Atak man in the middle — co to jest, jak działa i jak się przed nim bronić
Atak man in the middle (MiTM) to cyberatak, w którym atakujący pośredniczy w komunikacji między dwiema stronami, przechwytując, czytając i modyfikując przesyłane dane. Atakujący pozycjonuje się między ofiarą a serwerem (np. bankiem, sklepem online, pocztą), a obie strony myślą, że komunikują się bezpośrednio ze sobą — w rzeczywistości wszystkie dane przepływają przez komputer atakującego.
W skrócie
- Atakujący pośredniczy w komunikacji między użytkownikiem a serwerem, przechwytując dane
- Obie strony nie wiedzą, że komunikacja jest monitorowana i modyfikowana
- Najczęściej przeprowadzany w sieciach Wi-Fi bez hasła lub z słabą szyfrowaniem
- Zagrożenie dla haseł, danych bankowych, numerów kart kredytowych, poufnych wiadomości
- Możliwy zarówno w sieciach lokalnych (LAN) jak i w internecie publicznym
- Skuteczna ochrona: sieć Wi-Fi z szyfrowaniem WPA3, HTTPS, VPN, aktualizacje oprogramowania
- Szczególnie niebezpieczny w sieciach publicznych (lotniska, kawiarnie, hotele)
Pełna definicja
Atak man in the middle (w skrócie MiTM lub MITM) to typ cyberataku polegający na przechwyceniu i pośredniczeniu w komunikacji sieciowej. Atakujący umieszcza się między klientem (np. użytkownikiem komputera) a serwerem docelowym (np. bankiem, portalem społecznościowym) w taki sposób, że:
- Klient myśli, że komunikuje się bezpośrednio z serwerem
- Serwer myśli, że komunikuje się bezpośrednio z klientem
- W rzeczywistości wszystkie dane przepływają przez komputer atakującego
Atakujący może wówczas:
- Czytać przesyłane dane (hasła, numery kart, maile, wiadomości)
- Modyfikować przesyłane treści (zmienić kwotę przelewu, zawartość wiadomości)
- Wstrzykiwać złośliwe oprogramowanie
- Kraść dane logowania i sesje autentykacji
Historia ataków MiTM
Ataki man in the middle są znane od czasu powstania pierwszych sieci komputerowych w latach 80. i 90., ale ich popularność wzrosła wraz z rozpowszechnieniem się publicznych sieci Wi-Fi.
| Okres | Rozwój ataków MiTM |
|---|---|
| Lata 80.–90. | Pierwsze ataki w sieciach LAN (Ethernet), głównie akademickie i badawcze |
| 1999–2005 | Rozpowszechnienie się Wi-Fi; ataki na sieciach bezprzewodowych bez szyfrowania |
| 2006–2010 | Pojawienie się narzędzi automatycznych (Wireshark, Ettercap); wzrost ataków na publicznych sieciach |
| 2010–2015 | Masowe wdrażanie HTTPS; ataki na certyfikaty SSL/TLS, ataki na DNS |
| 2015–2020 | Ataki na sieciach 4G/LTE, exploity w przegląrkach, ataki na IoT |
| 2020–dziś | Ataki na sieci 5G, VPN, łańcuchy dostaw (supply chain MiTM) |
Jak działa atak man in the middle — mechanizm
Przykład praktyczny: atak na sieć Wi-Fi w kawiarni
Wyobraź sobie scenariusz:
- Ofiarą jest pracownik biura, który łączy się z publiczną siecią Wi-Fi w kawiarni
- Atakującym jest osoba siedząca przy sąsiednim stoliku, która również jest podłączona do tej samej sieci
- Celem jest przechwycenie hasła do konta bankowego ofiary
Kroki ataku:
-
Atakujący uruchamia narzędzie do sniffingu (np. Wireshark) na swoim laptopie
-
Narzędzie przechwytuje wszystkie pakiety sieciowe wysyłane przez ofiarę
-
Ofiara otwiera przeglądarkę i loguje się do swojego konta bankowego
-
Jeśli połączenie nie jest szyfrowane (HTTP zamiast HTTPS), atakujący widzi:
- Login: jan.kowalski@email.com
- Hasło: MojePasse123!
