Przejdź do treści
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Atak Man in the Middle (MITM) — na czym polega, jak go wykryć i jak się przed nim chronić

Atak Man in the Middle to kategoria ataków sieciowych, w których osoba trzecia (napastnik) umieszcza się w kanale komunikacyjnym pomiędzy nadawcą a odbiorcą. St

11 min czytania·Zaktualizowano 1 miesiąc temu

Atak Man in the Middle (MITM) to technika cyberataku, w której napastnik potajemnie przechwytuje i potencjalnie modyfikuje komunikację między dwiema stronami, które są przekonane, że rozmawiają bezpośrednio ze sobą. Najskuteczniejszą obroną przed MITM jest połączenie szyfrowania end-to-end (TLS 1.3), uwierzytelniania dwuskładnikowego (2FA) i świadomego unikania niezaufanych sieci Wi-Fi.

W skrócie

  • Atakujący wchodzi między dwie komunikujące się strony — przechwytuje, odczytuje i może zmieniać przesyłane dane
  • W 2025 roku ataki MITM odpowiadały za około 18% wszystkich naruszeń danych w sektorze finansowym w UE (źródło: ENISA Threat Landscape 2025)
  • Najczęstsze wektory: fałszywe hotspoty Wi-Fi, ARP spoofing, DNS spoofing, przechwytywanie sesji TLS/SSL
  • HTTPS nie gwarantuje pełnej ochrony — atakujący stosują tzw. SSL stripping, by zdegradować połączenie do niezabezpieczonego HTTP
  • VPN i sieci Zero Trust znacząco redukują ryzyko, ale nie eliminują go całkowicie
  • Kluczowe znaczenie ma edukacja użytkowników — większość ataków MITM zaczyna się od phishingu lub kliknięcia w fałszywy certyfikat

Pełna definicja

Atak Man in the Middle to kategoria ataków sieciowych, w których osoba trzecia (napastnik) umieszcza się w kanale komunikacyjnym pomiędzy nadawcą a odbiorcą. Strony nie są świadome obecności intruza — widzą się nawzajem jako legalnych rozmówców. W zależności od celu ataku, MITM może służyć do:

  • podsłuchu pasywnego — napastnik jedynie kopiuje ruch sieciowy bez jego modyfikowania (np. przechwytuje hasła, numery kart kredytowych, tokeny sesji),
  • modyfikacji aktywnej — dane są zmieniane w locie (np. zmiana numeru konta w przelewie bankowym, podmiana pliku do pobrania na złośliwe oprogramowanie),
  • wstrzykiwania złośliwych treści — do odpowiedzi serwera dodawane są skrypty malware, keyloggery lub fałszywe formularze logowania.

Pierwsze udokumentowane ataki MITM w sieciach komputerowych pochodzą z lat 90. XX wieku, ale problem nabrał masowej skali wraz z upowszechnieniem publicznych sieci Wi-Fi i mobilnego dostępu do bankowości elektronicznej. W 2026 roku, mimo szerokiego wdrożenia HTTPS i mechanizmów takich jak HSTS (HTTP Strict Transport Security), ataki MITM pozostają realnym zagrożeniem — głównie przez błędy konfiguracyjne, niską świadomość użytkowników i ewolucję technik atakujących.

Jak działa atak MITM — mechanizmy krok po kroku

Niezależnie od użytej techniki, schemat ataku MITM jest powtarzalny i składa się z trzech zasadniczych faz.

Faza 1: Przejęcie kanału komunikacji

W tej fazie napastnik musi fizycznie lub logicznie znaleźć się pomiędzy ofiarą a serwerem docelowym. Najczęściej wykorzystuje do tego:

MetodaOpisSkuteczność w 2026 r.
Fałszywy hotspot Wi-Fi (Evil Twin)Atakujący tworzy punkt dostępowy o nazwie identycznej z zaufaną siecią (np. Starbucks_WiFi zamiast Starbucks WiFi)Wysoka — narzędzia jak WiFi Pineapple automatyzują tworzenie AP
ARP spoofing / ARP poisoningWysyłanie fałszywych pakietów ARP w sieci lokalnej, by przekierować ruch przez komputer napastnikaŚrednia — skuteczne w sieciach LAN bez zabezpieczeń ARP inspection
DNS spoofingZatrucie pamięci podręcznej DNS, by nazwa domeny wskazywała na serwer atakującego zamiast na prawdziwyŚrednia — DNSSEC ogranicza możliwości, ale adopcja wciąż niepełna
Przechwycenie BGP (BGP hijacking)Przekierowanie całych bloków adresów IP na poziomie routingu internetowegoNiska (ale katastrofalna) — wymaga dostępu do infrastruktury ISP
Atak na proxy / VPNGdy ofiara celowo używa proxy atakującego (np. darmowe VPN-y przechwytujące ruch)Wysoka — użytkownicy sami instalują "darmowe" narzędzia szpiegujące

