un hacker tasteaza la un computer cu linii de cod pe un ecran de monitor
leaderteam Broker, Leader Team Niciun comentariu

Ce este un atac Man-in-the-Middle (MiTM): riscul pe care companiile IT nu-si mai permit sa-l ignore

Un articol de:
Razvan Rusu Razvan Rusu - fondator Leader Team Broker

Dependența companiilor de infrastructura digitală e totală, iar atacurile Man-in-the-Middle reprezintă una dintre amenințările cele mai insidioase cu care se confruntă afacerile.

Pentru o companie IT sau o agenție de software, această vulnerabilitate nu e o simplă problemă tehnică – e o bombă cu ceas pentru reputație, pentru responsabilitate legală și pentru portofelul tău.

  • 🔐 Un atac MiTM reușit pe rețeaua clientului tău poate transforma compania ta în liable pentru fraude de milioane – chiar dacă tu nu ești direct responsabil, pe tine te vor căuta.
  • 📡 Fiecare client corporativ în contractul comercial o să ceara dovezi de securitate IT și politici în acest sens; dacă nu le ai, pierzi contracte înainte să le semnezi.
  • 💼 O singură breșă pe care o treci cu vederea în auditul de securitate poate duce la acțiuni legale de la clienți; costurile pot depăși profitul anual al firmei.
  • 🔑 Datele personale ale clienților interceptate înseamnă amenzi GDPR; vorbim de 4% din cifra de afaceri, minim 10.000 EUR, fără limită superioară.
  • 🛡️ O asigurare de răspundere profesională IT nu e o cheltuială; e o necesitate de business care protejează afacerea împotriva situațiilor pe care le-ai putea nu controla.

🔍 Cum funcționează atacul MiTM în practică?

📶 Scenariul clasic: cafeneaua, WiFi-ul public și atacatorul ascuns

Ești la cafea, conectezi telefonul sau laptopul la rețeaua WiFi gratuita. Totul pare normal. În realitate, atacatorul – poate cineva din colțul opus cu un laptop și niște instrumente gratuite descărcate de pe internet – poate vedea fiecare cerere de date pe care computerul tău o trimite. Dacă intri pe email, el vede. Dacă folosești datele de autentificare online la bancă, el vede asta și păstrează datele pe terminalul lui.

Mecanismul e destul de simplu pentru oricine are cunoștințele tehnice minime. Atacatorul intercepteaza comunicatiile prin ceea ce se numește „ARP spoofing” (o metoda prin care atrage către dispozitivul lui traficul destinat routerului). Apoi cere datele tale si le trimite mai departe la serverul real, creand iluzia ca totul e normal.

Compromiterea sesiunii prin ARP Spoofing într-un spațiu de co-working

Într-o rețea locală partajată, un atacator trimite pachete ARP (Address Resolution Protocol) false către routerul local și către laptopul unui dezvoltator software. Routerul este păcălit să creadă că identitatea IP a dezvoltatorului aparține atacatorului, iar laptopul dezvoltatorului asociază IP-ul routerului cu adresa MAC a atacatorului. Din acest moment, întregul trafic de date trece prin dispozitivul compromis, permițând citirea parolelor transmise în text clar.

🔐 Versiunea mai sofisticată a unui atac MiTM: adresă HTTPS falsă și certificatele mincinoase

Atacurile MiTM nu se opresc la rețeaua WiFi. Sunt variante mult mai sofisticate. Atacatorul poate să intercepteze conexiunea HTTPS (exact, cea verde cu lacătul care înseamnă sigur).

Pentru asta, el prezintă un certificat digital fals care practic spune browserului tău: ”Sunt Google / sunt banca ta, crede-mă!”. Browserele mai vechi sau persoanele care nu verifică atent certificatele digitale cad, de regulă, în plasa atacatorului.

Au fost cazuri în care atacatorii au injectat certificate false în dispozitivele corporate sau chiar au furat certificatele reale de la servere. Apoi, toți oamenii din rețeaua țintită aveau impresia că vorbesc cu entitatea reală, dar de fapt vorbeau cu atacatorul.

