Ataque Man-in-the-Middle, sua empresa está preparada para este tipo de fraude? Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte.
Imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
A primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.
Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque do tipo Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como o atacante consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.
E como o atacante enganou as pessoas envolvidas? Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.
Considerando nosso cenário hipotético, em que a fraude foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.
Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas. Alguns dos principais métodos de defesa incluem:
- Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos associados a esses ataques e sobre a importância de verificar a autenticidade das conexões;
- Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados durante a transmissão;
- Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
- Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes envolvidas. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
- Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
- Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.
Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais, permitindo a interceptação e a manipulação de comunicações entre partes legítimas. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.
Por: Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti.
Veja também:
- Quer melhorar a segurança da informação e a proteção de dados? Tire as senhas!
- Hacks ao setor da saúde incidem mais sobre registros de pacientes
- Botnet Mirai: eletrodomésticos podem atacar usuários?
- O impossível já não existe mais?
- Desafios e impacto da cibersegurança nas infraestruturas críticas
- Segurança da Informação como pilar central na competitividade das empresas
- Proofpoint divulga vulnerabilidade de macro Valimail SPF
- Quer melhorar a segurança da informação e a proteção de dados? Tire as Senhas
- Líder de mercado, senhasegura recruta testadores beta para novos produtos
- Internet no fundo do mar
- SIM-swap: como as empresas podem ajudar na prevenção a golpes virtuais
- É necessário criar uma cultura responsável de segurança digital no Brasil, e ela passa pela educação
Deixe sua opinião!