Cách tin tặc sử dụng MAC Spoofing và cách ngăn chặn nó

An ninh mạng là một trong những mối quan tâm lớn nhất của Thế kỷ 21. Tất cả là nhờ vào sự phổ biến và tiện ích của Internet. Hầu hết thế giới hiện nay đều được kết nối thông qua phương tiện này. Điều này có nghĩa là mọi người có thể gặp gỡ, làm việc, cộng tác và thực hiện các hoạt động giải trí xuyên biên giới quốc gia của họ ngay tại nhà.

Sự kết nối gia tăng này đi kèm với nhiều rủi ro. Tin tặc muốn khai thác mọi điểm yếu để đánh cắp các thông tin liên lạc quan trọng và truy cập vào dữ liệu nhạy cảm. Dữ liệu này có thể là mật khẩu, thông tin đăng nhập, thông tin ngân hàng và nhiều hơn nữa. Tin tặc có thể sử dụng dữ liệu này để đánh cắp danh tính và gian lận. 

MAC spoofing là một trong những cách tinh vi nhất để đánh cắp thông tin liên lạc trên Internet. Về cơ bản, việc giả mạo MAC cho phép tin tặc giả mạo danh tính của người khác và chặn thông tin liên lạc.

Chúng ta hãy xem xét chi tiết về việc giả mạo MAC, cách sử dụng và cách bạn có thể tự bảo vệ mình khỏi nó.

Địa chỉ MAC là gì?

Để hiểu về việc giả mạo địa chỉ MAC, rõ ràng là bạn cần biết địa chỉ MAC là gì. Vì vậy, đây là một lời giải thích đơn giản.

Tất cả các thiết bị có thể kết nối với internet đều có một phần cứng đặc biệt gọi là NIC (Thẻ giao diện mạng). NIC có tất cả các giao thức và cổng phần cứng cho phép thiết bị kết nối với mạng.

Mỗi NIC có một Địa chỉ MAC. Địa chỉ MAC là số thập lục phân gồm 12 chữ số. Nó có thể trông như thế này:

4a:5b:7c:8d:9f:2e

Địa chỉ MAC này là duy nhất đối với mỗi NIC và được mã hóa ở cấp độ phần cứng. Do đó, không thể thay đổi trừ khi bạn thay đổi hoàn toàn NIC.

Địa chỉ MAC được sử dụng để xác định một thiết bị trong mạng, do đó mọi thông tin liên lạc dành cho thiết bị đó đều có thể được chuyển hướng đến thiết bị đó. Địa chỉ MAC chủ yếu là riêng tư và chỉ được sử dụng trong các mạng nội bộ. Chúng không được công khai trên internet.

Tuy nhiên, có nhiều cách để tìm hiểu địa chỉ MAC của một thiết bị nếu bạn có quyền truy cập phù hợp và hiểu biết kỹ thuật.

MAC Spoofing là gì?

MAC spoofing là hành động thay đổi cách địa chỉ MAC của thiết bị của bạn xuất hiện trên mạng. Địa chỉ MAC thực vẫn giống nhau, nhưng bạn truyền dữ liệu sai đến mạng.

Theo cách này, danh tính thiết bị của bạn sẽ được ẩn đi và bạn có thể giả mạo danh tính của một thiết bị khác. Đây là tiền đề cơ bản của MAC spoofing.

MAC spoofing có cả mục đích sử dụng hợp pháp và bất hợp pháp. Hiểu rằng việc giả mạo địa chỉ MAC không phải là bất hợp pháp, nhưng việc sử dụng địa chỉ giả mạo để tấn công thì lại là bất hợp pháp.

Tin tặc sử dụng MAC Spoofing như thế nào?

Vậy, những kẻ xấu sử dụng MAC Spoofing như thế nào? Để tin tặc sử dụng MAC Spoofing, chúng cần truy cập vào mạng của bạn. Vì vậy, nếu bạn lo lắng về một cuộc tấn công giả mạo MAC, bạn cũng cần xem xét lại bảo mật mạng của mình. 

Bây giờ, hãy cùng xem tin tặc sử dụng MAC Spoofing như thế nào.

• Bỏ qua bảo mật

Nhiều mạng áp dụng các quy định bảo mật để hạn chế truy cập trái phép vào chúng. Một trong những cách hữu ích hơn để áp đặt giới hạn như vậy là sử dụng lọc địa chỉ MAC.

