Man in the Middle attack là gì? Các biện pháp ngăn chặn MITM

Đăng vào bởi Lê Võ Trọng Tú

Các cuộc tấn công Man-in-the-Middle (MITM) ngày càng tinh vi và nguy hiểm, đặc biệt trong bối cảnh giao dịch tài sản số ngày một phổ biến. Nếu không nhận biết sớm, bạn có thể dễ dàng trở thành nạn nhân và mất quyền kiểm soát ví, thông tin cá nhân hay dữ liệu nhạy cảm. Vậy Man in the Middle attack là gì? Hoạt động ra sao và làm thế nào để phòng tránh? Bài viết dưới đây của TraderForex sẽ giúp bạn hiểu rõ toàn cảnh về MITM và cách bảo vệ mình trước mối đe dọa đang rình rập này.

Man in the Middle attack là gì?

Man-in-the-Middle attack là gì? Đây là một cách thức gian lận mạng, hacker sẽ âm thầm vào giữa hoạt động trao đổi dữ liệu của đôi bên, ví dụ như giữa nhà đầu tư và sàn giao dịch tiền mã hóa. Mục tiêu của hoạt động này là lấy cắp những thông tin quan trọng và tham gia vào cuộc giao dịch mà nạn nhân không hề phát hiện.

Tin tặc sẽ thực hiện các hành vi như:

  • Giám sát và đánh cắp các thông tin quan trọng: khóa riêng tư, mật khẩu đăng nhập, mã xác thực,…
  • Chỉnh sửa các thông tin truyền tải sai lệch gồm thay đổi địa chỉ ví nhận tiền khi người dùng gửi coin cho một người khác.
Hacker sẽ chen vào giữa cuộc trao của nhà đầu tư và lấy đi các thông tin quan trọng
Hacker sẽ chen vào giữa cuộc trao của nhà đầu tư và lấy đi các thông tin quan trọng

Trên thị trường tiền điện tử, những hoạt động thường bị hacker tấn công MITM hướng đến gồm:

  • Giao dịch trên các sàn tập trung.
  • Kết nối giữa ví với trình duyệt bằng wifi công cộng.
  • Truy cập vào những website giả mạo có giao dịch tương tự như sàn giao dịch uy tín (phishing).

Cách thức hoạt động của tấn công Man in the Middle

Thông thường Man-in-the-Middle attack sẽ diễn ra với hai giai đoạn chính là: can thiệp vào kết nối và giải mã dữ liệu.

Giai đoạn 1: Chặn đường truyền dữ liệu

Kẻ tấn công sẽ tìm mọi cách để có thể xâm nhập vào kết nối giữa bạn và nền tảng mà bạn mở. Một số hình thức như:

  • Wifi công cộng không có bảo mật: Tin tặc có thể xây dựng 1 điểm truy cập giả với tên gần giống với wifi thật khiến người dùng kết nối nhầm, từ đó hacker có thể theo dõi mọi hoạt động trên hệ thống.
  • DNS Spoofing: Đây là phương thức đánh lừa hệ thống phân giải tên miền, giúp bạn truy cập vào một trang web giả mạo có giao diện tương tự như trang web thật. Chẳng hạn, thay vì truy cập vào myetherwallet.com thì bạn lại truy cập vào myetherwallet.com (chứ “l” bị thay bằng “I” viết hoa) mà không hề bị phát hiện.

Giai đoạn 2: Lấy trộm dữ liệu

Sau khi đã xâm nhập thành công, kẻ tấn công sẽ tìm cách giải ma các thông tin mà người dùng truyền tải gồm:

  • Khóa riêng tư dùng để kiểm soát ví.
  • Tệp tạm lưu thông tin đăng nhập.
  • Dữ liệu giao dịch như địa chỉ ví nhận hay số lượng coin.

Chẳng hạn nhà đầu tư đang tiến hành rút tiền từ sàn giao dịch Binance bằng mạng wifi công cộng. Trong khi bạn điền địa chỉ ví người nhận, tin tặc sẽ thay đổi địa chỉ thành ví của họ. Sau khi click vào ô xác nhận, tất cả số tiền bạn nhập sẽ chuyển đến ví của hacker mà không hề phát hiện.

Các hình thức Man-in-the-Middle Attack phổ biến trên Crypto hiện nay

Sau khi tìm hiểu về Man in the Middle attack là gì, tiếp theo đây Traderforex sẽ cung cấp các hình thức tấn công MITM là gì phổ biến hiện nay. Cụ thể:

Tấn công thông qua wifi công cộng

Tin tặc sẽ xây dựng một điểm truy cập mạng trực tuyến giả mạo, chẳng hạn như “Free Airport wifi”. Khi các nhà đầu tư kết nối vào mạng thì lập tức hacker sẽ xâm nhập và ngăn những lưu lượng truy cập, qua đây tiếp nhận các thông tin quan trọng (mật khẩu, khóa riêng tư,…) khi nạn nhân tiền hành đăng nhập vào ví MetaMask hay sàn giao dịch. Đối với những nhà đầu tư không cảnh giác sẽ dễ dàng trở thành nạn nhân.

