Você já recebeu alguma vez uma encomenda que parecia ter sido aberta antes de chegar até você e, ao abri-la, percebeu que faltavam alguns itens? Ou utilizou seu cartão de crédito para uma compra e, uma semana depois, descobriu que seu extrato mostrava várias cobranças não autorizadas? Esses cenários são exemplos clássicos de ataques de intermediários não autorizados, nos quais alguém intercepta e adultera sua encomenda ou informações do cartão de crédito durante uma transação normal.

Considere outra situação. Você está em um aeroporto, aguardando seu voo, e decide usar seu laptop para verificar emails e navegar na web. Você encontra e se conecta ao que parece ser uma rede Wi-Fi oficial do aeroporto. Uma vez conectado, você insere suas credenciais de login para acessar vários serviços online. No entanto, meses depois, descobre que suas credenciais vazaram na dark web e uma de suas contas foi comprometida. Este é um caso clássico de um ataque man-in-the-middle, onde um atacante intercepta seus dados em um ambiente aparentemente seguro e confiável.

O Que é um Ataque Man-in-the-Middle?

Um ataque man-in-the-middle (MITM) é um tipo de ciberataque no qual um intruso insere-se sorrateiramente em um processo de comunicação para interceptar informações cruciais. Esse atacante pode apenas bisbilhotar a conversa, furtivamente roubando detalhes confidenciais, ou desempenhar um papel mais agressivo modificando o conteúdo de suas mensagens ou se passando pela pessoa ou sistema com quem você acredita estar interagindo. Uma vez que um atacante se posiciona com sucesso no meio da sua comunicação digital, essencialmente criam uma porta dos fundos oculta que lhes permite acesso dissimulado aos seus dados e interações online.

A Gravidade dos Ataques MITM
Os ataques MITM são particularmente ameaçadores porque permitem que hackers capturem dados críticos, como nomes de usuários, senhas, detalhes de cartões de crédito e informações bancárias, sem que o usuário perceba a presença de um intermediário desviando seus dados para uma entidade hostil. Uma vez em posse desses dados, os cibercriminosos podem explorá-los de várias maneiras, incluindo a manipulação de detalhes da conta, retirada de fundos ou realização de transações não autorizadas.
De acordo com um relatório de 2022 da F5, mais da metade de todos os ataques man-in-the-middle (MITM) envolvem a interceptação de dados sensíveis, incluindo credenciais de login e informações bancárias. Um relatório de 2020 da Accenture destaca o impacto financeiro significativo desses ataques, revelando que os ataques MITM contribuem para uma estimativa de US$ 2 bilhões em perdas globais anuais.

Mais Prevalente do Que Você Pode Imaginar
Ouvimos muito sobre ataques de ransomware e violações de dados em larga escala, mas para um único usuário, os ataques MITM podem ser considerados um risco maior, pois esses ataques visam o elo mais fraco, os usuários individuais. O Índice de Inteligência de Ameaças X-Force da IBM indica que os ataques man-in-the-middle (MITM) compõem 35% de todas as atividades de exploração. Além disso, há um aumento notável em ataques de phishing que empregam métodos MITM, com um aumento de 35% desses emails alcançando as caixas de entrada do primeiro trimestre de 2022 para o primeiro trimestre de 2023.

O Ataque em Duas Etapas

Duas formas prevalentes de ataque MITM incluem os seguintes cenários:

1. Primeiro, um ator de ameaças configura um ponto de acesso malicioso em uma localização estratégica, atraindo vítimas inadvertidas para se conectarem a ele. Uma vez conectado, o atacante pode manipular qualquer tráfego gerado pela vítima.
2. O segundo envolve uma página de login enganosa oculta dentro de um email. Vítimas desavisadas inserem suas credenciais ou detalhes de autenticação de dois fatores (MFA) nesta página. Nessa situação, o atacante captura todas as informações inseridas e as usa para acessar a conta da vítima, transmitindo-as para o site legítimo.