Faza 2: Przechwycenie i deszyfracja ruchu

Gdy napastnik już siedzi w kanale komunikacji, kluczowym wyzwaniem jest odczytanie danych — większość internetu w 2026 roku działa po HTTPS. Stosowane techniki omijania szyfrowania:

  • SSL stripping — napastnik nawiązuje połączenie HTTPS z serwerem, ale z ofiarą komunikuje się przez HTTP. Ofiara widzi zwykłą stronę bez kłódki, a napastnik odczytuje wszystko jawnie. HSTS zapobiega temu, ale tylko dla domen już odwiedzonych.
  • Fałszywy certyfikat — atakujący generuje certyfikat dla docelowej domeny i przedstawia go ofierze. Przeglądarka wyświetli ostrzeżenie, które użytkownik może zignorować — i statystycznie robi to 31% użytkowników (badanie Google/UC Berkeley, 2024).
  • Kompromitacja urzędu certyfikacji (CA) — przejęcie zaufanego CA pozwala wydać prawdziwy certyfikat dla dowolnej domeny. Historyczne przypadki: DigiNotar (2011), Comodo (2011), ale ryzyko wciąż istnieje mimo Certificate Transparency.
  • Downgrade do słabych szyfrów — zmuszenie serwera i klienta do użycia przestarzałych, złamalnych algorytmów (np. RC4, eksportowe wersje RSA).

Faza 3: Eksfiltracja i/lub manipulacja danymi

Po uzyskaniu dostępu do odszyfrowanego ruchu napastnik może działać na dwa sposoby: pasywnie kopiować dane (logowanie haseł, tokenów sesji, numerów kart) lub aktywnie modyfikować komunikację w czasie rzeczywistym — np. zmieniać numer odbiorcy przelewu, podsyłać spreparowane odpowiedzi API, wstrzykiwać złośliwy JavaScript do stron banku.

Rodzaje ataków MITM — przegląd technik

Rodzaj atakuCo przechwytujeGdzie występujeGłówna obrona
Evil Twin / Rogue APCały ruch Wi-FiKawiarnie, lotniska, hoteleVPN, unikanie otwartych sieci
ARP spoofingRuch wewnątrz LANSieci firmowe, uczelnianeDynamic ARP Inspection (DAI), sieci przełączane
DNS spoofingZapytania DNSDowolna sieć bez DNSSECDNSSEC, DNS-over-HTTPS (DoH)
SSL/TLS strippingRuch HTTPS → HTTPPubliczne Wi-FiHSTS, certyfikaty EV, HTTPS Everywhere
Session hijackingCiasteczka sesji, tokeny JWTAplikacje weboweHttpOnly + Secure + SameSite cookies, 2FA
BGP hijackingTrasy na poziomie ISPInternet globalnyRPKI, filtrowanie tras
Man-in-the-Browser (MitB)Dane w przeglądarce ofiaryKomputer ofiary (złośliwe rozszerzenie, trojan)Antywirus, kontrola rozszerzeń, świadomość zagrożeń
Bluetooth MITM (BlueBorne)Połączenia BluetoothBliskość fizyczna (≤10 m)Wyłączanie BT gdy nieużywany, aktualizacje firmware

Jak wykryć atak MITM — sygnały ostrzegawcze i narzędzia

Wykrycie ataku MITM nie zawsze jest proste, ale istnieje kilka charakterystycznych objawów i narzędzi:

Objawy, które powinny zaniepokoić

  • Niespodziewane ostrzeżenia o certyfikatach — przeglądarka wyświetla komunikat, że certyfikat jest nieważny, niepasujący do domeny lub wystawiony przez nieznane CA. Nigdy nie klikaj "przejdź mimo to" na stronach banków i serwisów, gdzie podajesz hasła.
  • Wielokrotne wylogowania i prośby o ponowne logowanie — atakujący może resetować sesję, by przechwycić proces logowania.
  • Strona wygląda "prawie tak samo", ale brakuje kłódki HTTPS — SSL stripping usuwa zabezpieczenie TLS z widoku użytkownika.
  • Nagłe spowolnienie sieci — dodatkowy przeskok przez serwer atakującego zwiększa opóźnienia.

