O que é um ataque do tipo man-in-the-midle?

O que é um ataque do tipo man-in-the-midle? Um detalhamento das maneiras mais comuns pelos quais os criminosos empregam técnicas de MitM para capturar vítimas.

Números específicos são difíceis de identificar em ataques do tipo man-in-the-middle (MitM), mas, de acordo com o X-Force Threat Intelligence Index 2018 da IBM , mais de um terço da exploração de fraquezas envolveu ataques do MitM.

Então, como esses hacks se desenrolam? Como os criminosos entram e roubam informações – e como suas técnicas estão evoluindo?

Veja a seguir os elementos de um ataque do MitM, como eles funcionam e como as organizações podem evitar se tornar uma vítima.

O que é um ataque do tipo intermediário?

Os ataques do MitM são tentativas de “interceptar” as comunicações eletrônicas – bisbilhotar transmissões em um ataque à confidencialidade ou alterá-las em um ataque à integridade.

“No fundo, a comunicação digital não é muito diferente de passar bilhetes em sala de aula – apenas existem muitas bilhetes“, explica Brian Vecci, CTO de campo da Varonis. “Os usuários se comunicam com servidores e outros usuários passando esses bilhetes. Um ataque do tipo intermediário envolve um adversário sentado entre o remetente e o destinatário e o uso destes bilhetes  e da comunicação para realizar um ataque cibernético“.

A vítima, acrescenta Brian, “é ignorante quanto ao ‘homem do meio’ ‘, muitas vezes até que seja tarde demais e as informações já tenham sido comprometidas“.

Como funcionam os MiTMs?

Existem muitas maneiras, incluindo IP, DNS, falsificação HTTPS, sequestro de SSL / e-mail e interceptação de Wi-Fi. “E graças à Internet, o atacante geralmente pode estar em qualquer lugar“, diz Vecci.

Um ataque comum envolve um hacker configurar um ponto de acesso Wi-Fi público falso para as pessoas se conectarem, acrescenta Kowsik Guruswamy, CTO da Menlo Security.

“As pessoas pensam que estão acessando um ponto de acesso legítimo“, diz ele, “mas, de fato, estão se conectando a um dispositivo que permite ao hacker registrar todas as teclas digitadas e roubar logins, senhas e números de cartão de crédito“. (veja vídeo abaixo)

Fonte: Jornalismo TV Record 2017

Outra tática popular do MitM é um plug-in fraudulento de navegador instalado por um usuário, pensando que ele oferecerá descontos e cupons de compras, diz Guruswamy.

“O plug-in passa a vigiar o tráfego de navegação do usuário, roubando informações confidenciais como senhas e contas bancárias e enviando-as clandestinamente para fora da banda“, diz ele.

Michael Covington, vice-presidente de estratégia de produtos da Wandera, cita dois tipos principais de ataques do MitM que afetam os usuários móveis. “O primeiro é quando o invasor tem controle físico da infraestrutura de rede, como um ponto de acesso Wi-Fi, e é capaz de bisbilhotar o tráfego que flui através dele“, diz ele. “O segundo é quando o atacante adultera o protocolo de rede que deveria oferecer criptografia, expondo essencialmente os dados que deveriam ter sido protegidos“.

Mas a criptografia não deve impedir ataques do MitM?

Sim. No entanto, spywares sofisticados ou softwares de “interceptação legal” de vigilância, como Exodus e Pegasus , ocasionalmente encontram maneiras de comprometer a infraestrutura de plataformas seguras de mensagens móveis, como o WhatsApp, sem necessariamente quebrar o próprio algoritmo de criptografia.

Como os ataques do MitM estão evoluindo?

Com a explosão dos dispositivos da Internet das Coisas (IoT) na vida cotidiana, as possibilidades de ataques do MitM também aumentaram. Muitas dessas tecnologias foram desenvolvidas sem a segurança, e estão sendo implantadas pelos usuários mais rapidamente do que a segurança pode acompanhar. Por exemplo, os pesquisadores estão descobrindo vulnerabilidades perigosas relacionadas às comunicações não seguras por radiofrequência (RF) nos sistemas incorporados em dispositivos industriais e médicos.

Os hackers continuam procurando novas estratégias para pegar os usuários desprevenidos com o MitM, diz Vecci da Varonis. “A equipe de resposta a incidentes da Varonis está vendo um aumento nos adversários, usando um ataque muito complicado do MitM para ignorar a autenticação multifatorial, violar os usuários do Office 365 e girar para os sistemas locais“, diz ele.

Ele começa com um email de phishing que “atrai a vítima para uma página de login falsa do Office 365, na qual o invasor pode bisbilhotar as credenciais usadas para acessar dados, até mesmo quebrando a autenticação de dois fatores“, explica Vecci. “Os usuários podem não ter ideia de que alguém está assistindo, mas o invasor pode usar a técnica para obter acesso a sistemas e dados na nuvem e dentro do data center se souber o que está fazendo“. E como resultado “o MitM pode acabar sequestrando as credenciais de um usuário e, em seguida, usá-las para obter acesso a dados que nem estão sendo transmitidos“, diz Vecci.

Outro exemplo, destacado na semana passada no Dark Reading, envolve uma startup israelense que perdeu uma grande parte do financiamento de capital de risco devido a um elaborado ataque MitM de várias etapas . O ataque começou com a espionagem de e-mails, resultou em uma transferência eletrônica fraudulenta e terminou com um roubo de US $ 1 milhão.

O ataque foi descoberto quando a empresa chinesa de capital de risco que tentava transferir os fundos para a startup foi alertada por seu banco sobre um problema com a transação. Logo depois, a startup israelense percebeu que não havia recebido financiamento inicial esperado. A Check Point se envolveu quando as duas partes perceberam que haviam sido enganadas.

Práticas recomendadas para prevenir o MiTM

A educação do usuário continua sendo a principal defesa para evitar ataques MitM, diz Vecci. “Use uma VPN, pule o Wi-Fi público e verifique se os sites nos quais você faz login são legítimos, certificando-se de que eles usam conexões HTTPS seguras“, ele também aconselha. “Saber o que é normal para usuários, dispositivos e dados torna muito mais provável que você encontre esse tipo de ataque assim que acontecer“.

Quais atividades devem levantar uma bandeira vermelha?

“Talvez um usuário esteja fazendo login em um novo local ou dispositivo, ou às 3 horas da manhã, quando a maioria das pessoas está dormindo. Ou talvez esteja acessando de repente dados que nunca viu, especialmente se for sensível“, diz Vecci. “A menos que você esteja observando os dados críticos da sua empresa e possa detectar atividades suspeitas do usuário, estabelecer correlações entre eventos aparentemente normais e conectar os pontos entre usuários, dispositivos e dados, você pode facilmente perder um ataque bem-sucedido como este“.

Guruswamy, da Menlo Security, aconselha os usuários a seguir as seguintes dicas:

• Evite instalar softwares ou plug-ins desnecessários, especialmente aqueles que oferecem algo de graça. Isso reduz a probabilidade de você instalar algo que pode implementar um ataque do MitM.

• Faça o download apenas de softwares ou plug-ins de sites legítimos. Certifique-se de não baixar software ou plug-ins de sites de distribuição de terceiros, pois eles podem realmente estar distribuindo malware ou software alterado.

• Navegue para sites digitando o URL em vez de clicar em um link, especialmente sites que exigem que você insira informações de identificação pessoal.

• Use um serviço de proxy de um provedor confiável. Esses serviços permitem criar um túnel criptografado que seria difícil para os ataques do MitM.