Independentemente das táticas usadas, um ataque MITM envolve uma abordagem em duas etapas:

1. A primeira etapa é a interceptação, que, como o nome sugere, intercepta o tráfego do usuário antes que ele atinja seu destino pretendido. O processo de interceptação é implementado usando táticas como spoofing de endereços IP ou MAC ou um servidor DNS.
2. A próxima etapa é a etapa de descriptografia. Aqui, o atacante decodifica silenciosamente os dados roubados. No caso de tráfego não criptografado, isso pode ser feito usando um sniffer. Para tráfego criptografado, um atacante pode usar métodos que incluem HTTPS stripping, SSL hijacking ou SSL stripping.

O Que os Usuários Podem Fazer para Se Proteger

A natureza oculta dos ataques MITM os torna particularmente difíceis para os usuários individuais se protegerem. Além disso, o desafio é ampliado para usuários móveis que frequentemente navegam por vários sites que utilizam uma ampla variedade de pilhas tecnológicas. Existem várias medidas proativas que os usuários individuais podem tomar para reduzir o risco de que suas sessões sejam interceptadas por atacantes:

Evitar se conectar a redes Wi-Fi públicas, a menos que seja absolutamente necessário. Essas redes frequentemente são menos seguras, tornando-as alvos ideais para ataques MITM.
Usar uma VPN ao se conectar a qualquer rede, pois adiciona uma camada extra de criptografia ao tráfego da sua sessão, tornando mais desafiador para um atacante violar suas comunicações.
Sempre optar por sites com HTTPS, pois esse protocolo criptografa os dados entre o navegador e o site, dificultando para os atacantes a descriptografia e acesso às suas informações.
Usar métodos avançados de autenticação de dois fatores (MFA), como aplicativos de autenticação ou chaves FIDO, que, ao contrário das opções tradicionais de MFA, como SMS, não exigem a digitação de informações que poderiam ser interceptadas por atacantes.

O Poder de um SOC Apoiado por MDR
No entanto, é irreal esperar que os usuários nunca cliquem em um link incorporado em um email ou evitem usar SMS para autenticação de dois fatores, porque os usuários nem sempre seguem as melhores práticas quando se trata de segurança. Pode-se dizer que os usuários comuns operam muito como um sistema que carece de patches e atualizações de proteção.
É por isso que você precisa de uma solução escalável para garantir a proteção. Embora os ataques MITM possam ser transparentes para os usuários comuns, as equipes de segurança do SOC são especializadas em identificar essas tentativas dissimuladas de atacantes. Através do monitoramento contínuo do tráfego de rede por padrões ou atividades irregulares, os SOCs tornam significativamente mais desafiador para os ataques MITM terem sucesso em uma rede atentamente observada.

Um SOC comunicará que os usuários devem utilizar protocolos de criptografia robustos para a transmissão de dados e que apenas sites HTTPS são permitidos para acesso, reduzindo significativamente o risco. Ao empregar ferramentas de segurança sofisticadas, um SOC pode detectar anomalias ou sinais de intenções maliciosas. Além disso, quando associados a um MSSP confiável, eles estão capacitados para recomendar os métodos mais atuais de MFA e oferecer conselhos sobre o uso seguro de Wi-Fi e orientação sobre certificados de segurança legítimos de sites.

Conclusão
As empresas estão sob ataque de tantas frentes quando se trata de cibersegurança, e muitas coisas podem dar errado, especialmente quando se trata de seus usuários. Embora alcançar uma proteção completa possa ser inatingível, a presença de um MDR experiente e testado em batalha, habilidoso em reconhecer ameaças, é indispensável. É crucial não deixar a retaguarda de sua empresa vulnerável a ataques. Garantir que as pessoas certas estejam equipadas com as ferramentas apropriadas para se defender contra ataques potenciais é fundamental para manter a cibersegurança de sua organização.