到底什么是中間人攻擊？

黑客潛入到你與受害者或是某個設備間的通信過程中，竊取敏感信息（多數是身份信息）進而從事各種違法行為的過程，就是一次中間人攻擊。Scamicide 公司創始人 Steve J. J. Weisman 介紹說：

“中間人攻擊也可以發生在受害者與某個合法 App 或網頁中間。當受害者以為自己面對的是正常 app 或網頁時，其實 Ta 正在與一個仿冒的 app 或網頁互動，將自己的敏感信息透露給了不法分子。”

中間人攻擊誕生于 1980 年代，是最古老的網絡攻擊形式之一。但它卻更為常見。Weisman 解釋道，發生中間人攻擊的場景有很多種：

攻陷一個未有效加密的 WiFi 路由器：該場景多見于人們使用公共 WiFi 的時候。“雖然家用路由器也很脆弱，但黑客攻擊公共 WiFi 網絡的情況更為常見。”Weisman 說，“黑客的目標就是從毫無戒心的人們那里竊取在線銀行賬戶這樣的敏感信息。”
攻陷銀行、金融顧問等機構的電子郵件賬戶：“一旦黑客攻陷了這些電子郵件系統，他們就會冒充銀行或此類公司給受害者發郵件”，Weisman 說，”他們以緊急情況的名義索要個人信息，諸如用戶名和密碼。受害者很容易被誘騙交出這些信息。”
發送釣魚郵件：竊賊們還可能冒充成與受害者有合作關系的公司，向其索要個人信息。“在多個案例中，釣魚郵件會引導受害者訪問一個偽造的網頁，這個偽造的網頁看起來就和受害者常常訪問的合法公司網頁一模一樣。”Weisman 說道。
在合法網頁中嵌入惡意代碼：攻擊者還會把惡意代碼（通常是 JAVAScript）嵌入到一個合法的網頁中。“當受害者加載這個合法網頁時，惡意代碼首先按兵不動，直到用戶輸入賬戶登錄或是信用卡信息時，惡意代碼就會復制這些信息并將其發送至攻擊者的服務器。”網絡安全專家 Nicholas McBride 介紹說。

有哪些中間人攻擊的著名案例？

聯想作為主流的計算機制造廠商，在 2014 到 2015 年售賣的消費級筆記本電腦中預裝了一款叫做 VisualDiscovery 的軟件，攔截用戶的網頁瀏覽行為。當用戶的鼠標在某個產品頁面經過時，這款軟件就會彈出一個來自合作伙伴的類似產品的廣告。

這起中間人攻擊事件的關鍵在于：VisualDiscovery 擁有訪問用戶所有私人數據的權限，包括身份證號、金融交易信息、醫療信息、登錄名和密碼等等。所有這些訪問行為都是在用戶不知情和未獲得授權的情況下進行的。聯邦交易委員會（FTC）認定此次事件為欺詐與不公平競爭。2019 年，聯想同意為此支付 8300 萬美元的集體訴訟罰款。

我如何才能避免遭受中間人攻擊？

避免使用公共 WiFi：Weisman 建議，從來都不要使用公開的 WiFi 進行金融交易，除非你安裝了可靠的 VPN 客戶端并連接至可信任的 VPN 服務器。通過 VPN 連接，你的通信是加密的，信息也就不會失竊。
時刻注意：對要求你更新密碼或是提供用戶名等私人信息的郵件或文本消息要時刻保持警惕。這些手段很可能被用來竊取你的身份信息。如果不確定收到的郵件來自于確切哪一方，你可以使用諸如電話反查或是郵件反查等工具。通過電話反查，你可以找出未知發件人的更多身份信息。通過郵件反查，你可以嘗試確定誰給你發來了這條消息。通常來講，如果發現某些方面確實有問題，你可以聽從公司中某個你認識或是信任的人的意見。或者，你也可以去你的銀行、學校或其他某個組織，當面尋求他們的幫助。總之，重要的賬戶信息絕對不要透露給不認識的“技術人員”。
不要點擊郵件中的鏈接：如果有人給你發了一封郵件，說你需要登錄某個賬戶，不要點擊郵件中的鏈接。相反，要通過平常習慣的方式自行去訪問，并留意是否有告警信息。如果在賬戶設置中沒有看到告警信息，給客服打電話的時候也不要聯系郵件中留的電話，而是聯系站點頁面中的聯系人信息。
安裝可靠的安全軟件：如果你使用的是 windows 操作系統，安裝開源的殺毒軟件，如 ClamAV 。如果使用的是其他平臺，要保持你的軟件安裝有最新的安全補丁。
認真對待告警信息：如果你正在訪問的頁面以 HTTPS 開頭，瀏覽器可能會出現一則告警信息。例如，站點證書的域名與你嘗試訪問的站點域名不相匹配。千萬不要忽視此類告警信息。聽從告警建議，迅速關掉頁面。確認域名沒有輸入錯誤的情況下，如果情況依舊，要立刻聯系站點所有者。
使用廣告屏蔽軟件：彈窗廣告（也叫廣告軟件攻擊）可被用于竊取個人信息，因此你還可以使用廣告屏蔽類軟件。對個人用戶來說，中間人攻擊其實是很難防范的，因為它被設計出來的時候，就是為了讓受害者始終蒙在鼓里，意識不到任何異常。有一款不錯的開源廣告屏蔽軟件叫 uBlock origin 。可以同時支持 Firefox 和 Chromium（以及所有基于 Chromium 的瀏覽器，例如 Chrome、Brave、Vivaldi、Edge 等），甚至還支持 Safari。