Ang isang pag-atake ng pag-atake, na kilala rin bilang isang pag-atake o pag-atake ng pag-atake, ay isang pag-uudyok kung saan sinubukan ng isang tao na magnakaw ng impormasyon na ipinapadala ng mga computer, smartphone, o iba pang mga aparato sa isang network. Ang isang pag-atake sa pag-atake ay tumatagal ng bentahe ng mga hindi secure na komunikasyon sa network upang ma-access ang data na ipinadala at natanggap. Ang mga pag-atake ng pag-atake ay mahirap makita dahil hindi sila nagdudulot ng paglabas ng network na tila hindi gumana.
Pagbabagsak na Pag-atake ng Eavesdropping
Ang mga pag-atake ng pag-atake ay nagsasangkot ng isang mahina na koneksyon sa pagitan ng client at server na nagpapahintulot sa attacker na magpadala ng trapiko sa network sa sarili nito. Maaaring mai-install ng mga attacker ang software sa pagsubaybay sa network (isang sniffer) sa isang computer o isang server upang magsagawa ng isang pag-atake ng pag-atake at pangharang ng data sa panahon ng paghahatid. Ang anumang aparato sa network sa pagitan ng transmiting aparato at ang aparato ng pagtanggap ay isang punto ng kahinaan, tulad ng kanilang mga paunang paunang at terminal na aparato. Alam kung anong mga aparato ang nakakonekta sa isang network at kung anong software ang naka-install sa mga aparatong ito ay isang paraan upang maprotektahan laban sa mga pag-atake ng pag-atake. Ang paggamit ng mga personal na firewall, na-update na antivirus software, at virtual pribadong network (VPN) - at pag-iwas sa mga pampublikong network, lalo na para sa mga sensitibong transaksyon - ay makakatulong upang maiwasan din ang pag-atake ng pag-atake.
Ang mga pampublikong Wi-Fi network ay isang madaling target para sa pag-atake ng pag-atake. Ang sinumang may madaling magagamit na password ay maaaring sumali sa network at gumamit ng libreng software upang masubaybayan ang aktibidad ng network at magnakaw ng mga kredensyal sa pag-login at mahalagang data na ipinapadala ng mga gumagamit sa network. Ito ay isang paraan na nakuha ng mga tao ang kanilang mga Facebook at email account na na-hack.
Kung minsan ay nililimitahan ng mga gumagamit ang kanilang pagkakalantad sa mga naturang pag-atake sa pamamagitan ng pagtiyak na ang kanilang mga telepono ay nagpapatakbo ng pinakabagong bersyon ng operating system. Gayunpaman, kung minsan, ang mga gumagamit ay walang access sa pinakabagong bersyon ng software dahil ang vendor ng telepono ay hindi agad na magagamit ito.
Mga halimbawa ng Eavesdropping Attacks
Noong Mayo 2011, ang karamihan sa mga smartphone sa Android ay mahina laban sa isang pag-atake ng pag-atake na kinasasangkutan ng mga token ng pagpapatunay na ipinadala sa mga hindi naka-encrypt na network ng Wi-Fi. Ang mga Eavesdroppers na gumagamit ng isang sniffing program na tinatawag na Wireshark ay maaaring tingnan, magnakaw, magbago, at magtanggal ng pribadong data sa kalendaryo, data ng contact, at data ng Picasa Web Album sa ganitong paraan. Maaaring baguhin ng mang-atake ang data ng contact ng isang biktima upang linlangin ang mga contact ng biktima sa pagpapadala ng sensitibong data sa nagsasalakay.
Ang HTTP ay hindi dapat gamitin upang maipadala ang mga sensitibong impormasyon tulad ng mga password o numero ng credit card dahil hindi ito naka-encrypt at samakatuwid ay mahina laban sa pag-atake; Ang pag-encrypt ng HTTPS o SSH (secure shell) ay dapat gamitin sa halip na mag-alok ng isang panukalang proteksyon laban sa mga pag-atake ng pag-atake. Gayunpaman, ang mga umaatake ay maaari pa ring i-decrypt ang mga naka-encrypt na komunikasyon upang makakuha ng access sa kumpidensyal na impormasyon. Noong Abril 2015, hindi bababa sa 25, 000 mga iOS app ay mahina laban sa pag-atake ng mga pag-atake dahil sa isang bug sa isang open-source code library na tinatawag na AFNetworking na maaaring mag-down sa encrypt ng HTTPS. Ang mang-aatake ay nangangailangan lamang ng isang wastong sertipiko upang maibulsa o baguhin ang isang naka-encrypt na SSL (ligtas na socket layer) na kinasasangkutan ng isa sa mga apektadong apps.
