O que é um ataque man-in-the-middle (MITM)?

O que é um ataque MITM?

Um ataque man-in-the-middle é um tipo de ciber ataque no qual um invasor escuta uma conversa entre dois alvos. O invasor pode tentar "escutar" uma conversa entre duas pessoas, dois sistemas ou uma pessoa e um sistema.

O objetivo de um ataque MITM é coletar dados pessoais, senhas ou dados bancários e/ou convencer a vítima a realizar uma ação, como alterar credenciais de login, concluir uma transação ou iniciar uma transferência de fundos.

Embora os ataques MITM visem indivíduos, eles são uma preocupação significativa para empresas e grandes organizações. Um ponto de acesso comum para os hackers é através de aplicações de Software como Serviço (SaaS), tais como serviços de mensagens, sistemas de armazenamento de arquivos ou aplicações de trabalho remoto. Os invasores podem usar essas aplicações como ponto de entrada para a rede mais ampla da organização, potencialmente comprometendo vários ativos, como dados de clientes, propriedade intelectual (PI) ou informações proprietárias sobre a organização e os funcionários dela.

Como funcionam os ataques man-in-the-middle?

Um ataque MITM é dividido em duas fases: interceptação e descriptografia.

Fase 1: Interceptação

Na fase de interceptação, os ciber criminosos ganham acesso a uma rede através de um roteador Wi-Fi aberto ou com segurança precária, e/ou manipulando servidores do Sistema de Nomes de Domínio (DNS). Os invasores então fazem uma varredura do roteador em busca de vulnerabilidades e possíveis pontos de entrada. Frequentemente, isso é feito explorando senhas fracas, mas os ciber criminosos também podem usar métodos mais avançados, como spoofing de IP ou envenenamento de cache.

Depois que um alvo é identificado, o invasor implementa ferramentas de captura de dados para acessar e coletar os dados transmitidos pela vítima, redirecionar o tráfego de forma estratégica ou manipular a experiência da Web do usuário.

Fase 2: Descriptografia

A segunda fase de um ataque MITM é a descriptografia. Nela, os dados roubados são decodificados e tornados inteligíveis para os ciber criminosos. Os dados descriptografados podem ser usados para qualquer número de propósitos nefastos, inclusive roubo de identidade, compras não autorizadas ou atividades bancárias fraudulentas. Em alguns casos, os ataques man-in-the-middle são realizados sem um propósito óbvio além de interromper as operações comerciais e gerar caos para as vítimas.

Técnicas de MITM

Os ciber criminosos usam uma grande variedade de métodos para realizar ataques MITM. Algumas técnicas comuns incluem:

• Imitar um protocolo de internet (IP) estabelecido para enganar os usuários a fornecer informações pessoais ou estimular ações desejadas, tais como iniciar uma transferência bancária ou alteração de senha
• Redirecionar um usuário de um destino conhecido para um website falso para desviar o tráfego e/ou coletar credenciais de login e outras informações pessoais
• Simular um ponto de acesso Wi-Fi para interceptar atividades da Web e coletar informações pessoais
• Criar certificados de camada de soquetes seguros (SSL) ilegítimos, que dão a aparência de uma conexão segura para os usuários, mesmo que a conexão tenha sido comprometida
• Redirecionar o tráfego para um website sem proteção, que coleta credenciais de login e informações pessoais
• Ouvir clandestinamente atividades da Web, incluindo e-mail, para coletar informações pessoais e informar atividades fraudulentas adicionais, como tentativas de phishing
• Roubar cookies do navegador que contêm informações pessoais

Exemplo de ataque man-in-the-middle

Um recente ataque MITM identificado pela CrowdStrike envolveu um módulo do Trickbot chamado shaDll. Este módulo instalava certificados SSL ilegítimos em computadores infectados, permitindo que a ferramenta tivesse acesso à rede do usuário. O módulo era então capaz de redirecionar a atividade da Web, injetar códigos maliciosos, capturar screenshots e coletar dados.

O que se destacou neste ataque foi a aparente colaboração entre duas organizações de ciber criminosos: LUNAR SPIDER e WIZARD SPIDER. O módulo usava o módulo proxy BokBot do LUNAR SPIDER como base e, em seguida, implementava o módulo TrickBot do WIZARD SPIDER para concluir o ataque. A provável colaboração entre esses dois adversários ressalta a crescente sofisticação dos ataques MITM e a exigência de redobrar a atenção e a conscientização.

Prevenção de ataques man-in-the-middle

As seguintes recomendações podem ajudar a proteger suas redes contra ataques MITM:

• Exija que os usuários da rede criem senhas robustas e as alterem regularmente
• Ative a autenticação multifatorial (MFA) em todos os ativos e aplicações da rede
• Desenvolva e implemente protocolos de criptografia fortes e confiáveis
• Equipe todos os ativos da rede com capacidades de rede privada virtual (VPN)
• Implemente uma solução abrangente de monitoramento e detecção de ameaças
• Divida sua rede para garantir que possíveis ataques sejam isolados
• Eduque os funcionários sobre os riscos associados ao uso de redes Wi-Fi públicas

Embora a instalação de capacidades de detecção de ataques man-in-the-middle possa não ser viável para usuários individuais, a adoção de práticas gerais de ciber segurança pode ajudar a impedir intrusões. Recomendamos as seguintes práticas para usuários individuais:

• Instalar software de segurança para detecção de malware
• Criar senhas fortes e alterá-las regularmente
• Habilitar capacidades de autenticação multifatorial (MFA)
• Evitar o uso de redes Wi-Fi abertas ou redes públicas com segurança inadequada
• Sempre navegar em websites seguros, verificando a presença do prefixo "https://" no URL