Tudo o que você precisa saber sobre ataques man-in-the-middle

O que é um ataque man-in-the-middle?

Um ataque man-in-the-middle (MITM) é um tipo de ataque cibernético durante o qual os agentes mal-intencionados escutam uma conversa entre um usuário e um aplicativo. Os ataques MITM podem assumir uma variedade de formas e formatos. No entanto, em essência, um ataque MITM pode ser definido como uma interceptação maliciosa de comunicações. Normalmente, o objetivo do MITM é roubar dados confidenciais, como nomes de usuário, senhas, números de cartão de crédito, endereços de e-mail e outras informações que os invasores podem usar para lucrar.

Como funciona um ataque man-in-the-middle?

Um ataque MITM compreende duas fases conhecidas como interceptação e descriptografia.

Interceptação

Durante o primeiro estágio do ataque MITM, um agente mal-intencionado primeiro precisa interceptar as comunicações. Na maioria dos casos, os hackers podem interceptar a comunicação obtendo o controle de uma rede Wi-Fi pública ou criando pontos de acesso Wi-Fi falsos. Assim que a vítima se conecta a uma rede Wi-Fi maliciosa, o invasor obtém uma visão completa de toda a troca de dados.

Descriptografia

Como todo o tráfego online bidirecional é criptografado por SSL, os agentes mal-intencionados precisam descriptografá-lo; caso contrário, os dados interceptados permanecem ilegíveis, tornando-os inúteis. Durante a fase de descriptografia, os hackers usam várias técnicas para descriptografar os dados, mas falaremos mais sobre isso posteriormente.

Notáveis ​​ataques man-in-the-middle

• Em 2013, descobriu-se que o navegador Xpress da Nokia estava descriptografando o tráfego HTTPS, o que dava acesso de texto claro ao tráfego criptografado de seus clientes.

• Em 2011, a autoridade de certificação holandesa DigiNotar foi vítima de certificados fraudulentos usados ​​para quebrar as paredes de segurança de um site, sem que os clientes soubessem.

• Mais recentemente, em 21 de setembro de 2017, a Equifax descobriu que os usuários estavam sendo redirecionados para um site de phishing falso, outro resultado de um ataque MITM. Nesse caso, o invasor alterou o nome de domínio para securityequifax2017.com de equifaxsecurity2017.com.

Tipos de ataques man-in-the-middle

Os maus atores podem lançar um ataque MITM de várias maneiras. No entanto, todos os tipos de ataques MITM incluem fases de interceptação e descriptografia. Aqui estão alguns exemplos de diferentes tipos de ataque MITM.

• A falsificação de IP ocorre quando os cibercriminosos alteram o endereço IP de origem de um site ou dispositivo para mascará-lo. Consequentemente, isso faz com que usuários desavisados ​​acreditem que estão se comunicando com um site ou dispositivo legítimo, enquanto na realidade todos os dados que compartilham durante a interação são coletados por cibercriminosos.

• A falsificação de DNS é, em essência, bastante semelhante à falsificação de IP. No entanto, em vez de alterar o endereço IP, os invasores modificam os nomes de domínio para redirecionar o tráfego para sites falsos. Os usuários que entram em um site afetado por falsificação de DNS podem pensar que acessaram um site legítimo; infelizmente, eles acabam em um site falso, muitas vezes projetado para roubar credenciais de login.

• A falsificação de HTTPS ocorre quando cibercriminosos configuram um site que envia um certificado falso ao navegador da vítima em potencial para estabelecer uma conexão segura falsa. Como resultado, os agentes mal-intencionados podem coletar quaisquer dados inseridos pelo usuário afetado em um site falsificado.

• O seqüestro de SSL é uma técnica durante a qual os agentes mal-intencionados transferem chaves de autenticação falsas para o usuário e o aplicativo ao mesmo tempo em que ocorre o handshake TCP. À primeira vista, isso pode parecer uma conexão segura. Infelizmente, a realidade é que o invasor tem controle total de toda a sessão e de todo o fluxo de dados.