- Numer konta bankowego
- Salda kont
-
Atakujący zapisuje te dane i może natychmiast zalogować się do konta ofiary z innego miejsca
Warianty ataków MiTM
1. ARP Spoofing (fałszowanie protokołu ARP)
Atakujący wysyła fałszywe wiadomości ARP w sieci lokalnej, które mówią: "jestem routerem, wysyłajcie do mnie swoje pakiety". Urządzenia ofiary przekierowują ruch przez komputer atakującego.
2. DNS Spoofing (fałszowanie DNS)
Atakujący modyfikuje odpowiedzi DNS, aby ofiara zamiast na prawdziwą stronę banku (np. bank.pl) trafiła na sfałszowaną stronę kontrolowaną przez atakującego. Ofiara myśli, że loguje się do banku, ale w rzeczywistości wprowadza dane na stronie atakującego.
3. SSL Stripping
Atakujący przechwytuje połączenie HTTPS i zmienia je na HTTP, pozbawiając go szyfrowania. Ofiara widzi zieloną kłódkę (bo jej przeglądarka myśli, że komunikuje się z atakującym przez HTTPS), ale atakujący czyta wszystko w czystym tekście.
4. Ataki na certyfikaty SSL/TLS
Atakujący tworzy fałszywy certyfikat SSL/TLS dla strony (np. bank.pl) i podstawia go ofierze. Jeśli przeglądarka ofiary nie weryfikuje certyfikatu poprawnie, ofiara myśli, że komunikuje się z bankiem szyfrowanie, ale w rzeczywistości szyfrowanie jest między ofiarą a atakującym.
5. BGP Hijacking (na skalę internetu)
Atakujący manipuluje routingiem na poziomie całego internetu, aby ruch między krajami przepływał przez jego serwery. To zaawansowany atak, używany przez państwa lub duże grupy cyberprzestępczych.
Gdzie i kiedy dochodzi do ataków MiTM
Sieci publiczne
- Wi-Fi w kawiarniach, hotelach, lotniskach — najczęstsze miejsce ataków
- Sieci bez hasła lub z słabym szyfrowaniem (WEP zamiast WPA2/WPA3)
- Publiczne hotspoty (np. "FREE_WIFI")
Sieci korporacyjne
- Niezabezpieczone sieci wewnętrzne
- Ataki przez pracownika z dostępem do infrastruktury sieciowej
Internet publiczny
- Ataki na poziomie dostawcy internetu (ISP) — przechwytywanie ruchu użytkowników
- Ataki na infrastrukturę DNS
- Ataki na routery (zmiana ustawień DNS na routerze ofiary)
Sieci mobilne
- Ataki na sieciach 4G/LTE przez fałszywe stacje bazowe ("IMSI catcher")
Jakie dane są zagrożone w ataku MiTM
| Typ danych | Zagrożenie | Przykład |
|---|---|---|
| Hasła | Kradzież dostępu do kont | Login do Gmaila, Facebooka, banku |
| Numery kart kredytowych | Kradzież pieniędzy | Dane karty podczas zakupów online |
| Tokeny sesji | Przejęcie aktywnej sesji | Zalogowanie się na konto bez hasła |
| Wiadomości e-mail | Kradzież informacji poufnych | Maile biznesowe, kontrakty |
| Dokumenty | Kradzież danych | PDF-y, arkusze kalkulacyjne wysyłane przez sieć |
| Dane medyczne | Kradzież tożsamości | Wyniki badań, recepty |
| Komunikacja VoIP | Podsłuch rozmów | Rozmowy przez Skype'a, Teams |
Jak rozpoznać, że jesteś ofiarą ataku MiTM
- Zmieniające się adresy IP — twój adres IP zmienia się bez powodu
- Niezwykłe opóźnienia — strony ładują się wolniej niż zwykle
- Ostrzeżenia przeglądarki o certyfikatach — przeglądarka ostrzega, że certyfikat nie jest zaufany
- Niezalogowana sesja — zostałeś wylogowany z konta bez powodu
- Nieznane transakcje — na koncie bankowym pojawiają się transakcje, których nie zrobiłeś
- Zmienione ustawienia routera — hasło do Wi-Fi lub adres IP routera się zmienił
- Podejrzana aktywność na koncie — logowania z nieznanych lokalizacji
Jak się bronić przed atakami man in the middle
1. Używaj HTTPS wszędzie
Zawsze upewnij się, że strona, na której logujesz się do konta, zaczyna się od https:// (nie http://). Zielona kłódka obok adresu URL oznacza szyfrowane połączenie.
