Um ataque man-in-the-middle (MITM) é um tipo de ataque cibernético em que os atacantes interceptar uma conversa ou transferência de dados existente, seja por espionagem ou fingindo ser um participante legítimo. Para a vítima, parecerá que uma troca padrão de informações está em andamento – mas ao se inserir no “meio” da conversa ou da transferência de dados, o invasor pode sequestrar informações silenciosamente.
O objetivo de um ataque MITM é recuperar dados confidenciais, como detalhes de contas bancárias, cartões de crédito números ou credenciais de login, que podem ser usados para realizar outros crimes, como roubo de identidade ou transferências ilegais de fundos. Como os ataques MITM são executados em tempo real, eles geralmente passam despercebidos até que seja tarde demais.
As duas fases de um ataque man-in-the-middle
Um ataque MITM bem-sucedido envolve duas fases específicas: interceptação e descriptografia.
1. Interceptação
A interceptação envolve o invasor interferindo na rede legítima de uma vítima, interceptando-a com uma rede falsa antes que ela possa chegar ao destino pretendido. A fase de interceptação é essencialmente como o atacante se insere como o “homem no meio”. Os invasores costumam fazer isso criando um ponto de acesso Wi-Fi falso em um espaço público que não exige uma senha. Se uma vítima se conecta ao hotspot, o invasor obtém acesso a qualquer troca de dados online que realizar.
Uma vez que um invasor se insere com sucesso entre a vítima e o destino desejado, ele pode empregar uma variedade de de técnicas para continuar o ataque:
IP Spoofing:
-
- Todo dispositivo conectado por Wi-Fi tem um protocolo de internet (IP) que é central para a comunicação de computadores e dispositivos em rede. A falsificação de IP envolve um invasor alterando os pacotes IP para se passar pelo sistema de computador da vítima. Quando a vítima tenta acessar um URL conectado a esse sistema, ela é enviada inadvertidamente para o site do invasor.
ARP Spoofing:
-
- Com Protocolo de Resolução de Endereço (ARP) spoofing, o invasor usa mensagens ARP falsificadas para vincular seu endereço MAC ao endereço IP legítimo da vítima. Ao conectar seu endereço MAC a um endereço IP autêntico, o invasor obtém acesso a todos os dados enviados ao endereço IP do host.
-
- Falsificação de DNS:
-
-
- Servidor de Nomes de Domínio (DNS) A falsificação, também conhecida como envenenamento de cache DNS, envolve um invasor alterando um servidor DNS para redirecionar o tráfego da Web de uma vítima para um site fraudulento que se assemelha ao site pretendido. Se a vítima fizer login no que acredita ser sua conta, os invasores poderão obter acesso a dados pessoais e outras informações.
-
2. DescriptografiaUm ataque MITM não para na interceptação. Depois que o invasor obtém acesso aos dados criptografados da vítima, eles devem ser descriptografados para que o invasor possa lê-los e usá-los. Vários métodos podem ser usados para descriptografar os dados da vítima sem alertar o usuário ou o aplicativo:
Spoofing HTTPS:- O spoofing HTTPS é um método para enganar seu navegador a pensar que um determinado site é seguro e autêntico quando não é. Quando uma vítima tenta se conectar a um site seguro, um certificado falso é enviado ao navegador, o que a leva ao site malicioso do invasor. Isso dá ao invasor acesso a todos os dados que a vítima compartilha nesse site.
Sequestro de SSL:
-
- Sempre que você se conectar a um site não seguro, indicado por “HTTP” na URL, seu servidor o redirecionará automaticamente para o site seguro Versão HTTPS desse site. Com o sequestro de SSL, o invasor usa seu próprio computador e servidor para interceptar o redirecionamento, permitindo que ele interrompa qualquer informação passada entre o computador do usuário e o servidor. Isso lhes dá acesso a qualquer informação sensível que o usuário usa durante a sessão.