• O sequestro de e-mail ocorre quando os invasores obtêm o controle da conta de e-mail de uma entidade legítima e a usam para realizar fraudes financeiras ou até mesmo roubo de identidade.

• A espionagem de Wi-Fi é provavelmente o tipo mais comum de ataque MITM. Durante a espionagem de Wi-Fi, os invasores obtêm o controle de pontos de acesso Wi-Fi públicos ou criam redes Wi-Fi públicas falsas às quais as vítimas em potencial se conectam.

• Sequestro de sessão é essencialmente o que você chamaria de roubo de cookies. Durante o sequestro de sessão , os agentes mal-intencionados obtêm acesso aos seus cookies e os usam para roubar dados confidenciais. Como você deve saber, os cookies armazenam algumas das informações mais importantes, como seu login e dados pessoais.

Como detectar um ataque man-in-the-middle

Detectar um ataque man-in-the-middle pode ser um desafio. Se você não estiver analisando ativamente suas comunicações, um ataque MITM pode ser executado sem reconhecimento até que seja tarde demais. Se você deseja ficar um passo à frente dos agentes mal-intencionados, é fundamental tomar as medidas adequadas em relação à segurança da comunicação. Estar ciente de seus hábitos de navegação e entender áreas possivelmente perigosas pode ser essencial para oferecer suporte a uma rede segura.

Uma das vantagens óbvias que você está enfrentando em um ataque man-in-the-middle é a interrupção inesperada e muitas vezes repetida de um determinado serviço ou site. Os invasores desconectam as sessões do usuário para interceptar a conexão e coletar dados, que é o provável motivo por trás dos distúrbios.

Outra indicação de um ataque MITM são URLs suspeitos ou irreconhecíveis. Por exemplo, você pode notar que, em vez de google.com, seu navegador está realmente tentando carregar g00glee.com.

Se você suspeitar que foi vítima de um ataque MITM, certifique-se de encerrar sua conexão com a Internet. Como os agentes mal-intencionados podem ter colocado as mãos em seus dados confidenciais, como nomes de usuário e logins, é altamente recomendável alterar as senhas de suas contas online para evitar mais danos. Você pode fazer isso de maneira rápida e fácil com a ajuda de um gerador de senhas — uma ferramenta projetada para criar senhas fortes e exclusivas em qualquer lugar.

Como se proteger contra ataques man-in-the-middle

• Evite o uso de Wi-Fi público

  Pontos de acesso Wi-Fi públicos são inerentemente mais perigosos do que sua rede Wi-Fi doméstica porque geralmente não possuem as medidas de segurança necessárias para garantir uma conectividade segura. Ao abster-se de usar redes Wi-Fi públicas, você reduzirá significativamente o risco de ser vítima de um ataque MITM.

• Use VPN para conexão segura

  O uso de uma VPN pode impedir ataques man-in-the-middle. Uma VPN cria uma camada extra de segurança que criptografa seus dados, tornando-os à prova de ataques.

• Preste atenção às notificações do navegador que informam que um site é inseguro

  Os navegadores da web de hoje são bastante experientes em termos de segurança. A maioria dos navegadores modernos emite avisos se você estiver prestes a entrar em um site com padrões de segurança questionáveis. Certifique-se de visitar sites que tenham “HTTPS” na barra de URL em vez de apenas “HTTP”. “HTTPS” indica que o site é seguro.

• Evite e-mails de phishing

  Os golpes de phishing são galopantes nos dias de hoje. Os cibercriminosos usam ataques de phishing para induzir os usuários a baixar arquivos maliciosos e expor seus dados confidenciais. Normalmente, as mensagens de phishing representam uma fonte legítima para enganar os usuários e fazê-los interagir com as mensagens. Fique atento se você notar um e-mail suspeito. Você pode aprender mais sobre phishing em geral e como detectar esses golpes em nosso post anterior .