Lọc địa chỉ MAC là một kỹ thuật mà quản trị viên mạng cung cấp danh sách trắng các địa chỉ MAC cho mạng và chỉ những địa chỉ trong danh sách đó mới được phép kết nối với mạng đó. Bất kỳ thiết bị nào có địa chỉ MAC khác sẽ bị từ chối và không được phép kết nối.

Điểm truy cập (bộ định tuyến cho phép các thiết bị khác kết nối) của mạng luôn kiểm tra địa chỉ MAC của bất kỳ thiết bị nào cố gắng kết nối với nó. Nó có thể làm như vậy vì, trong mạng hiện đại, tất cả các thiết bị đều hiển thị địa chỉ MAC của chúng cho điểm truy cập khi cố gắng kết nối. 

Theo cách này, điểm truy cập có thể thực thi lọc địa chỉ MAC. 

Bây giờ, nếu tin tặc biết bất kỳ địa chỉ MAC nào trong danh sách trắng, nó có thể giả mạo địa chỉ MAC của chính mình và sử dụng nó để bỏ qua quá trình lọc. Kết quả là, tin tặc có thể truy cập vào mạng. Từ đó, chúng có thể thực hiện một số hành động có hại, chẳng hạn như đánh cắp dữ liệu hoặc cài virus.

• Thực hiện các cuộc tấn công trung gian

Một cuộc tấn công trung gian (MITM) là một loại tấn công mạng trong đó một tác nhân xấu chen vào giữa hai thiết bị liên lạc. Nó chặn mọi liên lạc hợp pháp và có thể can thiệp vào theo nhiều cách khác nhau.

Việc giả mạo MAC có thể cho phép một tác nhân xấu chặn liên lạc dành cho một thiết bị khác bằng cách giả mạo địa chỉ MAC của thiết bị đó. Theo cách này, nó có thể chặn dữ liệu và thông tin nhạy cảm và chuyển các tin nhắn giả mạo đến người nhận thực sự.

Trong một mạng lớn, một cuộc xâm nhập như vậy có thể không bị phát hiện trong một thời gian dài. 

• Tránh theo dõi 

Nhiều tin tặc sẽ giả mạo địa chỉ MAC và IP của chúng trước khi tấn công mạng. Đó là vì cả hai địa chỉ này đều có thể được sử dụng để xác định một thiết bị cụ thể. Thiết bị đó có thể được theo dõi đến người thực sự đứng sau cuộc tấn công. 

Tin tặc thường sử dụng MAC và IP giả mạo như một phương tiện để ẩn danh tính của chúng để chúng có thể thực hiện các hoạt động bất chính mà không sợ hãi.

Các kỹ thuật được sử dụng trong MAC Spoofing?

MAC spoofing không phải là một kỹ thuật duy nhất. Đó là một khái niệm và nó có thể được thực hiện theo nhiều cách. Biết các phương pháp này là rất quan trọng để ngăn chặn chúng; sau cùng, làm sao bạn có thể chống lại những gì bạn không biết?

Vì vậy, đây là thông tin chi tiết về các kỹ thuật MAC spoofing chính.

Sử dụng các công cụ hệ điều hành 

Các hệ điều hành như Windows và Linux có các công cụ tích hợp cho phép bạn thay đổi địa chỉ MAC của mình ở cấp độ phần mềm. Bạn có thể sử dụng các công cụ này để nhập thủ công địa chỉ MAC mới và che giấu địa chỉ MAC thực của bạn.

Trong Linux, bạn có thể thực hiện việc này bằng lệnh terminal, trong khi trong Windows, bạn sẽ cần Command Prompt. Phương pháp này là thủ công và không tự động thay đổi địa chỉ MAC. Vì vậy, nếu bạn muốn xoay vòng địa chỉ MAC của mình, bạn sẽ phải thực hiện thủ công mỗi lần.

Với các công cụ chuyên dụng

Cả Windows và Linux đều có một loạt các công cụ có thể thay đổi địa chỉ MAC của thiết bị của bạn.

Đối với Linux, một trong những tùy chọn phổ biến là Macchanger. Nó có nhiều tính năng, chẳng hạn như ngẫu nhiên hóa địa chỉ MAC của bạn, tự động thay đổi địa chỉ và thiết lập các địa chỉ MAC khác nhau cho các mạng khác nhau.

