В современном мире есть огромное количество вызовов, и помимо пресловутых “капитанов галактической полиции из Центробанка”, которые призваны защитить тебя от мошенников (на самом деле нет, кто не понял - это был сарказм), существует куча угроз, которые даже не увидишь то толком. И я сейчас не про микробы и инфекции, а про интернет безопасность, мы же на Хабре, в конце концов, правда? 

Итак, кибермошенничество. Что нам о нем известно? Благодаря этому виду мошенничества мы узнали, что многие российские интернет сервисы плевать хотели на защиту персональных данных, ну или для них это просто моветон. Или о том, что у каждого уважающего себя пенсионера есть от 500 тысяч рублей минимум, хотя это телефонное мошенничество… В любом случае, это все не то, о чем этот материал. 

А этот материал про, так называемый вид кибератаки - "человек посередине" (Man-in-the-Middle или попросту MITM). Этак атака представляет собой один из наиболее коварных и эффективных методов кибермошенничества в современном цифровом мире. Только в 2025 году на каждую организацию приходится в среднем 1984 атаки в неделю (Оруэллу бы понравилось), что на 143% больше, чем четыре года назад (ЦИК был бы в восторге).​

Сущность MITM-атаки

MITM-атака - это вид кибератаки, при котором злоумышленник тайно встраивается в коммуникацию между двумя сторонами, перехватывая, просматривая и потенциально изменяя передаваемые данные. Обе стороны считают, что они общаются непосредственно друг с другом, в то время как весь обмен информацией происходит через систему атакующего злоумышленника.​

Киберпреступник находится буквально "посередине" канала связи между отправителем и получателем, что позволяет ему получать несанкционированный доступ к трафику и производить с ним практически любые действия, стремясь при этом оставаться незамеченным (собственно, отсюда и название - “Человек посередине”). Это делает MITM-атаки особенно опасными, поскольку жертвы часто не подозревают о компрометации своих данных до тех пор, пока не столкнутся с их последствиями.​

Механизм реализации атаки

MITM-атака проходит через три ключевых этапа:​

1. Перехват. На первом этапе злоумышленник получает доступ к каналу связи между двумя сторонами. Это может достигаться различными методами:

• создание поддельных сетей Wi-Fi;

• компрометация роутеров;

• использование уязвимостей в сетевых протоколах.​

2. Расшифровка. После успешного перехвата данных злоумышленник применяет различные техники для расшифровки защищенной информации. Даже если данные передаются по зашифрованным каналам, есть способы их расшифровки (могут использоваться методы подмены сертификатов или понижения уровня шифрования).​

3. Манипуляция. На заключительном этапе злоумышленник может не только просматривать перехваченные данные, но и изменять их перед отправкой конечному получателю. Это позволяет изменять банковские реквизиты, подменять содержимое сообщений или внедрять вредоносный код.

Естественно, все эти три этапа не растянуты по времени, а реализуются в короткий промежуток, чтобы стороны ничего не заподозрили.​ 

Технические методы реализации

Теперь к самому интересному, как  происходит встраивание:

• IP-спуфинг (подмена IP-адресов). Злоумышленник изменяет заголовки IP-пакетов, чтобы выдать себя за доверенное устройство или сервер в сети.​

• ARP-спуфинг. Этот метод считается наиболее распространенным в локальных сетях. Злоумышленник отправляет поддельные ARP-сообщения, связывая свой MAC-адрес с IP-адресом легитимного устройства, обычно шлюза по умолчанию. Это заставляет устройства в сети отправлять свой трафик через компьютер атакующего вместо реального маршрутизатора.​

• DNS-спуфинг (подмена DNS). При этом методе злоумышленник подменяет DNS-записи, перенаправляя пользователей с легитимных веб-сайтов на поддельные, контролируемые атакующим. Пользователь вводит правильный адрес сайта, но попадает на фишинговую страницу, визуально идентичную оригиналу.​

