Man-in-the-Middle là gì? Tìm hiểu về khái niệm MITM

Mục lục

Man-in-the-Middle (MITM) là hình thức tấn công mạng trong đó kẻ xấu bí mật chen ngang giữa hai bên giao tiếp, nghe lén và có thể thay đổi nội dung trao đổi mà không bị phát hiện.

MITM là một trong những kỹ thuật tấn công nguy hiểm nhất trong an ninh mạng, thường được sử dụng để đánh cắp dữ liệu, thông tin cá nhân, tài khoản ngân hàng hoặc tiền điện tử qua cả mạng có dây và không dây.

NỘI DUNG CHÍNH

Man-in-the-Middle là kiểu tấn công chen ngang giữa hai bên giao tiếp để nghe lén hoặc thay đổi dữ liệu.
Các dạng phổ biến gồm giả mạo ARP, DNS, SSL/TLS, Wi-Fi công cộng và tấn công Bluetooth.
Phòng tránh MITM bằng cách sử dụng HTTPS, VPN, xác thực chứng chỉ và kích hoạt xác thực hai yếu tố (2FA).

Man-in-the-Middle là gì?

Tấn công Man-in-the-Middle (MITM), hay còn gọi là tấn công “on-path”, là kỹ thuật mà kẻ tấn công đứng giữa hai bên liên lạc, chuyển tiếp và có thể chỉnh sửa thông tin trao đổi. Cả hai bên đều tin rằng họ đang giao tiếp trực tiếp, trong khi dữ liệu đã bị can thiệp.

MITM được xem là một trong những kỹ thuật cổ điển nhưng vẫn phổ biến do hiệu quả cao. Theo báo cáo Verizon Data Breach 2023, hơn 35% vụ rò rỉ dữ liệu toàn cầu liên quan đến dạng tấn công trung gian như MITM.

“MITM không chỉ là một kỹ thuật, mà là nền tảng cho nhiều hình thức tấn công mạng tinh vi hiện nay.”
— Bruce Schneier, chuyên gia an ninh mạng (2023, Schneier on Security)

Cách thức hoạt động của tấn công Man-in-the-Middle

Trong một cuộc tấn công MITM, kẻ tấn công thiết lập hai kết nối độc lập với từng bên và chuyển tiếp thông tin qua lại. Như vậy, hắn vừa có thể nghe lén vừa thay đổi nội dung truyền đi.

Xem thêm: Lạm phát token là gì? Tìm hiểu về khái niệm lạm phát token

MITM thường lợi dụng điểm yếu trong mạng như giả mạo ARP, DNS hoặc Wi-Fi công cộng để chen ngang luồng dữ liệu. Trong một số trường hợp, kẻ tấn công còn phá mã hóa SSL/TLS để đọc dữ liệu ở dạng văn bản gốc.

“Hơn 80% tấn công MITM ngày nay xảy ra qua mạng Wi-Fi công cộng hoặc mạng doanh nghiệp thiếu mã hóa TLS chuẩn.”
— Báo cáo Global Threat Intelligence, IBM Security, 2024

Ví dụ thực tế về tấn công MITM

Một kẻ tấn công có thể giả mạo điểm truy cập Wi-Fi ở quán cà phê. Khi người dùng kết nối, mọi dữ liệu đăng nhập ngân hàng hoặc ví tiền điện tử đều có thể bị chặn và đọc lén. Tình huống này đã được cảnh báo rộng rãi bởi Cục An ninh mạng Việt Nam từ năm 2022.

Các tình huống tấn công MITM trong thực tiễn

Nhiều vụ tấn công nổi tiếng trên thế giới có sử dụng MITM. Lazarus Group (Bắc Hàn) từng thực hiện hàng loạt vụ tấn công quy mô lớn, bao gồm vụ ngân hàng Bangladesh năm 2016 đánh cắp 81 triệu USD qua hệ thống SWIFT.

“MITM là mảnh ghép không thể thiếu trong chuỗi tấn công nhiều tầng của Lazarus, đặc biệt trong các vụ xâm nhập tài chính.”
— U.S. Department of the Treasury, Báo cáo an ninh tài chính, 2018

Năm 2017, Equifax bị tấn công MITM khiến 145,5 triệu hồ sơ người dùng bị lộ. Các vụ khác như NSA mạo danh Google, Superfish malware của Lenovo hay việc Comcast chèn mã JavaScript vào trang web đều cho thấy MITM có thể được sử dụng cho cả mục đích gián điệp và thương mại.