Trên Windows, bạn có thể thực hiện nhiều thao tác tương tự bằng các công cụ như TMAC và SMAC. 

Sử dụng tập lệnh tự động hóa

Đây có lẽ là phương pháp giả mạo MAC độc hại được sử dụng phổ biến nhất. 

Tin tặc có thể tạo các tập lệnh sử dụng một trong các phương pháp đã đề cập trước đó, chẳng hạn như lệnh và công cụ Terminal, để tự động xoay vòng địa chỉ MAC.

Phương pháp này không dễ dàng áp dụng cho người dùng thông thường chỉ muốn ngăn chặn theo dõi và tăng cường quyền riêng tư. Đó là vì cần có một số kiến ​​thức lập trình để tạo tập lệnh.

Những Kỹ thuật này được Sử dụng như thế nào trong các vụ Hack?

Một hacker có thể sử dụng bất kỳ kỹ thuật giả mạo MAC nào đã đề cập ở trên để thực hiện những việc sau.

Sao chép Địa chỉ MAC

Bằng cách sao chép địa chỉ MAC của một thiết bị khác trên mạng, hacker có thể nhận được lưu lượng dành cho thiết bị gốc. Hacker thường cố gắng sao chép một thiết bị có cấu hình cao sẽ nhận dữ liệu nhạy cảm để họ có thể sử dụng theo những cách phi đạo đức.

Chiếm đoạt Phiên

Chiếm đoạt Phiên là một kỹ thuật mà hacker đánh hơi các gói tin để tìm mã thông báo phiên. Mã thông báo phiên được sử dụng để bỏ qua nhu cầu xác thực nhiều lần. Với mã thông báo phiên, hacker có thể mở lại bất kỳ phiên nào của thiết bị mục tiêu mà nạn nhân không biết.

Hacker có thể thực hiện việc này bằng cách sao chép địa chỉ MAC của một thiết bị, chẳng hạn như bộ chuyển mạch mạng hoặc bộ định tuyến. Điều này có nghĩa là thiết bị của tin tặc có thể đóng vai trò là bộ định tuyến hoặc bộ chuyển mạch trong mạng mục tiêu và do đó trở thành một cái sàng mà tất cả dữ liệu mạng đều chảy qua.

Điều này cho phép chúng đánh hơi các gói tin, chiếm đoạt mã thông báo phiên để bỏ qua các lần kiểm tra xác thực và thực hiện các hành vi bất chính khác.

ARP Spoofing

Trong hầu hết các mạng, có một Giao thức phân giải địa chỉ (ARP) ánh xạ địa chỉ IP thành địa chỉ MAC. Về cơ bản, giao thức sẽ yêu cầu toàn bộ mạng xem địa chỉ MAC nào có IP sau.

Một cuộc tấn công ARP spoofing sử dụng MAC giả mạo để lấy IP được gán cho thiết bị của tin tặc và truy cập vào mạng.

Làm thế nào để phát hiện và ngăn chặn các cuộc tấn công MAC Spoofing?

Có thể ngăn chặn MAC spoofing bằng cách triển khai một số biện pháp bảo mật. Hãy thảo luận một số trong số chúng.

• Đào tạo nhân viên để nhận biết và tránh kỹ thuật xã hội

Việc giả mạo MAC có vẻ như là một cách chắc chắn để xâm nhập vào bất kỳ mạng nào, nhưng thực tế không phải vậy. Việc giả mạo MAC thực sự chỉ khả thi khi mạng đã bị xâm nhập đủ.

Điều này là do địa chỉ MAC không được phát hoặc sử dụng bên ngoài một intemạng lưới. Một hacker cần phải có phương tiện và kết nối đáng kể để xâm nhập vào mạng. Bao gồm:

• Trộm danh sách trắng để biết IP và MAC nào được hệ thống lọc cho phép
• Lấy thông tin từ nhân viên bằng chiến thuật kỹ thuật xã hội. 
• Những cách phi kỹ thuật khác để lấy thông tin được phân loại bao gồm khai thác hành vi bất cẩn và các hoạt động không an toàn.

Tất cả những điều này có thể được ngăn chặn nếu bạn chỉ cần đào tạo nhân viên của mình cảnh giác và nhận ra các nỗ lực của tin tặc nhằm đánh cắp thông tin thông qua họ hoặc hệ thống của họ.

Đây là cách bạn có thể thực hiện điều đó.