• SSL Stripping (понижение HTTPS до HTTP). Эта техника заключается в принудительном понижении защищенного HTTPS-соединения до незашифрованного HTTP. Злоумышленник перехватывает момент, когда пользователь переходит от HTTP к HTTPS, устанавливает собственное HTTPS-соединение с сервером, а с пользователем поддерживает незащищенное HTTP-соединение. В результате все данные пользователя передаются в открытом виде.​

• Подмена HTTPS и перехват SSL. Злоумышленники используют поддельные SSL-сертификаты, чтобы обмануть браузер пользователя и заставить его считать веб-сайт, который подсовывает злоумышленник, легитимным. Это позволяет перехватывать даже зашифрованный трафик.​

Типы и разновидности MITM-атак

Как это ни странно, но MITM это не один вид атаки, а целый подвид  (если можно так выразиться) атак, и внутри этого подвида есть различные варианты MITM атак, в частности:

Подслушивание Wi-Fi

Наиболее распространенный тип атаки, особенно в местах с публичным Wi-Fi доступом. Злоумышленники перехватывают данные, передаваемые по беспроводной сети, используя инструменты для анализа незашифрованных пакетов данных, включая логины, пароли и финансовую информацию. 

Зная эту информацию, начинаешь немного по другому относиться ко всем этим “работникам” из Старбакса, ведь они несут потенциальную угрозу и могут быть тем самым злоумышленником (ну это уже совсем, что то на параноидальном). 

Но я бы был чуть более осмотрительнее, используя общественные сети для обмена корпоративной информацией, особенно ограниченного доступа.​

Атака "Злой двойник"

С общественным Wi-Fi, вообще ситуация сложная, большинство атак реализуются через него, в том числе и эта.  Злоумышленник создает поддельную точку доступа Wi-Fi с именем (SSID), идентичным легитимной сети. Когда пользователи подключаются к этой фальшивой сети, не осознавая подмены, весь их интернет-трафик проходит через систему атакующего. Такой тип атаки особенно эффективен в аэропортах, кафе и других общественных местах, где люди ожидают найти бесплатный Wi-Fi.​

То есть - ты приезжаешь в аэропорт, регистрируешься на рейс, садишься в кресло с очень дорогим и не всегда вкусным кофе (но это кофе в аэропорту, а это уже статус),  открываешь ноутбук и подключаешься к бесплатному Wi-Fi для того чтобы немного поработать. А после того, как приземлился, можешь узнать, что твой аккаунт или банковское приложение (в которое ты заходил через общественный Wi-Fi в аэропорту) взломаны. Звучит не очень… 

Мошенническая точка доступа

Это точка беспроводного доступа, установленная злоумышленником в легитимной сети. Она позволяет перехватывать или отслеживать входящий трафик, часто перенаправляя его в другую сеть для загрузки вредоносного ПО или вымогательства денег.​ 

Резонный вопрос, а в чем различия между двойником и этим типом? Мошенническая точка доступа менее защищена (как бы это ни прозвучало) от детектирования со стороны администратора сети. Но алгоритм что происходит с жертвой я описал чуть выше.

Атака "Человек-в-браузере"

В этом случае злоумышленник использует вредоносный код, работающий внутри браузера жертвы. Это программное обеспечение незаметно записывает все данные, передаваемые между браузером и различными сайтами, после чего отсылает полученные сведения атакующему. 

Такой вариант не требует физической близости злоумышленника к жертве и может применяться к большой группе пользователей одновременно.​ Естественно, такой тип атаки требует подготовки, ведь вредоносный код сам на компьютер жертвы попасть не может, но в качестве финальной реализации этот тип относится именно к MITM.

Многие “громкие” кибератаки, как раз и реализуются по подобной схеме, но не всегда.

Перехват сеанса

Злоумышленник получает контроль над активной сессией пользователя, похищая токены или идентификаторы сессий. Получив контроль, атакующий может выполнять действия от имени пользователя, например, переводить средства или изменять настройки учетной записи.​

Перехват сеанса более узкая и целевая атака, которая часто базируется на результатах подслушивания Wi-Fi (это ответ на логичный вопрос, а это не одно и тоже, что и подслушивание Wi-Fi). Ключевая цель злоумышленника - похитить идентификатор сеанса (Session ID или токен), который используется для аутентификации пользователя на сайте. Дальше злоумышленник может действовать от имени жертвы, используя перехваченный Session ID.

