به طور کلی، حملات On-Path حملاتی هستند که در آنها، مهاجم خود را بین مبدا و مقصد قرار میدهد (غالبا بین مرورگر وب و سرور وب)، سپس ارتباطات بین این دو را کنترل و ردیابی میکند و در نهایت اقدام به ایجاد تغییر در آنها و جمعآوری اطلاعات مینماید.
در این حمله، مهاجم میتواند خود را به جای یکی از طرفین معرفی نموده و اقدام به جمعآوری اطلاعات نماید. حملات On-Path علاوه بر وبسایت میتوانند DNS lookup، خدمات ایمیل و همچنین شبکههای عمومی WiFi را نیز مورد هدف قرار دهند.
به طور معمول حملات On-Path، اهدافی مانند تجارتهای مبتنی بر SaaS، مشاغل مربوط به تجارت الکترونیک و همچنین کاربران برنامههای مالی را برای حمله در نظر میگیرند.
برای درک بهتر، مهاجم حملات On-Path را میتوان به کارمند پستی تشبیه نمود که امکان خواندن نامهها و تغییر در آنها را دارد. به عنوان مثال یک مهاجم حمله on path میتواند بین کاربر و وبسایتی قرار گیرد که کاربر قصد بازدید از آن را دارد، سپس اطلاعات مربوط به نام کاربری و پسورد را جمعآوری میکند.
این حمله میتواند با هدف قرار دادن کانکشن HTTP بین کاربر و وب سایت انجام گیرد. دستیابی به این کانکشن به مهاجم این امکان را میدهد که مانند پروکسی عمل کرده تا قابلیت جمعآوری و تغییر در دادههای منتقل شده بین کاربر و وبسایت را داشته باشد.
در ضمن مهاجم میتواند کوکیهای (بخشهای کوچک داده که توسط وب سایت ایجاد شده و به منظور شناسایی یا اهداف دیگر، توسط کامپیوتر کاربر ذخیره و نگهداری میشود) کاربر را به سرقت برده و از آنها برای جعل هویت کاربر استفاده نماید.
مهاجمین on path میتوانند سرورهای DNS را نیز مورد هدف قرار دهند. DNS lookup، فرایندی است که طی آن به مرورگرهای وب این امکان داده میشود با تبدیل نام دامنه به آدرسهای IP، قادر به پیدا کردن وبسایت مورد نظر خود باشند.
بنابراین در حملات DNS on path مانند DNS spoofing و DNS hijacking مهاجم میتواند فرایند DNS lookup را به خطر انداخته و کاربر را به سایت نادرست هدایت کند. غالبا کاربران به سایتهایی هدایت میشوند که اقدام به توزیع بدافزار و یا جمعآوری دادههای مهم میکنند.
Email hijacking چیست؟
Email hijacking یکی دیگر از انواع رایج حملات است که در آن مهاجمین on path با قرار دادن خود بین سرور ایمیل و سرور وب، به سرورهای ایمیل نفوذ میکنند. در این مرحله، مهاجم میتواند تمامی روابط ایمیلی را نظارت کند.
در این حالت کلاهبرداریهای مختلفی رخ میدهد. به عنوان مثال زمانی که فردی منتظر یک ایمیل جهت پرداخت مبلغ است، مهاجم با تغییر شماره کارت و عذرخواهی بابت اشتباه پیش آمده در نامه قبلی به هدف خود میرسد. در سال 2015 طی حملات سایبری و با استفاده از Email hijacking بیش از 6 میلیون یورو از شرکتهای مختلف اروپایی، به سرقت رفت.
چرا WiFi عمومی خطرناک است؟
اغلب حملات on path از طریق شبکههای WiFi اتفاق میافتند. مهاجم میتواند شبکههای WiFi مخربی ایجاد کنند که به ظاهر بیخطر هستند. اما به محض این که کاربر به شبکه WiFi مخرب متصل میشود، مهاجم on path قادر به نظارت و مشاهده فعالیتهای آنلاین کاربر میگردد.
حتی مهاجمین بسیار حرفهای این توانایی را دارند که مرورگر کاربر را به نسخه جعلی وبسایتهای قانونی هدایت کنند.
راههای مقابله با حملات On-Path
خبر بد این است که چون مهاجمین On-Path از روشهای مختلفی استفاده میکنند، یک راهکار مشخص برای مقابله با این حملات وجود ندارد. یکی از اصولیترین روشهای ایجاد محافظت در برابر حملاتی که ترافیک HTTP را هدف قرار میدهند، استفاده از SSL/TLS است.
در این حالت کانکشنی امن بین کاربر و وب ایجاد خواهد شد. متاسفانه این راه حل را نیز نمیتوان کاملا ایمن دانست، زیرا مهاجمین حرفهای on path میتوانند بر روی محافظت SSL/TLS نیز کار کنند و آن را شکست دهند.
قابل ذکر است برخی از وب سرویسها به منظور ایجاد محافظت بیشتر و بهتر، از HSTS که مخفف HTTP Strict Transport Security است، استفاده میکنند. با این کار، کلیه کانکشنهای SSL/TLS با هر مرورگر و یا اپلیکشنی، ایمن شده و کانکشنهای HTTP نا ایمن مسدود میگردند، همچنین از به سرقت رفتن کوکیها نیز جلوگیری به عمل میآید.
یکی دیگر از روشهای ایجاد محافظت در برابر این دسته از حملات، استفاده از Authentication Certificates است. تمامی سازمانهایی که احراز هویت مبتنی بر Certificate را بر روی دستگاههای خود اجرا میکنند، تنها به کاربران مجاز اجازه دسترسی خواهند داد.
استفاده از Secure/Multipurpose Internet Mail Extensions (S/MIME) به منظور جلوگیری از حملات Email Hijacking موثر است. این پروتکل با رمزگذاری ایمیلها و ایجاد قابلیت امضا دیجیتالی، به کاربران این ضمانت را میدهد که گیرنده یک پیام مناسب و غیر جعلی را دریافت کرده است.
کاربران شخصی که وابسته به سازمانی نیستند نیز میتوانند با عدم ارسال اطلاعات مهم و حساس از طریق شبکههای عمومی WiFi، خود را در برابر حملات ایمن نمایند.
منبع: www.cloudflare.com