Man-in-the-Middle Attack (MITM) คืออะไร? อันตรายแอบแฝงในการสื่อสาร

นโลกยุคดิจิทัลที่ข้อมูลถูกส่งและแบ่งปันทางออนไลน์มากกว่าที่เคย หลายธุรกิจอาจไม่ทราบว่ากำลังเผชิญกับภัยคุกคามที่แอบซ่อนอยู่ในเครือข่ายของตน นั่นคือการโจมตีแบบ Man-in-the-Middle หรือที่เรียกสั้นๆ ว่า MITM (มิทม์) ซึ่งเป็นภัยคุกคามไซเบอร์ที่ซับซ้อนและมีความแยบยลสูง ดังนั้นองค์จึงควรทำความรู้จักกับภัยคุกคามทางไซเบอร์นี้ เพื่อให้สามารถวางแผน มาตรการ และกระบวนการป้องกันได้อย่างเหมาะสม

MITM คืออะไร?

MITM คือ การโจมตีทางไซเบอร์รูปแบบหนึ่งที่แฮกเกอร์จะแทรกตัวเข้ามาระหว่างการสื่อสารของคู่สนทนาสองฝ่าย ไม่ว่าจะเป็นระหว่างผู้ใช้งานกับเว็บไซต์ ผู้ใช้งานกับแอปพลิเคชัน หรือระหว่างระบบสองระบบ โดยมีจุดประสงค์เพื่อดักฟัง ขโมยข้อมูล หรือแม้กระทั่งปลอมแปลงข้อมูลที่แลกเปลี่ยนระหว่างกัน สามาเปรียบเทียบได้ว่า มีคนแอบเปิดจดหมายของคุณระหว่างทาง จดบันทึกข้อมูลสำคัญไว้ แล้วปิดผนึกส่งต่อให้ผู้รับโดยที่ทั้งผู้ส่งและผู้รับไม่รู้ตัว

ทำไม Man-in-the-Middle Attack จึงเป็นภัยคุกคามที่ร้ายแรงสำหรับธุรกิจ

การโจมตีแบบ MITM นับเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงสำหรับธุรกิจและองค์กรทุกขนาดด้วยเหตุผลหลายประการ

1. การโจรกรรมข้อมูลสำคัญ - แฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญทางธุรกิจ เช่น ข้อมูลบัตรเครดิต ข้อมูลลูกค้า รหัสเข้าสู่ระบบ หรือแม้กระทั่งความลับทางการค้า ที่อาจสร้างส่งผลต่อการดำเนินธุรกิจหากถูกเปิดเผยหรือส่งต่อให้บุคคลภายนอก
2. ทำลายความน่าเชื่อถือ - หากข้อมูลลูกค้ารั่วไหลเกิด แน่นอนความเชื่อมั่นในธุรกิจจะได้รับผลกระทบอย่างรุนแรง ไม่ว่าจะเป็นความไว้วางใจของลูกค้า พันธมิตร หรือสาธารณชน
3. สร้างความเสียหายทางการเงิน - การโจมตี MITM อาจนำไปสู่การฉ้อโกงทางการเงิน การโอนเงินโดยไม่ได้รับอนุญาต การเรียกค่าไถ่เพื่อแลกกับการปกปิดข้อมูลความลับ หรือค่าปรับจากการละเมิดกฎระเบียบด้านความปลอดภัยข้อมูล

สถิติน่าสนใจเกี่ยวกับ MITM

• SSL Store ระบุว่า เว็บไซต์กว่า 95% ที่ใช้ HTTPS เคยถูกโจมตีด้วยเทคนิค MITM
• จากข้อมูลของ IBM พบว่า 35% ของช่องโหว่ทั้งหมดถูกนำไปใช้ในการโจมตีแบบ MITM
• ข้อมูลของ DARK Reading แสดงให้เห็นว่า 43% ของระบบรักษาความปลอดภัยบนอุปกรณ์พกพามีส่วนที่ทำให้เกิดการโจมตีแบบ MITM

การโจมตีแบบ Man-in-the-Middle ทำงานอย่างไร

Man-in-the-Middle Attack นั้นมีหลากหลายรูปแบบ ทั้งนี้ โดยทั่วไปมักมีหลักการดำเนินการที่คล้ายคลึงกัน โดยสามารถแบ่งออกเป็น 2 ส่วนหลักๆ ดังนี้

1. การดักจับข้อมูล (Interception)

ในขั้นตอนแรก แฮกเกอร์จะทำการดักจับการสื่อสารระหว่างผู้ใช้กับระบบปลายทาง โดยมักใช้วิธีการ เช่น