🎯 Scenariul care creează probleme reale pentru companii IT

💼 Tu dezvolți software, clientul tău e o banca

Compania ta a dezvoltat o aplicație de gestionare a conturilor pentru o instituție financiară. Aplicația e robust, testată, sigură. Dar atacatorul nu o atacă direct; o atacă pe rețeaua WiFi a sediului clientului. Se interpune între angajații băncii și serverele tale. Preia credențialele, vede tranzacții în timp real, poate chiar modifica date.

Acum – și asta e partea care te-ar trebui să te îngrijoreze – banca nu va spune: „Atacatorul a fost foarte inteligent!”. Banca va zice: „Compania IT care a dezvoltat sistemul nu a asigurat transmisie sigură a datelor. Nu a educat pe nimeni dintre angajații critici. Nu a oferit recomandări de securitate.”

Apoi, dacă în contract este o clauză standard de responsabilitate (care apare cam în 99% din contracte), tu ești răspunzător.

🏢 Companiile mari fac due diligence și cer asigurări

Orice companie serioasă, înainte să angajeze o firmă IT, va cere:

  • Dovezi de securitate și certificări;
  • Audit-uri de penetration testing;
  • Documentație de compliance;
  • Și o asigurare de răspundere profesională IT valabilă la nivel mondial.

Dacă nu ai asigurare de răspundere profesională IT&C , compania client nu te va angaja pur și simplu. E ca și cum ai vrea să cumperi o mașină iar vânzătorul nu are actele. Nu-ți vine să o cumperi, nu?

🚨 Consecințele unui atac MiTM asupra clienților tăi

📊 Calculul costurilor reale pentru o companie IT

Un atac MiTM în care sunt interceptate date sensibile ale clientului nu e doar o problemă de securitate. E o cascadă de costuri:

  • Recuperare și investigare: 50.000-200.000 EUR pentru investigații criminale digitale, consultanți de securitate, audit complet.
  • Notificări și comunicări legale: fiecare persoană fizică ale cărei date au fost compromise, trebuie notificată. Pentru o instituție financiară cu 100.000 de clienți, asta înseamnă corespondență legală masivă.
  • Amenzile GDPR: 4% din cifra de afaceri globală, fără limită inferioară. Pentru o companie cu 5 milioane EUR cifră de afaceri, asta ar însemna 200.000 EUR minim.
  • Daune civile: Clientul tău te va da cel mai probabil în judecată pentru pierderi directe și indirecte. Costurile legale și despăgubirile pot ajunge ușor la sume exorbitante.
  • Pierderea reputației și a altor contracte: După un incident public, alte companii vor fi reticente. Poate vei redobândi o parte din încredere, dar abia peste 2-3 ani și cu eforturi mari de PR.

🏛️ Responsabilitate legală și contractuală

Contractele cu companiile mari conțin clauze de responsabilitate privind securitatea IT. Dacă tu (ca firma IT) nu ai implementat standarde minime de securitate și an atac MiTM compromite datele, tu ești cel mai des în culpă.

Avocații corporativi sunt pregătiți să argumenteze că: „Firma  IT trebuia să implementeze encryption end-to-end, trebuia să educe clientul despre riscuri WiFi, trebuia să monitorizeze aplicația împotriva atacurilor, etc.”

🔐 De ce atacurile MiTM sunt deosebit de periculoase pentru industria IT

🎭 Atacatorul este invizibil

Spre deosebire de ransomware care-ți criptează sistemul și-ți cere bani pentru a recupera accesul, MiTM e tacit. Nimeni nu știe ca e acolo. Datele curg, parolele sunt capturate, și lucrurile par normal pana cand se întâmplă ceva grav – o fraudă mare, un transfer neautorizat de bani.

Pentru o companie IT care deservește clienți corporativi, asta înseamnă ca tu nu poți doar să spui: „Am instalat un firewall”. Trebuie să demonstrezi că ai monitorizat continuu, ca poți detecta comportament anormal, că ai un plan de răspuns la incidente.

