدمين القريبين الاتصال بالشبكة. ولكنه أيضًا يسهّل على المخترقين اختراق جهاز التوجيه حتى يتمكنوا من التنصت على حركة المرور على الإنترنت وجمع بيانات المستخدم.

يقوم مهاجمو MITM في بعض الأحيان بإنشاء شبكات واي فاي عامة خبيثة لاستدراج المستخدمين الغافلين وجمع بياناتهم الشخصية.

قد ينشئ مهاجمو MITM أيضًا مواقع ويب مزيفة تبدو شرعية، ولكنها في الواقع تجمع بيانات حساسة، مثل بيانات اعتماد تسجيل الدخول. يمكن للمخترقين بعد ذلك استخدام بيانات الاعتماد لتسجيل الدخول إلى حسابات المستخدمين على المواقع الإلكترونية الأصلية. أو قد يستخدمون الموقع الإلكتروني المزيف لخداع المستخدمين للسداد أو تحويل الأموال.

تتطلب الهجمات الوسيطة مجرمين إلكترونيين من أجل: 1) اعتراض البيانات التي تمر بين هدفيها و2) فك تشفير تلك المعلومات.

للتدخل بين هدفين يتواصلان، مثل المستخدم وتطبيق الويب، يجب على المهاجم اعتراض البيانات التي تنتقل بينهما. ثم يقوم المهاجم بعد ذلك بنقل تلك المعلومات المحولة بين الهدفين كما لو كانت اتصالات عادية جارية؛ حتى لا يشك الضحايا في أي شيء.

أكثر الاتصالات عبر الإنترنت اليوم مشفرة، لذا فإن أي بيانات يعترضها مهاجم MITM ستحتاج على الأرجح إلى فك تشفيرها قبل أن يتمكن المهاجم من استخدامها. يمكن أن يفك المهاجمون تشفير البيانات عن طريق سرقة مفاتيح التشفير أو تنفيذ هجمات القوة الغاشمة أو استخدام تقنيات هجوم MITM المتخصصة (انظر القسم التالي).

يستخدم المهاجمون مجموعة متنوعة من التقنيات لاعتراض البيانات وفك تشفيرها أثناء هجمات MITM. تشمل التقنيات الشائعة ما يلي:

انتحال بروتوكول الإنترنت (IP): تحدد عناوين Internet Protocol (IP) الكيانات عبر الإنترنت مثل مواقع الويب والأجهزة وعناوين البريد الإلكتروني. يعمل مهاجمو MITM على تغيير أو "انتحال" عنوان IP بحيث يبدو أن المستخدم يتواصل مع مضيف حقيقي بينما هو في الواقع متصل بمصدر خبيث.

انتحال بروتوكول تحليل العناوين (ARP) أو تسميم ذاكرة التخزين المؤقت لبروتوكول ARP: يربط بروتوكول ARP بعنوان التحكم في الوصول إلى الوسائط (MAC) الصحيح على شبكة محلية. من خلال انتحال عنوان ARP، يمكن للمهاجم توجيه هذا الاتصال إلى عنوان MAC الخاص به لاستخراج المعلومات.

انتحال نظام أسماء النطاقات (DNS): يربط نظام أسماء النطاقات (DNS) أسماء النطاقات الخاصة بالمواقع الإلكترونية بعناوين IP المخصصة لها. من خلال تغيير اسم النطاق في سجلات DNS، يمكن لمهاجم MITM توجيه المستخدمين بعيدًا عن موقع شرعي إلى موقع احتيالي.

انتحال بروتوكول نقل النص التشعبي الآمن (HTTPS): يضمن بروتوكول نقل النص التشعبي الآمن (HTTPS) أمان الاتصالات من خلال تشفير البيانات التي تنتقل ذهابًا وإيابًا بين المستخدم والموقع الإلكتروني. يوجه مهاجمو MITM المستخدمين سرًا إلى صفحة HTTP قياسية دون تشفير حتى يتمكنوا من الوصول إلى البيانات غير المحمية.

سرقة طبقة المقابس الآمنة (SSL): طبقات المقابس الآمنة هي التقنية التي توفر المصادقة والتشفير بين متصفح الويب وخادم الويب باستخدام شهادات SSL. يستخدم مهاجمو MITM شهادة SSL مزيفة لسرقة هذه العملية واعتراض البيانات قبل تشفيرها.

تجريد SSL: تحدث هذه التقنية عندما يقبل موقع الويب اتصالات HTTP الواردة قبل توجيه حركة المرور إلى اتصالات HTTPS الآمنة. يعطل مهاجمو MITM عملية الانتقال حتى يتمكنوا من الوصول إلى البيانات غير المشفرة قبل أن ينتقلوا إلى اتصال HTTPS آمن.

في هذا النوع من الهجمات، يسيطر المجرمون الإلكترونيون على حسابات البريد الإلكتروني الخاصة بشركة أو مؤسسة. يستهدف مهاجمو MITM في أغلب الأحيان المؤسسات المالية مثل البنوك أو شركات بطاقات الائتمان لهذا النوع من الهجمات.

يراقب المخترقون الاتصالات، ويجمعون البيانات الشخصية، ويجمعون معلومات عن المعاملات. في بعض الحالات، يزيفون عنوان البريد الإلكتروني للشركة لإقناع العملاء أو الشركاء بإيداع أو تحويل الأموال إلى حساب احتيالي.

عندما يتواصل متصفح الويب الخاص بالمستخدم مع موقع ويب، فإنه يخزن مؤقتًا
معلومات على ملف تعريف ارتباط للجلسة. يتمكن مهاجمو MITM من الوصول إلى ملفات تعريف الارتباط واستخدامها لانتحال شخصية المستخدم أو سرقة المعلومات التي تحتويها، والتي يمكن أن تشمل كلمات المرور، وأرقام بطاقات الائتمان، وغيرها من معلومات الحساب.