• การสร้าง Wi-Fi ปลอม - การปล่อยสัญญาณ Wi-Fi ฟรีที่ไม่ต้องใช้รหัสผ่านในพื้นที่สาธารณะ เช่น สนามบิน ร้านกาแฟ ห้างสรรพสินค้า ตั้งชื่อให้คล้ายกับสถานที่นั้นๆ เช่น "Cafe_Free_WiFi" เพื่อล่อให้ผู้ใช้เชื่อมต่อ
• IP Spoofing - การปลอมแปลงที่อยู่ IP เพื่อหลอกให้ผู้ใช้เชื่อว่ากำลังสื่อสารกับระบบที่ถูกต้อง
• ARP Spoofing - การเชื่อมโยงที่อยู่ MAC ของผู้โจมตีกับที่อยู่ IP ของผู้ใช้ที่ถูกต้องบนเครือข่ายท้องถิ่น
• DNS Spoofing - การแทรกแซงระบบ DNS เพื่อเปลี่ยนเส้นทางการเข้าถึงเว็บไซต์จากเว็บไซต์จริงไปยังเว็บไซต์ปลอมที่แฮกเกอร์ควบคุม

2. การถอดรหัสข้อมูล (Decryption)

หลังจากดักจับข้อมูลของเป้าหมายได้แล้ว ต่อมาแฮกเกอร์จะต้องถอดรหัสข้อมูลที่เข้ารหัส SSL/TLS โดยไม่ให้ผู้ใช้หรือแอปพลิเคชันรู้ตัว ซึ่งวิธีการที่ใช้มีหลายวิธี เช่น

• SSL Stripping - การลดระดับการเชื่อมต่อ HTTPS ให้เป็น HTTP โดยแทรกแซงการยืนยันตัวตน TLS ที่ส่งจากแอปพลิเคชันไปยังผู้ใช้
• HTTPS Spoofing - การส่งใบรับรองปลอมไปยังเบราว์เซอร์ของเหยื่อเมื่อมีการร้องขอการเชื่อมต่อครั้งแรกไปยังเว็บไซต์ที่ปลอดภัย
• SSL Hijacking - การส่งคีย์การยืนยันตัวตนปลอมไปยังทั้งผู้ใช้และแอปพลิเคชันระหว่างการกระบวนการ TCP (Transmission Control Protocol) เพื่อเข้าควบคุม Session ทั้งหมด

รูปแบบการโจมตีแบบ Man-in-the-Middle ที่พบบ่อย

1. การดักฟังผ่าน Wi-Fi (Wi-Fi Eavesdropping)

การโจมตี MITM ประเภทนี้จะเริ่มขึ้นก็ต่อเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะที่ไม่ปลอดภัย แฮกเกอร์ที่แฝงตัวอยู่บนเครือข่ายเดียวกันสามารถดักจับข้อมูลที่ส่งผ่านเครือข่ายนั้นๆ โดยเฉพาะข้อมูลที่ถูกรับ-ส่งโดยไม่ได้เข้ารหัส เช่น เว็บไซต์ที่ใช้ HTTP แทนที่จะเป็น HTTPS เป็นต้น

2. การปลอมแปลง DNS (DNS Spoofing)

โดยทั่วไป DNS (Domain Name System) ทำหน้าที่แปลงชื่อโดเมน เช่น google.com ให้เป็นที่อยู่ IP Address เช่น 192.168.1.1 ในการโจมตีแบบ DNS Spoofing แฮกเกอร์จะแทรกแซงกระบวนการดังกล่าว ส่งผลให้ผู้ใช้งานถูก Redirect ไปยังเว็บไซต์ปลอมของแฮกเกอร์แทนที่จะเป็นเว็บไซต์จริง ซึ่งเว็บไซต์ปลอมนี้มักถูกออกแบบให้มีหน้าตาเหมือนเว็บไซต์จริงทุกประการ ทำให้ผู้ใช้หลงเชื่อและกรอกข้อมูลสำคัญ เช่น ชื่อผู้ใช้งานและรหัสผ่าน แล้วแฮกเกอร์ก็ได้สามารถดักจับข้อมูลเหล่านี้ได้ในที่สุด

3. การโจมตีผ่านอีเมล (Email Hijacking)