Xem thêm: Deep Learning là gì? Tìm hiểu về khái niệm deep learning

Vụ việc	Năm	Hình thức MITM	Hậu quả
Ngân hàng Bangladesh (Lazarus)	2016	Giả mạo SWIFT	Mất 81 triệu USD
Equifax	2017	Giả mạo SSL	Lộ 145,5 triệu hồ sơ
Lenovo Superfish	2014	Chèn chứng chỉ giả	Nguy cơ rò rỉ dữ liệu người dùng
NSA mạo danh Google	2013	Giả mạo chứng chỉ	Thu thập dữ liệu người dùng

Các loại tấn công MITM phổ biến

Các biến thể của MITM rất đa dạng, từ việc khai thác tầng mạng đến tầng ứng dụng. Dưới đây là các hình thức phổ biến nhất hiện nay.

Giả mạo ARP (ARP Spoofing)

Kẻ tấn công gửi gói tin ARP giả để lừa các thiết bị trong mạng tin rằng địa chỉ MAC của hắn là của máy chủ hợp pháp. Kỹ thuật này thường được dùng để theo dõi dữ liệu nội bộ trong doanh nghiệp.

Giả mạo DNS (DNS Spoofing)

Bằng cách sửa đổi bản ghi DNS, kẻ tấn công chuyển hướng người dùng đến trang web giả mạo. Đây là phương pháp phổ biến trong lừa đảo trực tuyến (phishing) và đánh cắp ví tiền điện tử.

Tấn công vào Wi-Fi công cộng

Wi-Fi miễn phí ở quán cà phê, sân bay hay trung tâm thương mại thường không được mã hóa. Khi người dùng truy cập, hacker dễ dàng chặn lưu lượng mạng và đánh cắp dữ liệu đăng nhập.

“Khoảng 60% người dùng Việt Nam vẫn truy cập Wi-Fi công cộng không bảo mật — đây là mảnh đất màu mỡ cho tấn công MITM.”
— Báo cáo Bkav Security, Việt Nam, 2024

Giả mạo SSL/TLS

Kẻ tấn công có thể cài đặt chứng chỉ giả hoặc khai thác lỗ hổng trong SSL/TLS để đọc nội dung truyền giữa người dùng và website, đặc biệt là trong các ứng dụng ngân hàng hoặc sàn giao dịch tiền điện tử.

Tấn công Bluetooth và trình duyệt

Một số thiết bị Bluetooth hoặc tiện ích mở rộng trình duyệt có thể bị lợi dụng để chặn luồng dữ liệu. Đây là xu hướng mới trong MITM trên thiết bị di động và IoT.

Cách phòng tránh tấn công MITM trong thị trường tiền điện tử

Để chống MITM, các giao thức hiện đại như TLS đã tích hợp xác thực điểm cuối (endpoint authentication). Người dùng cũng cần tuân thủ các biện pháp an toàn khi giao dịch tài chính hoặc tiền điện tử.

Xem thêm: Lazarus Group là gì? Tìm hiểu về mối lo ngại trong thị trường crypto

Trong bối cảnh tấn công MITM ngày càng tinh vi, các sàn giao dịch lớn như BingX đã triển khai nhiều lớp bảo mật như xác thực hai yếu tố (2FA), mã hóa SSL toàn phần và hệ thống cảnh báo đăng nhập bất thường, giúp người dùng giao dịch tiền điện tử an toàn hơn.

Việc lựa chọn nền tảng có chuẩn bảo mật cao là yếu tố then chốt để phòng tránh các rủi ro trung gian trên mạng.

Sử dụng HTTPS và TLS: Luôn đảm bảo kết nối web được mã hóa và chứng chỉ SSL hợp lệ.
Xác thực chứng chỉ: Kiểm tra biểu tượng ổ khóa và tên miền trước khi nhập thông tin nhạy cảm.
Tránh Wi-Fi công cộng: Sử dụng mạng riêng hoặc VPN khi truy cập tài khoản tài chính.
Dùng VPN chất lượng cao: VPN mã hóa toàn bộ lưu lượng, giúp ẩn dữ liệu khỏi kẻ nghe lén.
Kích hoạt xác thực hai yếu tố (2FA): Thêm lớp bảo mật để bảo vệ tài khoản tiền điện tử và ngân hàng.