O que é um ataque Man-in-the-Middle?
Um ataque Man-in-the-middle é um nome genérico para qualquer ataque virtual em que alguém fica entre você e o que você está fazendo: entre você e sua transação bancária online, ou entre você e seu chat com sua mãe, ou entre seus e-mails de trabalho e os destinatários/remetentes; ou entre você e a caixa em que você insere seus dados de pagamento, ou, ou, ou.
Imagine seu carteiro espiando suas cartas antes de entregá-las a você. Pegando o novo cartão de crédito com seu nome que estava chegando pelo correio. Mudando algumas frases na carta que você escreveu para o(a) ex. Compartilhando as informações mais íntimas com o vizinho que pagar mais.
Em um ataque Man-in-the-middle, os cibercriminosos ficam entre você e sua transação bancária online, o chat com sua mãe, seus e-mails de trabalho, seus dados de pagamento...
Isso resume um ataque Man-in-the-middle (MITM a partir de agora, pois ninguém tem tempo para escrever tanto), só que ele acontece online. Ataques MITM permitem que cibercriminosos interceptem, enviem e recebam dados que chegam e saem do seu dispositivo sem serem detectados até que a transação esteja completa.
Metas comuns de ataques MITM (dica: dinheiro, dinheiro, dinheiro)
Os alvos mais comuns de ataques MITM são
Não é nenhuma surpresa que os criminosos vão onde o dinheiro está.
Tipos de ataque Man In The Middle
Sequestros de e-mail (ou como perder US$ 500.000 com apenas um e-mail)
Se a ideia de uma pessoa interceptando seus e-mails (ou mesmo enviando e-mails da sua conta) parece ficção científica, você precisa conhecer os Luptons.
Os Luptons são um casal britânico que decidiram vender seu apartamento. Quando a venda foi feita, o advogado enviou a eles um e-mail para solicitar o número da conta bancária para transferir o dinheiro. Os Luptons responderam com alegria,
O que os Luptons não sabiam era que um grupo de cibercriminosos leram o e-mail do advogado e também a resposta. Imediatamente, os criminosos enviaram um e-mail ao advogado da conta de e-mail dos Luptons, disseram para ele ignorar o número de conta bancária anterior e pediram para enviar o dinheiro para uma outra conta. Assim esses criminosos roubaram £ 333.000 (quase R$ 1,6 milhão) de Paul e Ann Lupton.
Os Luptons não foram um alvo do acaso. Ferramentas de invasão podem escanear combinações certas de palavras em e-mails desprotegidos.
“Espere, é um azar muito grande que alguém estava espionando a comunicação de e-mail naquele momento específico”, você pode pensar. “As chances de isso acontecer são astronomicamente pequenas”.
Não é bem assim.
Os Luptons não foram um alvo do acaso e não foi também pessoal. As ferramentas de invasão agora permitem que criminosos façam um escaneamento em massa de comunicações de e-mail desprotegidas, procurando pela combinação certa de palavras, até encontrarem o que procuram. Como você viu com o exemplo dos Lupton, isso pode acontecer com qualquer um.
MITM de Wi-Fi (conhecido também como OMG WTH)
Espionagem de Wi-Fi é um negócio enorme. Ataques Man In The Middle de Wi-Fi geralmente assumem a forma de redes desonestas ou um “gêmeo mau” (se você já assistiu uma novela, sabe do que estamos falando).
-
Redes desonestas são simplesmente rede Wi-Fi configuradas por cibercriminosos, completas com nomes sedutores como “Wi-Fi grátis” ou “Parece o Wi-Fi do Starbucks, mas não é”.
-
Ataques do gêmeo mau acontecem quando cibercriminosos configuram redes Wi-Fi públicas que imitam completamente redes legítimas que foram usadas no passado. Isso pode enganar seus dispositivos para se conectarem automaticamente, pois eles são projetados para facilitar sua vida e não precisar digitar senhas repetidamente.
Assim, os cibercriminosos dominam essas conexões e quando as pessoas se conectam a elas, tudo que fazem passa pelos cibercriminosos. O cibercriminoso pode roubar suas senhas, dados de acesso e de pagamento, além de outros dados pessoais sigilosos.
Os gêmeos maus podem parecer iguais aos seus irmãos: a rede Wi-Fi do hotel que você está hospedado, o café que você frequenta ou o aeroporto pelo qual você está passando.
“Então, como sei se a rede Wi-Fi grátis que eu me conectei é real ou falsa? Como posso me proteger?”, você pode estar pensando. Não se preocupe, há esperança e é relativamente fácil. Vamos ver isso em um minuto.
Mas, primeiro, vamos dar uma olhada em...
Sequestros de sessão (ou como roubar biscoitos é algo que adultos fazem)
Outro tipo de ataque MITM ocorre quando criminosos pegam um trecho do código que seu navegador gera ao se conectar a sites diferentes. Isso é conhecido como sequestro de cookie e não é nem um pouco divertido quanto parece.
Esses trechos de código, ou cookies de sessão, podem conter muitas informações pessoais vitais, desde nome de usuário e senhas a formulários pré-preenchidos, suas atividades online, mesmo seu endereço físico. Assim que um cibercriminoso captura essas informações, eles podem fazer muitas coisas com elas, todas ruins: se passar por você online, entrar em suas finanças, roubo e fraude de identidade, etc.