Перехват сеанса можно совершить не только через Wi-Fi, но и через другие виды MITM-атак (подмена трафика, фишинг, XSS и др.), а подслушивание Wi-Fi - это исключительно захват сетевых данных по беспроводной сети. То есть по факту одно вытекает из другого, но я думаю, что их можно поставить вместе  в одном разделе.

Сниффинг пакетов

Метод включает перехват и анализ пакетов данных, проходящих через сеть. Злоумышленники используют специализированные программы-снифферы (например, Wireshark, tcpdump, Ettercap) для перехвата и проверки незашифрованных данных.​

То есть метод реализации примерно такой же, как и предыдущий - злоумышленник перехватывает и анализирует трафик, но выделяет он оттуда не идентификатор сеанса, а конкретные пакеты данных. При помощи сниффинга злоумышленник может получить, как корпоративные данные, которые пересылаются, так и логины и пароли от различных приложений пользователя.

Инструменты, используемые злоумышленниками

Естественно, все перечисленные виды атак невозможны без вспомогательных инструментов. Самое интересное, что злоумышленники могут использовать вполне себе белое ПО, и это лишний раз подтверждает тот факт, что запрещать программное обеспечение, только из-за того, что им пользуются злоумышленники - тупо, и с тем же успехом можно запретить использование воздуха, так как злоумышленники им дышат.

Также, небольшая оговорка - ни в коем случае не реклама сервисов, те кому нужно, без труда найдут это и без этой статьи, но для полноты раскрытия темы, считаю нужным рассказать об этих программах. Итак, к инструментам..

Ettercap

Ettercap - это комплексный инструмент для проведения MITM-атак, который сочетает возможности перехвата и анализа трафика с функциями атаки на сеть. Программа поддерживает как пассивный, так и активный режимы работы, что позволяет не только мониторить трафик, но и вмешиваться в сетевые коммуникации.​

Ettercap поддерживает плагинную систему и позволяет создавать фильтры для модификации сетевого трафика в режиме реального времени. Инструмент способен проводить ARP-спуфинг, DNS-спуфинг и другие виды атак.​

Интересен тот факт, что программа вполне себе неплохо держится в поисковых сетях и Гугл не видит в этом ничего плохого, хотя очевидно, сервис используют в мошеннических целях.

Wireshark

Wireshark - один из наиболее популярных анализаторов сетевого трафика, который может использоваться для перехвата пакетов данных. 

Изначально, Wireshark создавался как легитимный инструмент для анализа сети, но, как это часто бывает, эксплуатируется злоумышленниками для перехвата незашифрованной информации.​ 

Примеров подобных сервисов куча, но не буду облегчать поиск желающим присоединиться к злоумышленникам.

SSLStrip и SSLSniff

Эти инструменты специально разработаны для атак на SSL-соединения. SSLStrip автоматически преобразует HTTPS-соединения в HTTP, делая трафик видимым для атакующего, в то время как SSLSniff позволяет перехватывать зашифрованные SSL-соединения.​ 

Рассказывать более подробно не вижу смысла, но в общих чертах должно стать понятнее, что кибермошенники не просто - какие-то эфемерные люди в масках, а вполне себе растущий рынок, со своими программами, сервисами и форумами (ссылок не будет).

Целевая аудитория и объекты атак

Теперь к деталям - кто же находится под угрозой? Очевидно, что условный Вася с форума про Аниме никому не интересен, а что если этот Вася работает в Банке и имеет доступ к базам данных? Становиться интереснее. Итак, кто под прицелом? Ну или так - у Васи есть счет в банке, на котором есть несколько золотых монет? Очевидно что Вася под прицелом. 

Однако, физические лица, это мелковато (хотя они тоже будут в списке), вот кто является объектом атак.