🌐 Atacatorii sunt bine organizați și finanțați

Nu mai vorbim aici de hackeri adolescenți. Vorbim de grupuri organizate, uneori sprijinite de state, care au scopul de a accesa date corporative sensibile. Ei vizează companiile IT fix pentru că știu că acestea au acces la clienți bogați, unde merită efortul atacului.

🛡️ Ce trebuie sa facă o companie IT acum?

📋 Checklist de implementare a măsurilor de protecție

  • Monitoring și detecție: Un sistem care vede cand datele sunt accesate anormal. Asta nu e optional.
  • Educație a clientului: Fiecare client pe care îl iei, trebuie educat pe riscuri. WiFi public, phishing, inginerie sociala. Documentează programul și parcursul educativ.
  • Encryption end-to-end: Dacă se transmit date sensibile, fluxul informațional trebuie criptat de la capătul clientului până la tine.
  • Audit de securitate regulat: Cel puțin o dată pe an, un auditor extern ar trebui să verifice sistemele. Asta te protejează și pe tine și pe client.
  • Raportare incidente: Ar trebui să ai un plan clar când se întâmpla ceva, cine sună pe cine, cum comunici cu clientul, cum notifici autoritățile.

💼 Asigurarea: protecția de ultimă instanță

Dar niciuna din acțiunile de mai sus nu elimină riscul complet. Pentru asta există asigurarea de răspundere profesională IT atât pentru PFA-uri/microintreprindere, cât și pentru SRL-uri/SA-uri.

O poliță bună acoperă:

  • Costurile de investigare și recuperare după un atac;
  • Cheltuielile legale și despăgubirile către client;
  • Amenzile de compliance (inclusiv GDPR);
  • Costurile de notificare și comunicare.

Când gândești despre asigurare ca fiind doar o „cheltuială administrativă”, greșești. E o investiție în continuitatea afacerii. Dacă se întâmpla ceva, diferența dintre a avea asigurare și a nu o avea e diferența dintre a supraviețui incidentului sau a închide compania.

📊 Realitatea pieței și așteptările clienților

Companiile mari nu mai acceptă riscuri. Asta e deja clar. Dacă e o licitație pentru un contract major și tu nu ai asigurare Cyber și asigurare de răspundere profesională IT&C documentate, te poți considera deja eliminat din competiție. Pur și simplu nu vei intra în etapa de negociere.

Chiar și IMM-urile care au fost neglijente cu securitatea până relativ recent încep să realizeze că un atac de acest tip le poate distruge. Când vede o companie IT care-și ia toate măsurile de asigurare, acest lucru ar da încredere.

Atacurile Man-in-the-Middle nu sunt ceva din viitor sau scenarii SF. Sunt deja folosite împotriva clienților tăi și compania ta poate fi chiar următoare țintă. Singurele întrebări sunt: Când se întâmplă, vei fi pregătit? Vei avea protecția necesară? Vei apela la asigurare, la un consultant extern, la un plan de criză?

Răspunsul la aceste întrebări ar trebui să fie „da” înainte ca primul atac să se producă. Nu după.

Referințe:

  1. Kurose, J. F., Ross, K. (2021). Computer Networking: A Top-Down Approach, Global Edition. United Kingdom: Pearson Education.
  2. Stallings, W. (2022). Cryptography and Network Security: Principles and Practice. United Kingdom: Pearson.
  3. Speciner, M., Perlman, R., Kaufman, C. (2002). Network Security: Private Communications in a Public World. United Kingdom: Pearson Education.

Vezi asigurarile noastre:

Ce este un atac DDoS Înțelegerea și prevenirea atacurilor de tip denial of serviceCe este un atac DDoS? Intelegerea si prevenirea atacurilor de tip denial of service Ce acoperă o asigurare cyber în cazul unui atac cibernetic în 2026Ce acopera o asigurare cyber in cazul unui atac cibernetic in 2026? Situatii care au nevoie de protectie adecvata! Pentru masinile care nu circula, este obligatoriu RCA-ul? Ce este ransomware attackCe este ransomware attack?: Tot ce trebuie sa stii despre aceasta amenintare malitioasa care cripteaza datele Leader Team este primul broker de asigurari care a dezvoltat roboti pentru a eficientiza si simplifica munca angajatilor sai