Tấn Công Man-in-the-Middle (MITM): Mối Nguy Hiểm Vô Hình Trong Mạng Cục Bộ

Khi mọi thông tin riêng tư có thể bị "đứng giữa và nghe lén"

Trong thế giới mạng hiện đại, nơi dữ liệu được truyền đi liên tục giữa các thiết bị, tấn công Man-in-the-Middle (MITM) vẫn là một trong những kỹ thuật nguy hiểm và tinh vi nhất mà tin tặc sử dụng để đánh cắp thông tin. Dù đã được biết đến từ rất lâu, nhưng MITM vẫn là mối đe dọa nghiêm trọng, đặc biệt trong các mạng nội bộ thiếu bảo mật.

MITM là gì?

Man-in-the-Middle (MITM) là hình thức tấn công mạng trong đó kẻ tấn công lén chèn mình vào giữa quá trình trao đổi dữ liệu giữa hai bên (ví dụ: giữa bạn và máy chủ web). Mục tiêu:

• Nghe lén (eavesdropping): Xem trộm dữ liệu.
• Chỉnh sửa (tampering): Thay đổi dữ liệu trong quá trình truyền mà các bên không hay biết.
• Đánh cắp (stealing): Lấy thông tin nhạy cảm như mật khẩu, số thẻ, dữ liệu tài chính.

MITM nguy hiểm vì nạn nhân vẫn tin rằng mình đang giao tiếp trực tiếp với bên kia, trong khi thực tế dữ liệu đã bị can thiệp.

Nguyên lý hoạt động chung

MITM thường diễn ra theo chu trình 3 bước:

1. Chèn mình vào luồng dữ liệu – Kẻ tấn công lợi dụng lỗ hổng mạng hoặc giao thức để đưa máy của mình vào vị trí trung gian giữa hai bên.
2. Chuyển tiếp dữ liệu qua máy tấn công – Mọi gói tin từ nạn nhân đến máy chủ (và ngược lại) sẽ đi qua kẻ tấn công.
3.  Phân tích hoặc sửa đổi dữ liệu – Dữ liệu có thể bị đọc, ghi lại hoặc thay đổi trước khi đến đích.

Ví dụ minh họa với ARP Spoofing:

• Kẻ tấn công gửi gói tin ARP giả cho nạn nhân, nói “Tôi là Gateway”.
• Đồng thời gửi gói tin ARP giả cho Gateway, nói “Tôi là nạn nhân”.
•  Cả hai tin là thật → dữ liệu từ nạn nhân đi qua kẻ tấn công trước khi ra internet.

Các kỹ thuật MITM phổ biến

ARP Spoofing / ARP Poisoning

Lợi dụng ARP (Address Resolution Protocol) trong mạng LAN để giả mạo địa chỉ MAC của gateway hoặc máy nạn nhân.

Thường dùng trong mạng nội bộ, dễ thực hiện, ít bị phát hiện nếu mạng không có bảo vệ ARP.

DNS Spoofing

Giả mạo phản hồi DNS để chuyển hướng nạn nhân đến trang web giả mạo.

Ví dụ: Bạn gõ www.facebook.com nhưng lại được đưa đến server giả.

HTTP/HTTPS Hijacking

Can thiệp vào kết nối HTTP hoặc hạ cấp HTTPS xuống HTTP (SSL Stripping) để lấy dữ liệu không mã hóa.

Wi-Fi Evil Twin

Tạo điểm phát Wi-Fi giả có tên giống mạng thật, dụ người dùng kết nối để chặn dữ liệu.

Công cụ tấn công MITM phổ biến

Tình huống thực tế

• Tình huống 1: Mạng Wi-Fi công cộng

Bạn vào quán cà phê và kết nối Wi-Fi miễn phí. Một kẻ tấn công trong cùng mạng chạy Ettercap, thực hiện ARP Spoofing → toàn bộ dữ liệu đăng nhập vào website HTTP bị lấy cắp.

• Tình huống 2: Văn phòng thiếu bảo mật

Mạng LAN của công ty không bật bảo vệ ARP. Một nhân viên cắm laptop chạy Cain & Abel, chiếm quyền MITM → lấy email nội bộ và mật khẩu dịch vụ FTP.

Mức độ nguy hiểm ra sao?

Trong một cuộc tấn công MITM thành công, mọi thông tin không được mã hóa sẽ trở thành miếng mồi ngon:

• Nội dung email, chat
• Thông tin đăng nhập qua các trang HTTP
• Mật khẩu ứng dụng nội bộ
• Dữ liệu tài chính

Thậm chí nếu dữ liệu bị sửa đổi, người dùng cũng không hề hay biết.

Cách phòng tránh tấn công MITM

1. Luôn sử dụng kết nối HTTPS – Ưu tiên website có chứng chỉ SSL/TLS.
2. Sử dụng VPN khi truy cập mạng từ xa, mạng công cộng.
3. Bật xác thực hai lớp (2FA) để giảm thiểu rủi ro nếu mật khẩu bị lộ.
4. Cấu hình bảo vệ ARP/DHCP trên switch/router.
5. Cài phần mềm bảo mật và phát hiện xâm nhập (IDS/IPS) trong hệ thống mạng doanh nghiệp
6. Không truy cập dịch vụ quan trọng qua Wi-Fi công cộng không bảo mật.

Kết luận

Tấn công MITM không hề mới nhưng vẫn đang âm thầm xảy ra mỗi ngày trong các hệ thống mạng yếu bảo mật. Chỉ một sơ suất nhỏ cũng có thể khiến dữ liệu cá nhân hoặc tài sản doanh nghiệp bị đánh cắp. Hiểu rõ cách thức và dấu hiệu của MITM chính là bước đầu để bảo vệ bản thân và tổ chức trước những mối nguy an ninh mạng.

Cô Lục Kim Trân – Giảng viên Khoa CNTT - ĐT