Финансовый сектор

Приложения мобильного банкинга, онлайн-банки, платежные системы и сервисы перевода денег являются основными целями MITM-атак. 

Где как не в банковских приложениях можно поиметь финансовую выгоду? Сюда же можно отнести и криптовалютные кошельки пользователей и в целом криптовалютные биржи.

Государственные учреждения

В 21% успешных атак на организации жертвами становились госучреждения. Думаю контекст понятен, госучреждения всегда были лакомым куском, но как правило целью атак на такие учреждения никогда не является финансовая выгода, по сравнению с банками (хотя, ГосУслуги же тоже являются государственным сервисом, так что можно подискутировать на эту тему).

Это уже больше не про выгоду, а про нанесение ущерба, хотя если копнуть поглубже - реализация атак на подобные учреждения выполняются за деньги, и вот мы уже вернулись к финансовой выгоде исполнителей. Только деньги получены не в результате атаки, а за ее проведение. 

Корпоративные сети и SaaS-сервисы

Компании, использующие облачные сервисы, системы электронной коммерции и платформы для совместной работы, также находятся в зоне риска. IT-компании подвергаются атакам примерно в 6% случаев от общей массы.​

Тут уже в каждом конкретном случае нужно разбираться, но в основной массе все делается не из-за благих намерений, а все так же - с целью получения финансовой выгоды. Влезть в систему - забрать данные - попросить денег за непубликацию данных (слив данных в даркнет и продажа данных), схема может быть разной, но итог, как правило один - Give me Money!

Частные пользователи

Обычные пользователи, подключающиеся к публичным Wi-Fi сетям в кафе, аэропортах, торговых центрах, становятся легкой добычей для злоумышленников. По статистике в 26% случаев атаки на частных лиц заканчиваются успехом и приводят к финансовым потерям.​

Но атаковать каждого физического лица в аэропорту невыгодно (если это ни какой то автоматизированный скрипт), вероятнее всего жертва подобных атак не случайна и ее либо долго ведут, либо есть какие то инсайды (заказ) по конкретному физику.

Реальные кейсы MITM-атак

Попросил нейросеть покопаться в интернете и найти реальные примеры успешных и громких MITM-атак. Вот что удалось найти.

Этот эпизод успешного кибермошенничества произошел в начале 2019 года, когда кибермошенники похитили $1 миллион у китайской венчурной компании с помощью сложной MITM-атаки на электронную почту. Злоумышленники зарегистрировали два поддельных домена - один якобы принадлежал израильскому стартапу, а второй венчурной компании. Единственное отличие от настоящих доменов - дополнительная буква "s" в названии каждого из них.​

Каждое письмо от обеих сторон переговоров на самом деле отправлялось на поддельный домен. Злоумышленники читали письма, при необходимости редактировали их, а затем отправляли соответствующему адресату. Всего было отправлено 18 писем китайской компании и 14 израильскому стартапу. Когда пришло время перевода денег, атакующие подменили банковские реквизиты, и $1 миллион был переведен на их счет.​

Что было дальше с получателем денег неизвестно, но может они тоже вложились в какой-нибудь “успешный” стартап по кибербезопасности, или пустили деньги на благотворительность.

Признаки MITM-атаки - как понять, что вас атакуют

Сразу оговорка, наличие этих признаков не является 100% подтверждением атаки, но могут свидетельствовать о ней. Поэтому, с большей степенью вероятности нет, но в комплексе с другими факторами, может и да. К примеру, вы подключены к общей сети Wi-Fi и столкнулись с одним из признаков, приведенных в статье. Я бы задумался, но не стал бы сразу параноить. Спокойно и без паники принял бы меры защиты.