نظرًا لانتهاء صلاحية ملف تعريف الارتباط عند انتهاء صلاحية الجلسة، يجب على المخترقين التصرف بسرعة قبل أن تختفي المعلومات.

ينشئ المهاجمون الذين يستخدمون تقنية MITM أحيانًا شبكات واي فاي عامة ونقاط ساخنة في الأماكن العامة الشهيرة مثل المطارات والمطاعم ومراكز المدن. وفي أغلب الأحيان تكون أسماء هذه الشبكات الاحتيالية مشابهة لأسماء شركات قريبة أو غيرها من شبكات الواي فاي العامة الموثوقة. يمكن للمخترقين أيضًا اختراق نقاط اتصال الواي فاي العامة المشروعة التي يستخدمها الجمهور.

في كلتا الحالتين، عندما يسجل المستخدمون الغافلين الدخول، يجمع المهاجمون بيانات حساسة مثل أرقام بطاقات الائتمان، وأسماء المستخدمين، وكلمات المرور.

في عام 2017، كانت وكالة Equifax لإعداد التقارير الائتمانية ضحية لهجوم وسيط بسبب ثغرة أمنية لم يتم إصلاحها في إطار عمل تطبيقات الويب. كشف الهجوم عن المعلومات المالية لما يقرب من 150 مليون شخص.

في الوقت نفسه، اكتشفت Equifax ثغرات أمنية في تطبيق الأجهزة المحمولة التي يمكن أن تجعل العملاء عرضة لمزيد من هجمات MITM. حذفت Equifax التطبيقات من تطبيق Apple App Store و Google Play.

شن المخترقون هجوم MITM ناجحًا ضد هيئة الأمن الرقمي الهولندية DigiNotar في عام 2011 باستخدام مواقع إلكترونية مزيفة لجمع كلمات المرور.

كان الاختراق خطيرًا لأنه تسبب في إصدار DigiNotar أكثر من 500 شهادة أمان مخترقة لمواقع إلكترونية كبرى، بما في ذلك Google، وYahoo، وMicrosoft. وفي النهاية حُذفت DigiNotar من قائمة مزودي شهادات الأمان وأعلنت إفلاسها.

في عام 2024، أبلغ باحثون أمنيون عن وجود ثغرة أمنية يمكن للمخترقين باستخدامها بدء هجوم MITM لفتح وسرقة سيارات Tesla.1

وباستخدام نقطة اتصال واي فاي مخادعة في محطة شحن تسلا، يمكن للمهاجمين الحصول على بيانات اعتماد حساب مالك تسلا. يمكن للمهاجم بعد ذلك إضافة "مفتاح هاتف" جديد يفتح ويشغل السيارة دون علم مالك السيارة، وفقًا للباحثين.

هناك تدابير الأمن الإلكتروني التي يمكن للمؤسسات والأفراد تنفيذها للحماية من الهجوم الوسيط. يوصي خبراء بالتركيز على هذه الاستراتيجيات:

HTTPS: يجب على المستخدمين زيارة مواقع الويب ذات الاتصال الآمن فقط، والتي يُشار إليها بـ "HTTPS" وأيقونة القفل في شريط العنوان في المتصفح. يجب تجنب صفحات الويب التي تقدم اتصالات HTTP غير الآمنة فقط. وبالإضافة إلى ذلك، يمكن لبروتوكولي SSL وTLS للتطبيق الحماية من حركة مرور الويب الضارة، ومنع هجمات الانتحال.

أمن نقطة النهاية: نقاط النهاية مثل أجهزة الكمبيوتر المحمول، والهواتف الذكية، ومحطات العمل، والخوادم هي الأهداف الرئيسية لمنفذي هجمات MITM. يعد أمن نقطة النهاية، ومن ضمنه أحدث التصحيحات وبرامج مكافحة الفيروسات، أمرًا مهمًا للغاية لمنع المهاجمين من تثبيت برنامج ضار على هذه الأجهزة.

الشبكات الخاصة الافتراضية: توفر الشبكات الخاصة الافتراضية دفاعًا قويًا ضد هجمات MITM من خلال تشفير حركة مرور الشبكة. حتى في حالة حدوث اختراق، لن يتمكن المخترقون من قراءة البيانات الحساسة مثل بيانات اعتماد تسجيل الدخول، وأرقام بطاقات الائتمان، ومعلومات الحساب.

المصادقة متعددة العوامل (MFA): تتطلب المصادقة متعددة العوامل (MFA) خطوة إضافية تتجاوز إدخال كلمة مرور للوصول إلى الحسابات أو الأجهزة أو خدمات الشبكة. حتى إذا كان مهاجم MITM قادرًا على الحصول على بيانات اعتماد تسجيل الدخول، يمكن أن تساعد المصادقة متعددة العوامل على منع المهاجم من الاستيلاء على الحساب.

التشفير: يعد التشفير مطلبًا أساسيًا لأمن الشبكة والدفاع ضد هجمات MITM. يمكن للتشفير القوي الشامل على كل حركة مرور الشبكة ومواردها—بما في ذلك محتوى البريد الإلكتروني، وسجلات DNS، وتطبيقات المراسلات ونقاط الوصول—أن يحبط العديد من هجمات MITM.

شبكات الواي فاي العامة: يجب على المستخدمين تجنب شبكات الواي فاي العامة عند إجراء معاملات بها بيانات حساسة، مثل عمليات الشراء.