Giả mạo DNS

Hacker có thể sửa đổi bản ghi DNS, làm cho nhà đầu tư chuyển đến truy cập một website giả. Trang web này tương tự như một trang web thật của sàn giao dịch hay ví, trên thực tế đó website đó tạo ra nhằm lấy thông tin đăng nhập của nhà đầu tư, Khi bạn điền thông tin quan trọng lên trang giả, tin tặc dễ dàng nhận được nguồn thông tin đó.

Tạo một trang web giả mạo để nhà đầu tư hiểu lầm và lấy đi thông tin quan trọng
Tạo một trang web giả mạo để nhà đầu tư hiểu lầm và lấy đi thông tin quan trọng

SSL Stripping

Đối với hình thức tấn công SSL Stripping, tin tặc sẽ bắt buộc kết nối một trang web bảo mật (HTTPS) chuyển thành kết nối không bảo mật (HTTP). Qua đây giúp tin tặc dễ dàng tiếp nhận các thông tin chuyển đi của nhà đầu tư như mật khẩu, dữ liệu giao dịch. Tuy bạn bạn thấy được một biểu tượng khóa hiển thị trên thanh địa chỉ nhưng kết nối thật sự vẫn chưa được mã hóa, khả năng cao sẽ bị tấn công.

Tấn công trình duyệt (Man-in-the-Browser)

Phần mềm độc hại sẽ được tin tặc cài vào trình duyệt của bạn, điều này khiến cho giao dịch bị ảnh hưởng. Chẳng hạn, khi nhà đầu tư tiến hành chuyển tiền hay trao đổi token, phần mềm này sẽ tự động đổi thành token hay địa chỉ nhận, làm cho nhà đầu tư chuyển lộn tiền đến địa chỉ của của họ.

Tấn công trình duyệt cũng là một trong các hình thức tấn công MITM ưa chuộng
Tấn công trình duyệt cũng là một trong các hình thức tấn công MITM ưa chuộng

Chú ý: Các hình thức tấn công này đều ảnh hưởng nghiêm trọng đến thông tin cá nhân khi gia nhập thị trường tiền điện tử. Vì thế, các nhà đầu tư cần phải thận trọng hơn khi kết nối wifi công cộng, tránh truy cập những trang web lậu, nên kiểm tra trước thông tin khi giao dịch.

Hậu quả nhận lấy của cuộc tấn công Man in the Middle

Tấn công MITM gây ra nhiều hậu quả nặng nề, đặc biệt là những nhà đầu tư không có nhiều kinh nghiệm, không thận trọng. Khi bị tin tặc sở hữu khoá riêng tư sẽ khiến nạn nhân mất trắng tài sản.

Bên cạnh đó, các giao dịch của người dùng có thể bị hacker chuyển hướng, tức là tiền được chuyển vào ví của tin tặc, chỉ với vài thao tác đơn giản sẽ khiến tài sản của bạn bay hơi.

Đặc biệt hơn nữa là để lộ thông tin cá nhân quan trọng, một khi họ nắm bắt được dữ liệu KYC sẽ là mối đe dọa đến danh tính và thông tin về tài chính. Cách tốt nhất, các nhà đầu tư cần phải thật cảnh giác để tránh rơi vào bẫy của bọn tin tặc.

Xem thêm:

Pig Butchering là gì? Chiêu lừa đầu tư tinh vi nhắm vào nhà đầu tư crypto

Hiểu rõ Man in the Middle Attack để bảo vệ thông tin cá nhân trực tuyến

Các ví dụ thực tế về Man-in-the-Middle attack

Để nắm rõ hơn về khái niệm tấn công Man-in-the-Middle là gì, hãy tham khảo ngay các ví dụ dưới đây:

Tấn công Ronin Network vào năm 2022 làm bay hơi đến 620 triệu USD

Năm 2022, Ronin Network đối mặt với cuộc tấn công Man in the Middle và giữ quyền kiểm soát node xác nhận, chuyển hơn 620 triệu USD của Axie Infinity. Khi đó, tin tặc đã chen vào chuỗi cầu nối giữa Ronin và Ethereum, chuyển đổi thông tin và dòng tiền chảy về ví hacker. Điều này là do giao dịch không được đảm bảo an toàn thông qua MFA, từ đó trở thành mục tiêu nhắm đến của bọn tin tặc.