Ошибки SSL-сертификата

Если браузер выдает сообщение об ошибке недействительного или просроченного SSL-сертификата при попытке посетить знакомый веб-сайт, это может быть признаком подмены сертификата. SSL-сертификат может быть сфабрикован для перенаправления на вредоносный веб-сайт, который выглядит как настоящий.​

Нестабильное интернет-соединение

Необъяснимые задержки, частые обрывы соединения и переподключения к сети могут свидетельствовать о MITM-атаке. Это происходит потому, что весь трафик проходит через дополнительный узел - систему злоумышленника.​

Изменение MAC-адреса точки доступа

Если MAC-адрес точки доступа изменился, это может указывать на подмену оборудования. Несколько точек доступа с одинаковым SSID, но разными MAC-адресами - явный признак атаки "злого двойника".​

Поддельные или подозрительные веб-сайты

Едва заметные различия в шрифтах, цветах или логотипах веб-сайтов, а также изменение URL-адреса (например, http:// вместо https:// или go0gle.com вместо google.com) должны вызывать подозрения.​ 

Методы защиты от MITM-атак

Предупрежден, значит вооружен. Даже если вы не являетесь главой Центробанка, который, почему то, подключается к бесплатному Wi-Fi в Шереметьево, риск попасть на злоумышленников существует всегда. И следование простым рекомендациям может быть своего рода панацеей.

Использование надежного шифрования и протоколов

HTTPS и TLS/SSL. Использование протокола HTTPS вместо HTTP обеспечивает шифрование данных при передаче. Современные версии TLS (Transport Layer Security) предоставляют надежную защиту от большинства MITM-атак при правильной реализации.​ 

Рекомендация проста - не посещать сайты на HTTP, если вы не уверены в них.

HTTP Strict Transport Security (HSTS). HSTS - это механизм, который принудительно активирует защищенное соединение через протокол HTTPS. Когда сервер отправляет заголовок Strict-Transport-Security, браузер автоматически преобразует все HTTP-запросы в HTTPS на указанный период времени. Это предотвращает атаки SSL stripping, однако эффективно только после первого посещения сайта по HTTPS.​

Сквозное шифрование (End-to-End Encryption). Внедрение сквозного шифрования защищает данные на устройстве отправителя и расшифровывает их только на устройстве получателя. Это гарантирует, что даже если злоумышленник перехватит сообщение, он не сможет прочитать его содержимое.​ Все популярные мессенджеры реализуют сквозное шифрование, рекомендация использовать проверенные мессенджеры, в которых вы действительно уверены, если не хотите несанкционируемого доступа к своей переписке.

Certificate Pinning (закрепление сертификатов)

Certificate Pinning - это практика, при которой конкретный сертификат или открытый ключ "закрепляется" за приложением или браузером. Когда мобильное приложение или браузер пытается установить соединение с сервером, оно проверяет, соответствует ли сертификат сервера закрепленному сертификату. Если соответствия нет, соединение блокируется, эффективно снижая риск атаки.​

Существует два основных типа закрепления:​

• Certificate Pinning - проверяется непосредственно сам сертификат, включая все метаданные. Наиболее безопасный вариант, но требует обновления приложения при каждом обновлении сертификата.​

• Public Key Pinning - проверяется только открытый ключ вместо всего сертификата. Позволяет обновлять сертификат без изменения открытого ключа.​

В качестве примера можно привести мобильные банковские приложения, которые хранят хэш сертификата и при каждом соединении сверяют его с эталонным.

Использование VPN и ZTNA

Виртуальная частная сеть (VPN) создает зашифрованный туннель между устройством пользователя и сервером, защищая данные от перехвата. VPN особенно важна при использовании публичных Wi-Fi сетей.​

То есть, при подключении к публичному Wi-Fi использование VPN позволит защитить передаваемые данные, так как создается туннельное соединение, и злоумышленники не видят данные, которые проходят через этот туннель.

Альтернативой VPN является сетевой доступ с нулевым доверием (ZTNA - Zero Trust Network Access). ZTNA управляет строгим контролем доступа независимо от того, к какой сети подключено устройство, и проверяет подлинность каждого пользователя перед предоставлением доступа к ресурсам.​ 

Многофакторная аутентификация (MFA)

Хотя MFA не может полностью предотвратить MITM-атаки, она значительно снижает риск получения злоумышленниками доступа к учетным записям. Даже если атакующий перехватит логин и пароль, дополнительная форма аутентификации не позволит ему войти в систему.​ 

Даже если у злоумышленника получилось получить данные для входа на какой либо сервис, если там подключена двухфакторная аутентификация, зайти туда под вашими данные не получится. Я лично иногда пренебрегаю рекомендацией поставить такую защиту, может и зря.