• Cung cấp ít nhất hai lớp học/hội thảo về kỹ thuật xã hội.
• Đảm bảo nhân viên của bạn tuân thủ các biện pháp bảo mật tốt nhất, chẳng hạn như không mở các liên kết và email không xác định và giữ hệ thống của họ bị khóa khi không sử dụng.
• Đào tạo nhân viên không thảo luận về thông tin nhạy cảm qua điện thoại, qua tin nhắn SMS/trò chuyện hoặc các phương tiện truyền thông khác phương pháp.
• Đào tạo nhân viên nhận ra khi họ đang bị kỹ thuật xã hội để tiết lộ thông tin.
• Dạy nhân viên không được chia sẻ bất kỳ điều gì về công việc của họ với người ngoài, ngay cả những chi tiết tầm thường trong cuộc sống hàng ngày của họ tại văn phòng.

Bằng cách này, bạn khiến tin tặc khó có thể lấy được thông tin cần thiết và truy cập để sử dụng giả mạo MAC.

• Thiết lập Hệ thống phát hiện xâm nhập (IDS)

IDS là một loại phần mềm giám sát có thể xác định các bất thường trong mạng và phát hiện khi có sự xâm nhập xảy ra. 

IDS có thể phát hiện giả mạo MAC bằng cách giám sát các bất thường như sau.

• Nhiều địa chỉ IP cho một địa chỉ MAC
• Theo dõi bảng ARP để xem một thiết bị (địa chỉ MAC) có đột nhiên khởi động không tự nhận là người khác.
• Kiểm tra dấu vân tay như phiên bản trình duyệt, hệ điều hành, lưu lượng truy cập, giao thức, v.v. để xác định địa chỉ MAC đã sao chép. 
• Theo dõi xem địa chỉ MAC có đột nhiên chuyển cổng hay không. Điều này xảy ra khi đang diễn ra tình trạng giả mạo MAC. 

IDS có thể báo động và thực hiện một số biện pháp bảo mật khẩn cấp, do đó, việc có một IDS để bảo vệ mạng của bạn là điều vô cùng cần thiết.

• Thiết lập mã hóa mạnh

Có thể dễ dàng vô hiệu hóa tình trạng giả mạo MAC nếu bạn sử dụng các kỹ thuật mã hóa mạnh. Mã hóa khóa riêng có thể giúp bạn ngăn ngừa thiệt hại do tình trạng giả mạo MAC gây ra.

Điều xảy ra trong mã hóa khóa riêng là tất cả các thông tin liên lạc trong mạng đều được mã hóa. Nếu ai đó xem tin nhắn được mã hóa, họ sẽ chỉ thấy thông tin vô nghĩa.

Người nhận hợp pháp có khóa riêng cần thiết để giải mã tin nhắn và trả về dạng hợp lý. 

Tin tặc sẽ không có khóa này (nếu tất cả các biện pháp bảo mật khác của bạn đều đạt yêu cầu). Điều này có nghĩa là ngay cả khi chúng chặn lưu lượng truy cập thông qua giả mạo MAC, chúng cũng không thể hiểu hoặc sử dụng dữ liệu do mã hóa.

Tuy nhiên, điều này chỉ hiệu quả nếu mã hóa mạnh. Các phương pháp mã hóa yếu có thể bị phá vỡ bằng cách tấn công brute force, do đó khiến chúng trở nên vô dụng.

• Thực thi Chính sách Zero Trust thông qua NAC

NAC là viết tắt của network access control. Đây là giải pháp bảo mật kiểm soát ai được phép truy cập vào mạng và mức độ được phép truy cập.

Ví dụ: quản trị viên mạng có thể có quyền truy cập không hạn chế, nhân viên có thể truy cập vào tài nguyên của công ty, trong khi khách truy cập chỉ có quyền truy cập cơ bản.

Bạn có thể ủy thác chính sách không tin cậy thông qua NAC để không cho phép tất cả các thiết bị đáng ngờ kết nối với mạng. Trong chính sách không tin cậy, tất cả các thiết bị kết nối với mạng phải trải qua quá trình xác minh chuyên sâu trước khi được phép truy cập.

Điều này bao gồm thực hiện các việc như:

• Kiểm tra danh tính bằng thông tin đăng nhập hoặc chứng chỉ. Nếu tin tặc không có những thông tin này, chúng sẽ không thể truy cập vào mạng.