Wskazówka: Zainstaluj rozszerzenie przeglądarki takie jak "HTTPS Everywhere", które automatycznie zmienia HTTP na HTTPS.
2. Sieć Wi-Fi z szyfrowaniem WPA3 (lub przynajmniej WPA2)
- Nigdy nie łącz się z publiczną siecią Wi-Fi bez hasła
- Jeśli musisz użyć publicznej sieci, używaj VPN (patrz punkt 3)
- W domu upewnij się, że router ma włączone szyfrowanie WPA3 lub WPA2
3. Używaj VPN
VPN (Virtual Private Network) szyfruje cały twój ruch internetowy, nawet jeśli jesteś w niezabezpieczonej sieci Wi-Fi. Atakujący będzie widział tylko, że łączysz się z serwerem VPN, ale nie będzie widział, jakie strony odwiedzasz ani jakie dane przesyłasz.
Rekomendacja: Używaj VPN szczególnie w publicznych sieciach Wi-Fi.
4. Weryfikuj certyfikaty SSL/TLS
- Jeśli przeglądarka wyświetla ostrzeżenie o certyfikacie, nie ignoruj go
- Sprawdź, czy nazwa domeny w certyfikacie odpowiada domenie, na którą chcesz wejść
- Unikaj stron z certyfikatami wydanymi przez nieznane urzędy certyfikacji
5. Aktualizuj oprogramowanie
- System operacyjny
- Przeglądarka internetowa
- Aplikacje bankowe
- Router Wi-Fi
Aktualizacje zawierają poprawki bezpieczeństwa, które chronią przed znanymi exploitami.
6. Wyłącz auto-connect do Wi-Fi
Jeśli twoje urządzenie automatycznie łączy się z sieciami Wi-Fi, które wcześniej znało, może połączyć się z fałszywą siecią o tej samej nazwie. Wyłącz automatyczne łączenie i ręcznie wybieraj sieci.
7. Monitoruj swoje konta
- Regularnie sprawdzaj aktywność na kontach bankowych i e-mailowych
- Włącz powiadomienia o logowaniach z nowych urządzeń
- Używaj dwuetapowej weryfikacji (2FA) wszędzie, gdzie jest dostępna
8. Nie przesyłaj poufnych danych w publicznych sieciach
- Unikaj logowania się do kont bankowych w publicznej Wi-Fi (nawet z VPN)
- Nie wprowadzaj numerów kart kredytowych w publicznych sieciach
- Jeśli musisz, używaj mobilnego połączenia (LTE/5G) zamiast Wi-Fi
Porównanie ataków MiTM z innymi typami cyberataków
| Typ ataku | Jak działa | Zagrożenie | Ochrona |
|---|---|---|---|
| Man in the Middle | Pośredniczenie w komunikacji | Kradzież danych, modyfikacja | HTTPS, VPN, szyfrowanie |
| Phishing | Fałszywa wiadomość e-mail lub strona | Kradzież danych przez oszustwo | Edukacja, weryfikacja adresów e-mail |
| Malware | Złośliwe oprogramowanie na urządzeniu | Kradzież danych, ransomware | Antywirus, aktualizacje |
| Brute Force | Zgadywanie hasła | Dostęp do konta | Silne hasła, 2FA |
| SQL Injection | Wstrzyknięcie kodu do bazy danych | Kradzież bazy danych | Walidacja danych wejściowych |
| DDoS | Przeciążenie serwera ruchem | Niedostępność usługi | Filtrowanie ruchu, CDN |
Częste pytania
Czym dokładnie jest atak man in the middle?