Narzędzia do detekcji

  • Wireshark — analizator ruchu sieciowego; pozwala wychwycić nietypowe pakiety ARP, fałszywe odpowiedzi DNS i niezaufane certyfikaty.
  • ARPON — narzędzie do wykrywania ARP spoofingu w sieci lokalnej.
  • SSLyze / testssl.sh — sprawdza, czy serwer obsługuje przestarzałe, podatne szyfry (możliwe do wykorzystania w ataku downgrade).
  • Detectify / Qualys SSL Labs — skanery online weryfikujące konfigurację TLS domeny.
  • Narzędzia EDR/XDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) — wykrywają anomalie w ruchu sieciowym na poziomie endpointu.

Jak chronić się przed atakiem MITM — dobre praktyki (2026)

Po stronie użytkownika indywidualnego

  1. Zawsze używaj VPN zaufanego dostawcy na publicznych sieciach Wi-Fi. Unikaj darmowych VPN-ów — to właśnie one często same przeprowadzają ataki MITM na swoich użytkownikach (tzw. VPN-as-a-MITM).
  2. Weryfikuj kłódkę HTTPS i nie ignoruj ostrzeżeń o certyfikatach — zwłaszcza na stronach banków, portali aukcyjnych i serwisów, gdzie podajesz dane logowania.
  3. Korzystaj z DNS-over-HTTPS (DoH) w przeglądarce — uniemożliwia to DNS spoofing na poziomie lokalnego resolvera DNS.
  4. Włącz HSTS w swojej domenie (jeśli jesteś administratorem) i nie odwiedzaj stron HTTP, które powinny działać po HTTPS.
  5. Stosuj uwierzytelnianie dwuskładnikowe (2FA) — nawet jeśli hasło zostanie przechwycone przez MITM, drugi składnik (kod TOTP, klucz U2F/FIDO2) blokuje dostęp.
  6. Regularnie aktualizuj system operacyjny i przeglądarkę — łatki usuwają znane podatności umożliwiające ataki MITM.

Po stronie administratora IT i firmy

  1. Wdróż 802.1X — uwierzytelnianie na poziomie portu przełącznika uniemożliwia podłączenie nieautoryzowanych urządzeń.
  2. Dynamic ARP Inspection (DAI) na przełącznikach Cisco/Juniper/Aruba — blokuje ARP spoofing w sieci firmowej.
  3. DNSSEC + DoH/DoT — chroni integralność zapytań DNS na każdym poziomie.
  4. Zero Trust Network Access (ZTNA) — model, w którym każdy dostęp jest weryfikowany niezależnie od lokalizacji sieciowej; popularne rozwiązania: Zscaler, Cloudflare Zero Trust, Twingate.
  5. Monitorowanie Certificate Transparency Logs — pozwala wykryć, czy ktoś wystawił certyfikat dla twojej domeny bez twojej wiedzy.
  6. EDR + NDR (Network Detection and Response) — połączenie analizy endpointów i ruchu sieciowego daje pełną widoczność anomalii sugerujących MITM.

Ataki MITM w kontekście pracy zdalnej i hybrydowej (2026)

Pandemia COVID-19 i masowe przejście na pracę zdalną drastycznie zwiększyły powierzchnię ataku MITM. Pracownicy łączą się z firmowymi systemami z domowych sieci Wi-Fi, często współdzielonych z rodziną i urządzeniami IoT. W 2025 roku ponad 40% firm w Polsce odnotowało przynajmniej jeden incydent bezpieczeństwa związany z pracownikiem zdalnym (źródło: raport NASK/CERT Polska).

Kluczowe zalecenia dla firm z rozproszonymi zespołami: wymuś VPN na każdym urządzeniu firmowym przed dostępem do zasobów wewnętrznych, wdróż politykę "no public Wi-Fi without VPN", stosuj rozwiązania Cloud Access Security Broker (CASB) do monitorowania dostępu do chmurowych zasobów Microsoft 365 i Google Workspace.

Porównanie: VPN komercyjny vs firmowy a ochrona przed MITM

CechaKomercyjny VPN (NordVPN, Proton VPN, Mullvad)Firmowy VPN (OpenVPN, WireGuard, Cisco AnyConnect)Zero Trust (ZTNA)
Ochrona przed MITM na publicznym Wi-Fi✅ Pełna (tunel szyfrowany)✅ Pełna✅ Pełna
Ochrona przed MITM wewnątrz sieci firmowej❌ Nie dotyczy✅ Szyfrowanie wewnątrz tunelu✅ Mikrosegmentacja + ciągła weryfikacja
Widoczność dla działu IT❌ Brak (ruch poza kontrolą)✅ Pełna (logi, monitoring)✅ Pełna z kontekstem użytkownika i urządzenia
Opóźnienie (latency)~25-60 ms (serwery blisko)~5-20 ms (własna infrastruktura)~5-15 ms
Cena (na użytkownika/mies.)~15-30 zł~20-80 zł + koszt infrastruktury~50-200 zł (pełne platformy ZTNA)
Odporność na ataki downgrade SSL❌ Zależna od jakości klienta✅ Kontrolowana konfiguracja✅ Inspekcja TLS + CASB

Częste pytania

Czy HTTPS w pełni chroni przed atakiem MITM?