ผู้โจมตีจะแทรกแซงการสื่อสารทางอีเมลระหว่างสองฝ่าย และปลอมแปลงอีเมลให้ดูเหมือนมาจากแหล่งที่น่าเชื่อถือ เช่น อีเมลธนาคาร หรือผู้ให้บริการต่างๆ เพื่อหลอกให้ผู้รับคลิกลิงก์หรือดาวน์โหลดไฟล์แนบที่แฝงไปด้วยมัลแวร์เรียกค่าไถ่(Ransomware), เวิร์ม (Worm) หรือไวรัส (Virus)  และที่สำคัญ การโจมตีนี้มักเกี่ยวข้องกับการหลอกลวงในลักษณะฟิชชิง (Phishing) ซึ่งเป็นอีกหนึ่งภัยคุกคามที่พบเห็นได้บ่อยในปัจจุบัน

4. การโจมตีแบบ Man-in-the-Browser (MitB)

การโจมตีรูปแบบนี้เป็นประเภทย่อยของ MITM ที่เกิดขึ้นเมื่อมัลแวร์ (Malware) เข้าควบคุมเบราว์เซอร์ของผู้ใช้งาน โดยมัลแวร์นี้มีความสามารถในการดักจับและแก้ไขข้อมูลที่ส่งระหว่างเบราว์เซอร์กับเว็บไซต์ได้เอง แม้ว่าการเชื่อมต่อจะถูกเข้ารหัสเอาไว้ก็ตาม ซึ่งการโจมตีแบบนี้มักถูกใช้ในการฉ้อโกงทางการเงิน เช่น ขัดขวางการทำธุรกรรมกับธนาคารออนไลน์

5. จุดเชื่อมต่อ Wi-Fi ปลอม (Rogue Wi-Fi Access Points)

ในการโจมตี MITM รูปแบบนี้ แฮกเกอร์จะสร้างจุดเชื่อมต่อ Wi-Fi ปลอมที่มีชื่อคล้ายกับเครือข่ายที่ถูกต้อง เช่น ในโรงแรมอาจสร้างเครือข่ายชื่อ "Hotel_Guest" เพื่อหลอกให้แขกที่เข้าเชื่อมต่อ โดยเมื่อผู้ใช้งานเชื่อมต่อกับ Wi-Fi ปลอมนี้ แฮกเกอร์ก็จะสามารถดักจับข้อมูลทั้งหมดที่ส่งผ่านเครือข่ายได้ทันที

MITM เกี่ยวข้องกับภัยคุกคามทางไซเบอร์อื่นๆ อย่างไร?

การโจมตีแบบ MITM อาจดูเหมือนเป็นการโจมตีที่ไม่เฉพาะเจาะจงและเป็นเพียงการโจรกรรมข้อมูลเท่านั้น อย่างไรก็ตาม Man-in-the-Middle Attack มักเป็นหนึ่งในจุดเริ่มต้นของการโจมตีที่มีความซับซ้อนมากขึ้น หรือเป็นการเปิดประตูให้ภัยคุกคามอื่นๆ ต่อไป ดังนี้

MITM และการฝังมัลแวร์เรียกค่าไถ่ (Ransomware)

แฮกเกอร์อาจใช้เทคนิค MITM โดยมีจุดประสงค์เพื่อแทรกโค้ดอันตรายเข้าไปในระบบของเหยื่อ ซึ่งอาจเป็น Ransomware ที่เข้ารหัสข้อมูลสำคัญ เพื่อเรียกค่าไถ่แลกกับข้อมูลดังกล่าว

MITM และการหลอกลวงแบบฟิชชิง (Phishing)

การโจมตีแบบ MITM มักใช้ร่วมกับกลยุทธ์ Phishing โดยแฮกเกอร์อาจส่งอีเมล Phishing ที่มีลิงก์ไปยังเว็บไซต์ปลอม เมื่อผู้ใช้คลิกลิงก์และกรอกข้อมูล ผู้โจมตีจะสามารถขโมยข้อมูลเหล่านั้นได้

การรั่วไหลของข้อมูลจาก Man-in-the-Middle Attack 

การโจมตีแบบ MITM เป็นหนึ่งในช่องทางที่อาจทำให้เกิดการรั่วไหลของข้อมูลสำคัญของธุรกิจ ดังนั้นระบบ Data Loss Prevention (DLP) จึงควรรวมการป้องกัน MITM เป็นส่วนหนึ่งของกลยุทธ์การป้องกันข้อมูล

แนวทางการป้องกันการโจมตีแบบ Man-in-the-Middle

การป้องกันการโจมตีแบบ MITM เป็นสิ่งสำคัญสำหรับทุกธุรกิจ โดยมีวิธีการป้องกันหลักๆ ดังนี้

1. ใช้การเชื่อมต่อที่ปลอดภัย (Secure Connections)