Избегание небезопасных сетей и общественных точек доступа

Полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными является одним из наиболее эффективных способов защиты. Если использование публичного Wi-Fi неизбежно, следует обязательно использовать VPN.​

Регулярное обновление программного обеспечения

Устаревшее программное и аппаратное обеспечение содержит уязвимости в системе безопасности, которые могут быть использованы для MITM-атак. Регулярная установка обновлений устраняет известные недостатки и повышает общую безопасность.​

Проверка SSL-сертификатов

Пользователи должны обращать внимание на предупреждения браузера о недействительных или просроченных сертификатах. При возникновении таких предупреждений следует избегать ввода конфиденциальной информации.​

Мониторинг сетевого трафика

Организации должны внедрять системы мониторинга сетевого трафика для обнаружения аномалий, таких как подозрительные ARP-сообщения, неожиданные изменения в таблицах маршрутизации или аномальный объем трафика.​

Последствия успешных MITM-атак

Давайте разберем, какие последствия могут быть при проведении таких атак:

Финансовые потери

Прямой финансовый ущерб от MITM-атак может быть значительным. Помимо кражи средств со счетов, компании несут затраты на восстановление систем, выплату штрафов за утечку данных и простой бизнеса. В 26% случаев успешные атаки на частных лиц привели к финансовым потерям. 

Ну и как говорил ранее - финансовый интерес, самый распространенный на фоне других.​

Утечка конфиденциальных данных

Утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц в первом полугодии 2025 года. Скомпрометированные данные могут включать логины, пароли, номера банковских карт, личную переписку, коммерческую тайну и интеллектуальную собственность.​

Репутационный ущерб

Если клиенты узнают, что их личные данные были скомпрометированы из-за недостаточной защиты компании, это становится основанием для отказа от услуг. Восстановление доверия может занять годы и потребовать значительных инвестиций.​ Но применительно к России, это не сильно распространенный тип риска. Взять к примеру утечки из Яндекс.Доставка или других, популярных сервисах. Повозмущались и забыли, какого то существенного оттока клиентов зафиксировано не было, либо нам об этом не сообщили. Но мне кажется последствия были минимальны.

Юридические последствия

Нарушение законодательства о защите данных влечет за собой штрафы, судебные разбирательства и уголовную ответственность. Компании могут быть привлечены к ответственности за ненадлежащую защиту персональных данных клиентов.​ Чем выше величина штрафа, тем больше мотивация у компаний заботиться о защите данных. Странно конечно, зарегулированное со всех сторон российское пространство остается не самым жестким в отношении защиты пользовательских данных. И даже сейчас нарушить GDPR страшнее, чем допустить утечку данных пользователей в российской компании - парадокс конечно.

Заключение

MITM-атаки представляют серьезную угрозу для организаций и частных пользователей в современном цифровом пространстве. Несмотря на известное изречение - “Есть ложь, есть гнусная ложь и есть статистика”, она (статистика) показывает устойчивый рост как количества, так и сложности таких атак. Злоумышленники используют все более изощренные методы, от классического ARP-спуфинга до сложных многоуровневых атак с применением социальной инженерии.​

Эффективная защита от MITM-атак требует комплексного подхода, включающего технические меры (шифрование, VPN, Certificate Pinning, HSTS), организационные процедуры (обучение персонала, политики безопасности) и постоянный мониторинг. Особое внимание следует уделять защите при использовании публичных Wi-Fi сетей и мобильных приложений для финансовых операций.​

Понимание механизмов MITM-атак, знание признаков компрометации и соблюдение базовых правил кибергигиены значительно снижают риск стать жертвой такого вида кибермошенничества. В условиях постоянно меняющегося ландшафта киберугроз непрерывное обучение и адаптация методов защиты остаются критически важными для обеспечения безопасности в цифровом мире.