Axie Infinity từng bị tấn công và mất đi số tiền lên đến 620 triệu USD
Axie Infinity từng bị tấn công và mất đi số tiền lên đến 620 triệu USD

Sàn Bybit bay hơi 1,4 tỷ USD vì lỗ hổng trong multisig

Một cuộc tấn công MITM (Man-in-the-Middle) gây nên hậu quả lớn là vào năm 2025, sàn Bybit bị xâm nhập và bay hơi đến 1,4 tỷ USD vì lỗ hổng multisig. Kẻ tấn công sẽ lợi dụng lỗ hổng trong quá trình xác thực giao dịch thông qua các khoá riêng tư. Xâm nhập vào hệ thống bảo mật, họ có thể làm giả các giao dịch và chuyển đi lượng lớn tiền mà không qua sự chấp nhận của chủ sở hữu, điều này gây thiệt hại lớn cho sàn và nhà đầu tư.

Sàn Bybit bị tấn công bởi lỗ hổng multisig và bay hơi số tiền lên đến 1,4 tỷ USD
Sàn Bybit bị tấn công bởi lỗ hổng multisig và bay hơi số tiền lên đến 1,4 tỷ USD

Một số ví dụ điển hình về tấn công MITM từng gây chấn động khác

Nhiều vụ tấn công theo kiểu Man-in-the-Middle (MITM) khác đã được ghi nhận trên toàn thế giới, cho thấy mức độ phổ biến và nguy hiểm thực sự của kỹ thuật này trong việc đánh cắp dữ liệu hoặc can thiệp vào luồng thông tin trực tuyến. Dưới đây là những ví dụ đáng chú ý:

  • Vụ rò rỉ dữ liệu Equifax: Đây là một trong những vụ xâm phạm dữ liệu lớn nhất từng xảy ra. Tin tặc đã lợi dụng trang web giả mạo và kỹ thuật giả lập chứng chỉ bảo mật (SSL spoofing) để chặn và thu thập dữ liệu quan trọng từ hơn 145 triệu công dân Mỹ. Những thông tin bị đánh cắp bao gồm số an sinh xã hội, hồ sơ tín dụng và dữ liệu cá nhân.
  • Các công cụ DSniff và Fiddler2: Ban đầu được phát triển nhằm phục vụ mục đích kiểm thử bảo mật mạng, tuy nhiên nếu rơi vào tay kẻ xấu, chúng dễ dàng bị biến thành công cụ thực hiện MITM. DSniff thường khai thác các kết nối có mã hóa yếu (như phiên bản cũ của SSL hoặc SSH), còn Fiddler2 có thể giải mã và theo dõi lưu lượng HTTP/HTTPS, rất nguy hiểm nếu bị lợi dụng trái phép.
  • Chiến dịch giả mạo Google của NSA: Theo tiết lộ từ Edward Snowden, Cơ quan An ninh Quốc gia Mỹ (NSA) từng triển khai kỹ thuật MITM để tạo ra phiên bản giả mạo của trang Google. Bằng cách này, họ dễ dàng đánh lừa người dùng, thu thập dữ liệu truy cập và theo dõi hành vi trực tuyến mà không để lại dấu vết rõ ràng.
  • Superfish trên laptop Lenovo: Một số dòng máy tính xách tay của Lenovo từng được cài sẵn phần mềm quảng cáo Superfish. Phần mềm này tự động chèn chứng chỉ gốc giả, từ đó có thể can thiệp vào các kết nối được mã hóa bằng SSL. Điều này khiến người dùng dễ bị tấn công MITM mà không hề hay biết, dù đang trông có vẻ an toàn.
  • Forcepoint Content Gateway: Đây là giải pháp proxy được nhiều doanh nghiệp sử dụng để giám sát và lọc lưu lượng mạng. Tuy nhiên, nếu không được cấu hình đúng cách, chính công cụ này lại có thể vô tình mở đường cho MITM, làm rò rỉ dữ liệu nội bộ hoặc khiến hệ thống mất an toàn.
  • Hành vi của nhà mạng Comcast: Tại Mỹ, Comcast từng bị phát hiện chèn mã JavaScript vào các website mà người dùng truy cập với mục đích chính là để hiển thị thông báo hoặc quảng cáo. Tuy nhiên, việc can thiệp vào nội dung truyền giữa website và người dùng mà không thông qua trình duyệt hoặc không được sự đồng ý rõ ràng đã khiến hành động này mang nhiều nét tương đồng với một cuộc tấn công MITM.
  • Sự kiện tại Kazakhstan: Chính phủ Kazakhstan bị cáo buộc yêu cầu người dân cài đặt chứng chỉ gốc do nhà nước phát hành. Việc này tạo điều kiện để cơ quan chức năng dễ dàng theo dõi hoặc giải mã các kết nối HTTPS, đồng nghĩa với việc họ có thể kiểm soát toàn bộ nội dung người dân truy cập.