Nie całkowicie. HTTPS zabezpiecza przed podsłuchem i modyfikacją ruchu między przeglądarką a serwerem, ale nie chroni przed technikami takimi jak SSL stripping (gdzie napastnik uniemożliwia przejście na HTTPS), fałszywymi certyfikatami (gdy użytkownik ignoruje ostrzeżenie przeglądarki) ani kompromitacją urzędu certyfikacji. HTTPS jest warunkiem koniecznym, ale niewystarczającym — pełna ochrona wymaga także HSTS, DNSSEC i czujności użytkownika.

Czy VPN całkowicie eliminuje ryzyko ataku MITM?

VPN tworzy zaszyfrowany tunel między twoim urządzeniem a serwerem VPN, co skutecznie blokuje ataki MITM na odcinku lokalnym (np. w kawiarni) i u operatora sieci. Jednak VPN nie chroni przed atakami na odcinku między serwerem VPN a docelowym serwerem, ani przed złośliwym oprogramowaniem już obecnym na twoim komputerze (Man-in-the-Browser). Ponadto sam VPN może być źródłem ataku — darmowe, nieznane usługi VPN często same przechwytują ruch użytkowników.

Czy bankowość mobilna przez aplikację jest bezpieczniejsza niż przez przeglądarkę przy MITM?

Tak, zazwyczaj tak. Aplikacje bankowe stosują tzw. certificate pinning — mają wbudowany odcisk palca certyfikatu serwera banku i nie zaakceptują żadnego innego certyfikatu, nawet jeśli jest formalnie ważny. Przeglądarka może zostać oszukana fałszywym certyfikatem (jeśli użytkownik zignoruje ostrzeżenie), natomiast aplikacja bankowa po prostu odmówi połączenia. To jeden z powodów, dla których warto korzystać z dedykowanej aplikacji zamiast przeglądarki do bankowości.

Czym różni się atak MITM od ataku phishingowego?

W ataku phishingowym ofiara jest kierowana na fałszywą stronę (np. przez link w e-mailu), gdzie sama podaje swoje dane. W MITM of

Sprawdź też

<!-- IL-V1 -->

Sklep KluczeSoft

Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:

Powiązane artykuły

Najczęściej zadawane pytania

Nie całkowicie. HTTPS zabezpiecza przed podsłuchem i modyfikacją ruchu między przeglądarką a serwerem, ale nie chroni przed technikami takimi jak SSL stripping (gdzie napastnik uniemożliwia przejście na HTTPS), fałszywymi certyfikatami (gdy użytkownik ignoruje ostrzeżenie przeglądarki) ani kompromitacją urzędu certyfikacji. HTTPS jest warunkiem koniecznym, ale niewystarczającym — pełna ochrona wymaga także HSTS, DNSSEC i czujności użytkownika.
VPN tworzy zaszyfrowany tunel między twoim urządzeniem a serwerem VPN, co skutecznie blokuje ataki MITM na odcinku lokalnym (np. w kawiarni) i u operatora sieci. Jednak VPN nie chroni przed atakami na odcinku między serwerem VPN a docelowym serwerem, ani przed złośliwym oprogramowaniem już obecnym na twoim komputerze (Man-in-the-Browser). Ponadto sam VPN może być źródłem ataku — darmowe, nieznane usługi VPN często same przechwytują ruch użytkowników.
Tak, zazwyczaj tak. Aplikacje bankowe stosują tzw. certificate pinning — mają wbudowany odcisk palca certyfikatu serwera banku i nie zaakceptują żadnego innego certyfikatu, nawet jeśli jest formalnie ważny. Przeglądarka może zostać oszukana fałszywym certyfikatem (jeśli użytkownik zignoruje ostrzeżenie), natomiast aplikacja bankowa po prostu odmówi połączenia. To jeden z powodów, dla których warto korzystać z dedykowanej aplikacji zamiast przeglądarki do bankowości.
W ataku phishingowym ofiara jest kierowana na fałszywą stronę (np. przez link w e-mailu), gdzie sama podaje swoje dane. W MITM of

Czy ten artykuł był pomocny?

Atak Man in the Middle (MITM) — na czym polega, jak go wy… | Centrum Pomocy KluczeSoft