SSL Stripping:
-
- SSL stripping envolve o invasor interromper a conexão entre um usuário e um local na rede Internet. Isso é feito fazendo downgrade da conexão HTTPS segura de um usuário para uma versão HTTP não segura do site. Isso conecta o usuário ao site não seguro enquanto o invasor mantém uma conexão com o site seguro, tornando a atividade do usuário visível para o invasor de forma não criptografada.
Exemplos do mundo real de um ataque MITM
Houve vários ataques MITM bem conhecidos nas últimas décadas.
Em 2015, um programa de adware chamado Superfish, que estava pré-instalado em máquinas Lenovo desde 2014, foi descoberto para fazer a varredura Tráfego SSL e instalação de certificados falsos que permitiam que interceptadores de terceiros interceptassem e redirecionassem o tráfego de entrada seguro. Os certificados falsos também funcionavam para introduzir anúncios mesmo em páginas criptografadas.
- Em 2017 , uma grande vulnerabilidade em aplicativos de mobile banking foi descoberta para vários bancos de alto perfil, expondo clientes com iOS e Android a ataques intermediários. A falha estava ligada à tecnologia de fixação de certificados usada para impedir o uso de certificados fraudulentos, nos quais os testes de segurança falhavam em detectar invasores devido à fixação de certificados ocultar a falta de verificação adequada do nome do host. Isso permitiu que ataques MITM fossem executados.
- Como detectar um ataque MITMSe você não está procurando ativamente por sinais de que suas comunicações online foram interceptadas ou comprometidas, detectar um ataque man-in-the-middle pode ser difícil. Embora seja fácil para eles passarem despercebidos, há certas coisas que você deve prestar atenção quando estiver navegando na web – principalmente o URL na sua barra de endereços.
O sinal de um site seguro é indicado por “HTTPS” na URL de um site. Se um URL estiver sem o “S” e for lido como “HTTP”, é um sinal vermelho imediato de que sua conexão não é segura. Você também deve procurar um ícone de cadeado SSL à esquerda da URL, que também indica um site seguro.
Além disso, tenha cuidado ao se conectar a redes Wi-Fi públicas. Conforme discutido acima, os cibercriminosos costumam espionar redes Wi-Fi públicas e usá-las para realizar um ataque man-in-the-middle. É melhor nunca presumir que uma rede Wi-Fi pública é legítima e evitar conectar-se a redes Wi-Fi não reconhecidas em geral.
Prevenção e Preparação
Embora seja importante estar ciente de como detectar um possível ataque MITM, a melhor maneira de se proteger contra eles é prevenindo-os em primeiro lugar. Certifique-se de seguir estas práticas recomendadas:
- Evite redes Wi-Fi que não sejam protegidas por senha, e nunca use uma rede Wi-Fi pública para transações confidenciais que exijam suas informações pessoais.
- Usar uma rede privada virtual (
VPN
- ) — especialmente ao conectar-se à Internet em um lugar público. As VPNs criptografam sua atividade online e impedem que um invasor possa ler seus dados privados, como senhas ou informações de contas bancárias.
- Sair de sites confidenciais (como um site de banco on-line) assim que terminar para evitar o seqüestro de sessão.
- Manter
- hábitos de senha adequados, como nunca reutilizar senhas para diferentes contas e use um gerenciador de senhas para garantir que suas senhas sejam as mais fortes possível.
- Use autenticação multifator para todos de suas senhas.
- Use um firewall para garantir a segurança da Internet conexões.
- Use um software antivírus para proteger seus dispositivos de malwares.
- À medida que nosso mundo digitalmente conectado continua a evoluir, o mesmo acontece com a complexidade do cibercrime e a exploração de vulnerabilidades de segurança. Cuidar para se informar sobre as melhores práticas de segurança cibernética é fundamental para a defesa de ataques man-in-the-middle e outros tipos de crimes cibernéticos. No mínimo, estar equipado com um software antivírus forte ajuda bastante a manter seus dados seguros e protegidos.