Atak man in the middle to cyberatak, w którym atakujący pośredniczy w komunikacji między dwiema stronami. Atakujący przechwytuje, czyta i może modyfikować dane przesyłane między ofiarą a serwerem. Obie strony myślą, że komunikują się bezpośrednio ze sobą, ale w rzeczywistości wszystkie dane przepływają przez komputer atakującego.
Jaki jest rzeczywisty przykład ataku man in the middle?
Pracownik loguje się do konta bankowego poprzez publiczną sieć Wi-Fi w kawiarni bez użycia VPN. Atakujący siedzi przy sąsiednim stoliku i używa narzędzia do sniffingu pakietów (np. Wireshark). Jeśli połączenie nie jest szyfrowane, atakujący widzi login, hasło i numer konta bankowego. Następnie loguje się do konta ofiary z innego miejsca i przelewuje pieniądze na swoje konto. Inny przykład: atakujący zmienia ustawienia DNS na routerze ofiary, aby zamiast na prawdziwą stronę banku ofiara trafiła na sfałszowaną stronę, gdzie wprowadza dane logowania.
Co powoduje ataki man in the middle?
Ataki MiTM są możliwe ze względu na:
- Brak szyfrowania — dane wysyłane w czystym tekście (HTTP zamiast HTTPS)
- Słabe szyfrowanie Wi-Fi — sieci bez hasła lub z WEP zamiast WPA3/WPA2
- Brak weryfikacji tożsamości — użytkownik nie sprawdza, czy certyfikat SSL/TLS jest prawdziwy
- Niezabezpieczone sieci lokalne — atakujący ma dostęp do infrastruktury sieciowej
- Zaufanie do niezabezpieczonych sieci — użytkownik myśli, że publiczna sieć Wi-Fi jest bezpieczna
Jaki typ ataku jest man in the middle?
Atak man in the middle to atak sieciowy (network attack), który można sklasyfikować na kilka sposobów:
- Ze względu na lokalizację: atak na poziomie LAN (sieć lokalna) lub internetu publicznego
- Ze względu na metodę: przechwytywanie pakietów (packet sniffing), fałszowanie (spoofing), ataki na protokoły (ARP, DNS, BGP)
- Ze względu na cel: kradzież danych, modyfikacja danych, podsłuch komunikacji
- Ze względu na zaawansowanie: od prostych ataków w publicznych Wi-Fi do zaawansowanych ataków na infrastrukturę internetu
Artykuły powiązane
- Czym jest VPN i dlaczego powinieneś go używać
- Hasła — jak tworzyć silne hasła i je zarządzać
- Dwuetapowa weryfikacja (2FA) — jak włączyć na swoim koncie
- HTTPS — czym się różni od HTTP i dlaczego to ważne
- Malware — rodzaje, objawy i ochrona
Ochrona danych w biznesie — rozwiązania KluczeSoft
Jeśli zarządzasz firmą lub siecią korporacyjną, bezpieczeństwo komunikacji jest kluczowe. Ataki man in the middle mogą prowadzić do kradzieży danych biznesowych, utraty pieniędzy i naruszenia RODO.
KluczeSoft oferuje licencje Microsoft, które pomagają zabezpieczyć infrastrukturę IT:
- Windows Server — zarządzanie bezpieczeństwem sieci korporacyjnej
- Microsoft Defender — ochrona przed zagrożeniami sieciowymi
- Azure Security — szyfrowanie danych w chmurze
- Microsoft 365 — bezpieczna komunikacja biznesowa (Teams, Exchange)