Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Vulnerabilidades

Ataques MiTM: como eles ameaçam a segurança de empresas?

by Mirian Fernandes 6 min read

Você deve se lembrar da clássica cena em filmes onde duas pessoas conversam no telefone e uma terceira pessoa, curiosa em saber sobre o que estão falando, pega outro telefone com a mesma linha e ouve tudo sem que saibam que ele está ali. Esse é um tipo de man-in-the-middle clássico.

Brincadeiras à parte, este ciberataque pode ser explicado exatamente assim: um invasor interceptando e transmitindo secretamente mensagens entre duas pontas. Mas, diferente do exemplo anterior, o cibercriminoso não está buscando apenas ouvir uma simples conversa.

Dados pessoais, acesso a aplicativos financeiros, credenciais da conta, backup de dados… para os cibercriminosos não há limite no momento de roubar dados. O ciberataque Man-in-the-middle abre um leque de possibilidades, já que ele literalmente consegue acesso a tudo que está sendo feito pela vítima.

Porém, assim como sniffers de rede e explorações no RDP, os ataques MiTMs são por vezes negligenciados pelas empresas e até pelos prestadores de serviços de TI. Mesmo sendo um tipo de ciberataque muito comum, as medidas de prevenção para ele não recebem a atenção que deveria.

Nesse artigo você vai conseguir entender tudo sobre como funciona e quais os principais métodos utilizados pelo Man-in-the-middle.

O que é o ataque MiTM?

O que é um ataque MiTM?

O Man-in-the-middle, ou homem no meio, pode ser resumido como um tipo de ataque cibernético direcionado no qual o invasor intercepta e transmite secretamente comunicações entre duas partes.

O seu principal objetivo, assim como da maioria dos ciberataques, é conseguir coletar dados pessoais, senhas ou informações bancárias, além de tentar convencer a vítima a realizar uma ação que facilite a coleta desses dados como, por exemplo, alterar as credenciais de login ou concluir uma transação.

Como ocorre um ataque MiTM?

Como ocorre um ataque MiTM?

Os invasores utilizam principalmente vulnerabilidades na rede e aplicativos. Um dos principais meios são os que possuem software como serviço (SaaS), por exemplo, serviços de mensagens, armazenamento de arquivos ou até mesmo de trabalho remoto.

Através das vulnerabilidades nesses pontos, o cibercriminoso consegue comprometer dados de clientes, IPs, e até mesmo informações bancárias da organização.

De maneira mais detalhada, esse ataque pode ser dividido em duas etapas:

1. Interceptação dos dados:

O invasor acessa a rede através de um wifi aberto ou mal protegido, buscando vulnerabilidades e portas de entrada que geralmente são senhas fracas, mas também podem ser encontrados por métodos mais avançados como falsificação de IP ou envenenamento de cache.

Após se inserir na rede, o cibercriminoso captura dados de login do usuário, direcionando ele para um site falso e conseguindo acessar sites com dados confidenciais.

Esse processo também pode ser feito através de um bate-papo, imitando uma instituição financeira a fim de coletar as informações necessárias para obter acesso à conta do alvo.

2. Descriptografia

Após interceptar o tráfego, o cibercriminoso precisa descriptografar os dados que foram roubados, tornando-os inteligíveis. Esses dados podem ser aproveitados de várias formas como roubo de identidade, compras não autorizadas ou até mesmo atividade bancária.

Alguns ataques man-in-the-middle podem ser realizados sem nenhum desses objetivos citados, tendo como única meta interromper operações, criando caos para as vítimas e grandes prejuízos.

Quais os tipos de ataque Man-inthe-middle?

Tipos de ataques man-inthe-middle

Como citamos anteriormente, os invasores podem usar de várias estratégias para concluir seu objetivo. Detalhamos alguns deles a seguir:

1. Envenenamento de cache ARP

É considerado uma das formas mais eficientes de realizar o ataque MiTM. O ARP é um processo que, durante uma conexão de rede, traduz o endereço da máquina (mac address) para um endereço IP.

Para ocorrer o envenenamento do cache, o cibercriminoso injeta informações falsas que enganam o computador da vítima, fazendo ele pensar que o computador do invasor é o gateway da rede. Nesse momento, a vítima realiza uma conexão acreditando que está tudo ocorrendo normalmente, porém, o invasor recebe todo o tráfego da rede e consegue coletar dados e informações sigilosas.