ในด่านการป้องกัน MITM เบื้องต้น ควรตรวจสอบให้แน่ใจว่าเว็บไซต์ที่ใช้งานมี "HTTPS" นำหน้าในแถบ URL ประกอบกับติดตั้งไฟร์วอลล์ (Firewall) หรือ Next-Generation Firewall (NGFW) เพื่อตรวจสอบและกรองการจราจรเครือข่าย หรือองค์กรสามารถเลือกใช้ HTTP Strict Transport Security (HSTS) เพื่อบังคับให้เบราว์เซอร์บนอุปกรณ์ปลายทางใช้ HTTPS เท่านั้น

2. การใช้เครือข่ายส่วนตัวเสมือน (VPN)

เพื่อเสริมการป้องกันอีกชั้น แนะนำให้ใช้ VPN เมื่อจำเป็นต้องเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะ โดยเลือกใช้บริการ VPN ที่มีการเข้ารหัสที่แข็งแกร่งและนโยบายไม่เก็บข้อมูลการใช้งาน หรืออาจบังคับใช้ VPN แบบองค์กรสำหรับพนักงานที่ทำงานจากระยะไกล

3. ใช้ระบบตรวจจับและป้องกันที่ทันสมัย

ติดตั้งระบบ Secure Web Gateway เพื่อป้องกันการโจมตีผ่านเว็บไซต์ รวมถึงรักษาความปลอดภัยบนอุปกรณ์ปลายทางด้วยระบบ EDR และ MDR เพื่อเฝ้าระวังและตอบสนองต่อภัยคุกคามตลอด 24 ชั่วโมง

4. ฝึกอบรมพนักงาน

พนักงานและบุคลากรถือเป็นอีกหนึ่งจุดเสี่ยงสำคัญในการรักษาความปลอดภัยทางไซเบอร์ โดยเฉพาะเมื่อพนักงานเหล่านั้นขาดการตระหนักรู้ถึงภัยคุกคาม องค์กรจึงควรอบรมให้ความรู้แก่พนักงานเกี่ยวกับวิธีการระบุและหลีกเลี่ยงการโจมตีแบบ MITM สอนวิธีการตรวจสอบความน่าเชื่อถือของเว็บไซต์และการเชื่อมต่อ รวมถึงสร้างนโยบายด้านความปลอดภัยที่ชัดเจนเกี่ยวกับการใช้เครือข่าย Wi-Fi สาธารณะและการทำธุรกรรมออนไลน์

5. ใช้การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) 

องค์กรสามารถนำระบบการพิสูจน์ตัวตนแบบหลายปัจจัยมาใช้กับทุกบริการที่สำคัญ ไม่ว่าจะเป็นการล็อกอินเข้าสู่เครือข่าย หรือการเข้าถึงไฟล์ข้อมูลที่เป็นความลับ โดยอาจใช้แอปพลิเคชันยืนยันตัวตนหรืออุปกรณ์ความปลอดภัยทางกายภาพแทนการส่ง SMS พร้อมกำหนดให้มีการตรวจสอบเพิ่มเติมสำหรับการทำธุรกรรมที่มีความเสี่ยงสูง

เมื่อโลกธุรกิจขับเคลื่อนด้วยข้อมูลมากขึ้นเรื่อยๆ การโจมตีแบบ Man-in-the-Middle จึงเป็นภัยคุกคามที่ทุกองค์กรไม่ควรมองข้าม การป้องกันที่มีประสิทธิภาพจำเป็นต้องมีการผสมผสานระหว่างเทคโนโลยีความปลอดภัยที่ทันสมัย ควบคู่ไปกับการสร้างความตระหนักรู้ให้กับบุคลากร ธุรกิจที่มีการวางแผนและเตรียมความพร้อมรอบด้านจะสามารถลดความเสี่ยงและป้องกันความเสียหายที่อาจเกิดขึ้นจากการโจมตีแบบ MITM ได้อย่างมีประสิทธิภาพ

ป้องกันธุรกิจคุณจาก MITM ด้วยโซลูชันจาก Sangfor Technologies

Sangfor Technologies เป็นผู้นำระดับโลกด้านความปลอดภัยทางไซเบอร์ ระบบ Cloud Computing Hybrid และโซลูชันโครงสร้างพื้นฐานไอที ด้วยผลิตภัณฑ์และบริการมากมายที่ครอบคลุมทุกความต้องการด้าน Cybersecurity เราพร้อมที่จะช่วยให้ธุรกิจของคุณปลอดภัยจากภัยคุกคามอย่าง MITM และพร้อมรับมือกับความท้าทายในอนาคต 

สามารถเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันด้านความปลอดภัยทางไซเบอร์จาก Sangfor ได้ที่ www.sangfor.com หรือติดต่อผู้เชี่ยวชาญของเราเพื่อขอรับคำปรึกษาเพิ่มเติม