• Tra cứu địa chỉ MAC để kiểm tra nhà cung cấp và loại thiết bị của kết nối. Địa chỉ MAC giả mạo thường sẽ có sự khác biệt giữa loại thiết bị được hiển thị trong tra cứu OUI và loại thiết bị được quảng cáo trên mạng.
• Các kiểm tra tuân thủ khác bao gồm kiểm tra phần mềm diệt vi-rút đã cài đặt, cài đặt tường lửa, bảo vệ điểm cuối và mã hóa. Nếu bất kỳ điều nào trong số những điều này không theo danh sách tuân thủ NAC, thiết bị sẽ bị từ chối nhập vào mạng.

NAC sử dụng nhiều phương pháp khác nhau để xác nhận nghi ngờ của mình và cấm các thiết bị nhập vào mạng. Mục đích của việc này là nếu một thiết bị đáng ngờ không bao giờ vào được mạng của bạn, sẽ không có cơ hội nào cho việc giả mạo MAC. 

Kết luận

Vậy là bạn đã biết, giả mạo địa chỉ MAC và cách tin tặc có thể sử dụng nó. Giả mạo địa chỉ MAC là một cuộc tấn công mạng thường xảy ra trong giai đoạn trung gian hoặcgiai đoạn nâng cao của một vụ hack đang diễn ra nhưng ẩn. Việc giả mạo MAC được sử dụng để đánh cắp dữ liệu nhạy cảm và để kiếm lợi bất hợp pháp.

Có rất nhiều cách để xử lý việc giả mạo MAC và hầu hết trong số chúng tương đương với việc tăng cường bảo mật mạng của bạn. Tuy nhiên, bạn cũng nên đào tạo nhân viên của mình không vô tình làm rò rỉ thông tin cho các chiến thuật kỹ thuật xã hội mà tin tặc sử dụng. 

Câu hỏi thường gặp

Có thể theo dõi địa chỉ MAC không?

Bản thân địa chỉ MAC không thể theo dõi qua internet vì nó là mã định danh phần cứng chỉ được sử dụng trong các mạng cục bộ. Khi dữ liệu rời khỏi mạng cục bộ của bạn và di chuyển qua internet, địa chỉ MAC của bạn sẽ không còn hiển thị nữa — chỉ địa chỉ IP của bạn được sử dụng để định tuyến.

Tuy nhiên, trong mạng cục bộ, quản trị viên mạng hoặc công cụ bảo mật có thể ghi nhật ký và theo dõi các thiết bị bằng địa chỉ MAC của chúng.

Liệu MAC Spoofing có phải là bất hợp pháp không?

MAC spoofing — hành vi thay đổi hoặc làm giả địa chỉ MAC của thiết bị — về bản chất không phải là bất hợp pháp. Trong nhiều trường hợp, người dùng giả mạo địa chỉ MAC của họ vì mục đích riêng tư hoặc thử nghiệm. Tuy nhiên, sử dụng MAC spoofing để bỏ qua các hạn chế mạng, mạo danh các thiết bị khác hoặc thực hiện hành vi gian lận có thể bị coi là bất hợp pháp, tùy thuộc vào luật pháp của khu vực bạn.

MAC Spoofing có thể hoạt động qua WiFi không?

Có, MAC spoofing có thể hoạt động qua mạng WiFi. Khi một thiết bị kết nối với mạng không dây, địa chỉ MAC là một phần dữ liệu nhận dạng thiết bị với bộ định tuyến. 

Nếu bạn giả mạo địa chỉ MAC trước khi kết nối, bộ định tuyến và bất kỳ thiết bị mạng nào khác sẽ thấy địa chỉ giả thay vì địa chỉ thật

Làm sao để biết ai đó đang giả mạo địa chỉ MAC của tôi?

Phát hiện giả mạo địa chỉ MAC có thể rất khó khăn, nhưng có những dấu hiệu bạn có thể theo dõi. Nếu mạng của bạn gặp phải xung đột thiết bị, ngắt kết nối bất ngờ hoặc bạn nhận thấy địa chỉ MAC trùng lặp trong nhật ký bộ định tuyến hoặc công cụ giám sát mạng, điều đó có thể cho thấy ai đó đang giả mạo địa chỉ MAC của bạn. Quản trị viên mạng thường sử dụng phần mềm giám sát chuyên dụng để phát hiện và giải quyết những vấn đề này.