2. Falsificação de DNS

Muito parecido com o envenenamento de ARP, o DNS possui a função de traduzir nomes de domínio para endereço IP. Durante esse processo, o invasor insere informações corrompidas, em uma tentativa de fazer a vítima acessar um domínio falso igual ao original.

Por exemplo, ao invés de conseguir acessar o site de uma agência bancária, o cibercriminoso envia a vítima para um site idêntico, onde ela passa seus dados e informações, e o invasor consegue concluir seu objetivo.

3. Espionagem de wi-fi

Os cibercriminosos interceptam o tráfego de redes Wi-fi públicas, ou criam redes com nomes comuns, enganando as vítimas, que, ao conectarem, têm suas credenciais e número de cartões roubados.

Veja mais sobre a espionagem e o spyware neste artigo:

Spyware: o que é e como se proteger?
Você já teve aquela sensação ruim de se sentir observado? Não aquela estranhamente boa de estar sob o olhar do crush, mas aquela extremamente desconfortável de se sentir vigiado por estranhos. É chato, né?! E se eu te falar que você pode estar sendo espionado neste exato momento? O cibermundo pod…
Daniel HenriqueBlog Starti - Tudo sobre Cibersegurança

4. Sequestro de sessão

Uma técnica tão silenciosa quanto às anteriores, nesse sequestro o cibercriminoso observa você fazer login em uma página da web, como conta bancária ou de e-mail e, em seguida, realiza o sequestro do seu cookie da sessão para ter acesso ao mesmo login que você acabou de realizar.

Após coletar o seu cookie, o cibercriminoso conseguirá efetuar tudo que você fizer na conta, inclusive transferências bancárias.

Essas são apenas algumas das estratégias que podem ser usadas pelos cibercriminosos para interceptar sua comunicação e conseguir roubar seus dados.

Como o cibercriminoso consegue encontrar vulnerabilidades na rede?

Vulnerabilidades na rede e ataques MiTM

A plataforma SHODAN possui um mecanismo de pesquisa avançado que varre toda a internet, sendo possível encontrar qualquer conexão de dispositivos que estejam desprotegidos, facilitando o uso de estratégias para realizar os ataques.

Para detectar esse tipo de ataque se atente a:

  • Desconexões inesperadas ou repetidas: o cibercriminoso desconecta a vítima à força, para que consiga coletar as credenciais quando ele tentar se conectar novamente. Monitorando esses comportamentos estranhos, você consegue desconfiar de que há algo acontecendo.
  • Endereços estranhos na barra do navegador: qualquer sinal minimamente estranho no endereço de URL é motivo para se atentar, por exemplo, se tiver um 0 no lugar da letra “o” ou qualquer outro caractere estranho.
  • Login em Wi-fi público: evite esse tipo de Wi-fi ou qualquer outro que você não tenha confiança na segurança do mesmo. Ao se conectar a um deles, o invasor poderá ver tudo que você enviar através da rede.

Os ataques MiTM podem ser difíceis de identificar, como você deve ter percebido. Recomendamos a seguir algumas práticas para trabalhar na prevenção desse mal:

  • Conecte-se apenas a roteadores Wi-fi seguros;
  • Exija que os usuários da sua rede tenham senhas fortes e as alterem regularmente. Esse artigo pode te ajudar: Passwords: como criar senhas fortes e se manter seguro?
  • Obtenha uma VPN para criptografar o tráfego, assim será mais difícil para um invasor roubá-lo ou modificá-lo;
  • Habilite a autenticação de dois fatores em todos os ativos e aplicativos de rede;
  • Use protocolos de criptografia para todos os e-mails, bate-papos e comunicações que realizar;
  • Faça apenas conexões que sejam por HTTPS;
  • Utilize DNS sobre HTTPS para te proteger contra o sequestro de DNS;
  • Tenha uma solução completa para monitoramento e detecção de ameaças.

Apesar de serem mais específicos, os ataques MiTM são frequentes e, muitas vezes, as vulnerabilidades que podem gerá-los são ignoradas. É necessário se atentar a cada um dos pontos que citamos para prevenir e identificar rapidamente caso ocorra um ataque.

Para se proteger contra esse e outros tipos de ciberataques direcionados, recomendamos que confira nosso Webinar:

Webinar Starti | O guia contra ataques hackers direcionados
Entre as mais frequentes, estão os ataques direcionados para capturar o tráfego, como ataques MiTM, sniffers de redes e envenenamento de DNS.
Starti

E acompanhe-nos nas redes sociais para estar sempre atualizado sobre o universo da cibersegurança:

Read more posts by this author

Mirian Fernandes

Redatora da Starti

The link has been copied!