Você já tinha ouvido falar sobre ataques man-in-the-middle? Trata-se de uma modalidade de ameaça virtual em que os criminosos agem como um intermediário entre a vítima e uma outra entidade envolvida (como sites de banco, contas de e-mail ou mesmo outros usuários).
Por essa razão, como o nome sugere, os hackers atuam como invasores ou “homens no meio” de uma determinada transação ou ação online. Com a interferência, o objetivo normalmente é roubar dados, mas outros interesses podem entrar em cena.
Saiba mais sobre esse tipo de crime cibernético e como se prevenir!
O que é ataque man-in-the-middle?
Em uma interação segura, as duas partes se comunicam sem nenhum tipo de intervenção de terceiros, certo? Como mencionamos, o man-in-the-middle é uma forma de ciberataque em que essa intervenção acontece, sendo que o criminoso faz uso de técnicas para participar da comunicação e interceptar os dados.
É interessante destacar, aqui, que o invasor pode tanto interferir de maneira passiva (bloqueando, alterando ou roubando informações sem que a vítima perceba) ou de forma ativa, modificando o conteúdo das mensagens ou se passando pela pessoa ou sistema envolvido na comunicação.
Geralmente, o objetivo de um ataque man-in-the-middle é roubar os dados das vítimas (como credenciais de login ou informações pessoais), mas os criminosos também podem agir para sabotar comunicações, espionar grupos ou corromper dados.
Uma das manifestações mais comuns desse cibercrime é interceptar a interação entre um usuário e seu banco online. Com isso, os invasores buscam deter informações confidenciais e obter lucros financeiros.
Leia Mais: Riscos de segurança da informação: quais são os principais e como combatê-los?
Man-in-the-middle: tipos e técnicas
Aqui vai um pouco de história: o man-in-the-middle é uma das modalidades mais antigas de ameaça cibernética. De fato, os especialistas vêm tentando prevenir estratégias de intercepção e bisbilhotagem de dados desde o início dos anos 1980.
Nesse sentido, um dos maiores desafios apresentados por esse tipo de ameaça é justamente a sua dificuldade de detecção. A depender do alvo e do objetivo dos cibercriminosos, uma ampla gama de táticas de ataque pode ser utilizada.
Confira alguma das técnicas mais aplicadas:
DNS cache poisoning
Aqui, o invasor fornece uma entrada DNS falsa que direciona para um website malicioso – o portal pode se assemelhar ao Google, por exemplo. A partir daí, o hacker consegue roubar quaisquer dados que o usuário informar ao site, como credenciais de login e senha, por exemplo.
WiFi Eavesdropping
Nessa tática, os criminosos atuam por meio de redes públicas não seguras de WiFi ou mesmo criam redes de WiFi com nomes comuns – com isso, levam as pessoas a se conectarem e roubam suas informações (a exemplo de credenciais e números de cartão de crédito).
ARP Cache Poisoning
Em primeiro lugar, vale lembrar que o ARP (Protocolo de Resolução de Endereços, na tradução) é um processo utilizado para converter endereços físicos em endereços de IP na rede local.
Esta técnica de man-in-the-middle, assim, insere informações falsas no ARP e induz o computador da vítima a considerar que o computador do hacker é o próprio network gateway.
Com isso, o criminoso consegue ter acesso a todo o tráfego de rede da vítima, sem que esta perceba qualquer anormalidade.
Session hijacking (sequestro de sessão)
Nesse tipo de ataque man-in-the-middle, o invasor rouba o cookie da sessão de navegação da vítima quando ela está logando em uma página da web (como e-mail ou conta bancária).
Com o roubo, os hackers conseguem se logar nessas mesmas contas a partir dos seus próprios browsers, realizando todas as transações que desejarem.
Falsificação de HTTPS (HTTPS spoofing)
O “s” de HTTPS é um dos meios para se saber que um website é de fato seguro. O problema é que os hackers se aproveitam dessa noção para criar sites que parecem legítimos e aparentam ter até certificados de autenticação – mas a URL é ligeiramente diferente e pode entregar a farsa.
Infelizmente, no entanto, muitas vítimas desavisadas caem na armadilha.
Saiba Mais: Política de segurança da informação: como elaborar e implementar
Variante do ataque: e o man-in-the-browser?
Quando o assunto é o ataque man-in-the-middle, é importante destacar também seu variante man-in-the-browser.
Nessa forma de ameaça, os criminosos usam táticas mais complexas e instalam um malware ou código malicioso no browser das vítimas. À medida em que os usuários navegam pela internet, o malware vai registrando as informações que são enviadas aos sites.
Vale acrescentar duas facilidades que tornam a variação man-in-the-browser bastante popular:
1. Esse ataque pode atingir milhares de vítimas simultaneamente;
2. Os criminosos podem atuar de outros países, o que os torna menos vulneráveis à legislação local.
Como identificar um ataque man-in-the-middle?
Embora muitas dessas ameaças sejam de difícil detecção, é possível lançar mão de algumas dicas valiosas para identificar o problema. Nesse sentido, fique atento aos seguintes possíveis sinais de ataque man-in-the-middle:
- conexões de rede a locais estranhos/atípicos;
- URLs com caracteres estranhos, que podem estar omitindo um ataque do tipo session hijacking;
- desconexões que acontecem repetidamente ou de forma inesperada, o que pode indicar a ação de hackers;
- conexões a redes públicas ou não seguras de WiFi.
Como se prevenir: melhores práticas de proteção
Como sempre, agir preventivamente é muito melhor do que remediar (e também mais simples). Fique de olho nas dicas para prevenir ataques man-in-the-middle:
- Nunca se conecte a redes públicas ou não seguras de WiFi. O ideal é usar apenas roteadores que contam com segurança WPA2;
- Aposte em criptografia para proteger chats, e-mails e aplicações de videoconferência (como Zoom e Microsoft Teams);
- Mantenha todos os sistemas atualizados, com os devidos ajustes de patches;
- Use uma VPN (Rede Privada Virtual) para criptografar o tráfego entre endpoints e o servidor de VPN (na rede corporativa ou na internet). Se o tráfego estiver criptografado, o ataque de man-in-the-middle tem mais dificuldade de roubá-lo ou modificá-lo;
- Aplique a autenticação multifator sempre que for possível;
- Monitore as atividades da rede para identificar possíveis comprometimentos ou comportamento anormal de uso;
- Aplique DNS sobre HTTPS, uma tecnologia inovadora que criptografa as solicitações DNS e protege contra a técnica de hijacking;
- Acesse somente as conexões seguras, ou seja, HTTPS. Para garantir esse cuidado, uma dica é implementar um plugin de browser;
- Para evitar a reutilização de senhas e fortalecer a proteção, adote um gerenciador de senhas;
- A variante man-in-the-browser exige a adoção de uma boa ferramenta anti-malware, que também é eficaz contra uma imensa variedade de ameaças cibernéticas.
E então, gostou do conteúdo? Ficar por dentro das principais ameaças cibernéticas e das melhores práticas de segurança é essencial para proteger dados corporativos, estratégicos e sigilosos.
Esperamos que tenha esclarecido suas dúvidas sobre a ação dos ataques man-in-the-middle. Clique aqui para conhecer os recursos do Acronis Cyber Protection e conte com uma das melhores ferramentas anti-malware do mercado mundial!
Créditos da imagem de destaque: freepik