Phương pháp phòng tránh tấn công MITM

Để có thể bảo vệ tốt tài sản và tài khoản khi tham gia giao dịch tiền điện tử, người dùng có thể áp dụng các phương pháp phòng tránh Man-in-the-Middle (MITM) sau đây:

  • Dùng VPN khi giao dịch qua mạng wifi công cộng: Việc dùng wifi công cộng có thể mang đến các nguy hiểm cho những nhà đầu tư trên thị trường tiền điện tử. Khi dùng VPN giúp mã hoá kết nối của người dùng, chặn giám sát từ các hacker và bảo vệ tốt thông tin của nhà đầu tư.
  • Tiến hành kiểm tra HTTPS cùng với chứng chỉ SSL trên trang web: Trước khi điền các dữ liệu như tài khoản và mật khẩu, hãy đảm bảo trang web của bạn có liên kết với HTTPS và chứng chỉ SSL phù hợp. Từ đó, hỗ trợ nhà đầu tư tránh bị tấn công trong lúc truyền tải.
  • Không nên kết nối wifi miễn phí khi đăng nhập ví hay broker: Tuy wifi miễn phí có tính tiện lợi nhưng cũng là con đường nhanh chóng để hacker tấn công. Hãy đảm bảo wifi an toàn trước khi truy cập vào ví hay sàn giao dịch, tốt nhất nên sử dụng mạng cá nhân.
  • Nên kiểm tra địa chỉ trang web: Trước khi truy cập vào sàn giao dịch bạn nên kiểm tra địa chỉ website thật kỹ. Bọn lừa đảo thường nhắm đến sự lơ là trader mà họ sửa đổi những điểm nhỏ trong tên miền, ví dụ như “binance.com” thành “binancee.com” vì thế hãy chắc chắn mình đăng nhập vào đúng trang web chính thức.
  • Nên kích hoạt 2FA: Nên đảm bảo tài khoản đã bật xác thực 2 yếu tố để bảo vệ tài khoản tốt nhất. Tính năng này khi bật lên, lúc đăng nhập không chỉ cần mật khẩu mà cần thêm mã xác thực. Dù cho bạn có mất mật khẩu thì cùn ngăn được đợt tấn công của hacker.
  • Nên dùng ví lạnh để lưu trữ tài sản: Ví nóng dễ bị tấn công thông qua đường mạng, vì thế khi sử dụng ví lạnh giúp bạn ngăn chặn đánh cắp tiền (các ví cứng như Ledger hoặc Trezor).

Với các biện pháp trên sẽ giúp tài khoản của nhà đầu tư được an toàn, tránh bị hacker tấn công mà không hay biết.

Kết luận

Toàn bộ bài viết trên của Traderforex đã giúp các bạn nắm được Man in the Middle attack là gì, qua đây cũng thấy được tấn công khai thác coin nguy hiểm như thế nào. Từ đó, các bạn sẽ biết cách đưa ra phương pháp phòng tránh và tận dụng để mang về lợi nhuận tối ưu nhất.

Bạn thấy bài viết này hữu ích ?
author - Lê Võ Trọng Tú

Tôi là Lê Võ Trọng Tú, một Trader Full Time với đam mê phân tích và nhiệt huyết với những con số. Hãy kết nối và chia sẻ cùng chúng tôi – TraderForex. Tôi không hứa sẽ giúp bạn “giàu nhanh”, nhưng tôi sẽ cung cấp cho bạn những “công cụ” để tạo đà phát triển tốt nhất có thể.

Bài viết liên quan:
Hard Fork là gì
Hard Fork là gì? Phân biệt với Soft Fork và ứng dụng thực tế
Soft Fork là gì
Soft Fork là gì? Vai trò và ứng dụng thực tế của Soft Fork
Ordinals là gì
Bitcoin Ordinals là gì? Toàn tập về xu hướng NFT trên Bitcoin
SegWit là gì
SegWit là gì? Toàn tập về bản nâng cấp Segregated Witness
Lightning Network là gì
Lightning Network là gì? Tương lai Lightning Network với Bitcoin
Oracle là gì
Oracle là gì? Vai trò và xu hướng của Oracle trong crypto
Altcoin Season là gì
Altcoin Season là gì? Dấu hiệu và cách giao dịch trong mùa Altcoin
ERC-4337
ERC-4337 là gì? Tính năng và ý nghĩa của chuẩn token ERC-4337
Để lại một bình luận