何謂中間人攻擊（MITM）？

中間人攻擊（MITM，Man-in-the-Middle）是一種網路攻擊手法，駭客在通訊雙方之間秘密攔截或篡改資料，而雙方並不知情。這種攻擊通常發生在使用公共 Wi-Fi、企業內部未加密網路或加密配置不當時，攻擊者可利用技術漏洞、憑證錯誤或社交工程等方式竊取用戶資料。受害者以為自己與網站或服務安全通訊，實則通訊內容已遭駭客攔截、讀取甚至竄改，進一步導致帳密洩漏、身分被盜、金融詐騙等問題。

常見的中間人攻擊手法

1. 無線網路偽冒（Evil Twin）：攻擊者建立名稱與合法 Wi-Fi 相似的假熱點，誘導用戶連線，進而攔截傳輸資料。
2. ARP 欺騙：駭客透過回應虛假 MAC 位址，將區域網路中的資料流轉向自己的設備上，造成資料竊取。
3. DNS Spoofing：透過偽造的 DNS 回應讓使用者前往假網站，造成敏感資訊外洩。
4. SSL Strip 與加密降級：攻擊者將 HTTPS 降為 HTTP，讓資料傳輸暴露於未加密的狀態下。
5. MitB（Browser-based MITM）：透過惡意瀏覽器擴充或惡意腳本，在使用者端直接竊取或竄改交易資訊。
6. MitMo（Mobile-based MITM）：用於攔截簡訊驗證碼、OTP 或通知，用於繞過多因素認證。

MITM 攻擊風險與潛在影響

中間人攻擊對個人與企業皆可能造成嚴重損害。對個人而言，可能導致帳戶被盜、財務損失、個資外洩；對企業而言，攻擊者可能竊取內部資料、客戶資料、憑證、API 金鑰、商業機密，甚至藉此作為滲透企業網路的跳板，進行橫向移動與更大規模的攻擊。此外，若通訊過程被竄改，也可能導致服務異常或業務中斷，造成品牌信譽與合規風險。

企業與個人應如何防範？

1. 全站 HTTPS + HSTS：網站應全面強制使用 HTTPS，加上 HTTP Strict Transport Security（HSTS），避免通訊被降級。
2. 憑證釘選與驗證：在應用程式端實作憑證釘選，防止駭客利用偽造憑證偽裝伺服器。
3. DNS 安全強化：使用 DNSSEC、DNS over HTTPS（DoH）或 DNS over TLS（DoT）來驗證回應來源的真實性。
4. 使用 VPN：在公共 Wi-Fi 或未受信網路中使用可信賴 VPN 工具，加密全部流量。
5. 多因素認證（MFA）：即便憑證外洩，也可透過動態密碼、指紋辨識等額外驗證機制降低風險。
6. 憑證管理：定期更新與撤銷未使用的 SSL 憑證，避免失效或遭竄改。
7. 手機與瀏覽器安全：禁止安裝未知來源應用與瀏覽器擴充，並定期檢查裝置行為異常。

監控與偵測建議

1. 企業應部署入侵偵測系統（IDS）與入侵防禦系統（IPS），即時監控網路流量是否出現異常 TLS 握手或憑證不一致等異常行為。
2. 進一步可使用端點偵測與回應（EDR）工具偵測 ARP spoofing 或中間人工具如 mitmproxy、Bettercap、Ettercap 等行為。
3. 也可導入行為分析機制（UEBA）與外部資安攻擊面管理工具（EASM），找出錯誤配置、公開 API、非授權憑證使用情形。
4. 針對網頁或應用開發流程，應納入靜態分析（SAST）與動態分析（DAST）技術，檢查傳輸層安全配置。

使用者教育與政策管理

企業應對全體員工定期進行中間人攻擊辨識訓練，包含識別偽 Wi-Fi、憑證警告、異常網站導向等情境。管理層則應制定安全上網政策，強制使用 VPN、多因素認證與限制裝置安裝擴充功能權限，降低用戶端成為攻擊點的機會。
同時應建立事故通報流程，一旦發現疑似中間人攻擊跡象，能在最短時間內隔離問題並調查事發原因。

結語與總體建議

MITM 攻擊的隱蔽性與靈活性，對現代數位通訊構成極大威脅。無論是個人用戶、遠端工作者或企業系統管理者，都需從網路連線、應用開發、設備使用到員工訓練等各層面同步提升防禦力。建議組織建立多層次安全機制，整合加密、防護、監控與應變系統，並透過 AIOps 與資安自動化協助快速發現與反應。

資料來源：https://thehackernews.com/2025/08/man-in-middle-attack-prevention-guide.html