Ataque Man In The Browser
Você pode estar fazendo suas transações bancárias online e vendo sua tela normal, mas isso é apenas uma cortina de fumaça para continuar enganando você, enquanto os cibercriminosos tiram dinheiro da sua conta.
Ataque Man In The Browser. MITB. MIB. Se resume a isso: um cavalo de Troia infecta seu dispositivo, permitindo que os criminosos entrem no meio de suas transações online (e-mails, pagamentos, serviços bancários, o que você tiver) e alterá-las para se adequar às suas necessidades. Tudo isso sem você notar, pois o que você vê em sua tela é o que os cibercriminosos querem que você veja.
Você pode estar usando seu serviço bancário online e vendo a tela normal com a quantidade de fundos que você espera ver, mas isso é apenas uma cortina de fumaça para enganá-lo: seu banco está recebendo solicitações de criminosos que fingem ser você, retirando dinheiro da sua conta, etc. Você só não pode ver isso. Quando perceber o que aconteceu, já é tarde demais.
Esses cavalos de Troia MITB entram normalmente em seu computador por fraudes de phishing, e é por isso que falamos tanto como é importante não abrir e-mails desonestos e tomar as precauções corretas ao navegar.
Como os ataques Man In The Middle funcionam?
Há duas etapas em um ataque MITM:
Etapa 1: Interceptação
A primeira ordem dos negócios de MITM é interceptar o tráfego de internet antes que ele chegue ao destino. Há alguns métodos para isso:
-
Falsificação de IP: como um grupo de ladrões de banco que coloca placas falsas em seu carro de fuga, a falsificação de IP consiste nos cibercriminosos falsificar a fonte real de dados que eles enviam ao seu computador, disfarçando como uma fonte amigável e confiável. Os dados são transmitidos online em pacotes de dados pequenos, cada um com sua tag de identificação. Os falsificadores de IP mudam a tag para algo que seu computador ou smartphone reconheça como site ou serviço legítimo. A conclusão é: seu dispositivo termina conversando com um impostor disfarçado do site real.
-
Falsificação de ARP: também chamada de envenenamento de cache ARP ou roteamento envenenado ARP, este método de MITM consiste em cibercriminosos enviando um ARP falso (soa como um arroto, mas significa Address Resolution Protocol) via uma LAN (não a companhia aérea chilena, mas Local Area Network), de forma que o endereço MAC (nem o cosmético nem o laptop, mas Media Access Control) do cibercriminoso possa ser ligado ao seu endereço IP (não um soluço, mas Internet Protocol) e receber todos os dados destinados a você. Já cansou de acrônimos?
-
Falsificação de DNS – Bem, lá vem mais um. DNS significa Domain Name System e, bem, é um sistema para traduzir nomes de domínio de internet de endereços IP longos, impronunciáveis e numéricos em títulos atraentes e fáceis para humanos, como https://omfgdogs.com (pode clicar nele, é muito legal) e vice-versa. Para acelerar as coisas online, os servidores “se lembram” dessas traduções e as salvam em um cache. Em uma falsificação de DNS ou ataque de envenenamento de cache DNS (a mesma coisa com nome diferente), os cibercriminosos invadem esse cache e alteram as traduções, por isso, você é redirecionado automaticamente a um site falso em vez do real que você queria.
Etapa 2: Descriptografia
Assim que os cibercriminosos interceptam seu tráfego web, eles precisam decifrá-lo. Aqui estão alguns métodos de descriptografia comuns usados em ataques MITM:
-
Falsificação de HTTPS – Por muito tempo, se você visse as letras HTTPS (HTTP Secure) na frente de um endereço de internet, você sabia que estava em boas mãos. HTTPS é uma chave de certificado de site que indica que suas transações nesse site são criptografadas e seus dados estão em segurança. Mas em um ataque MITM de HTTPS, um cibercriminoso instala um certificado de segurança raiz falsificado para que seu navegador ache que é um certificado confiável. Como o navegador confia nele, ele fornece a chave de criptografia necessária para decifrar os dados enviados e agora o cibercriminoso pode receber e decifrar tudo isso, ler, criptografar de novo e enviar para seu destino sem você ou o site final saber que a comunicação foi interceptada. Sorrateiro e perigoso. Por exemplo, é assim que seus e-mails ou chats online podem ser lidos, à medida que são transmitidos e recebidos.
-
SSL Beast – A volta da festa dos acrônimos! “Beast” aqui significa Browser Exploit Against SSL/TLS. SSL é o protocolo Secure Sockets Layer (como “Secure” em HTTP Secure). Isso significa que os cibercriminosos podem explorar pontos fracos no CBC (Cipher Block Chaining, desculpe, queria poder dizer que é a última sigla) para pegar e decifrar os dados que passam entre seu navegador e um servidor web. Em termos leigos, é outra maneira de descriptografar nosso tráfego web com más intenções, e isso é péssimo para nós, usuários de internet.
-
Sequestro de SSL – Um ataque Man-In-The-Middle de SSL funciona assim: quando você se conecta a um site, seu navegador se conecta primeiro à versão HTTP (não segura) do site. O servidor HTTP redireciona para a versão HTTPS (segura) do site e o novo servidor seguro fornece ao seu navegador um certificado de segurança. Ping! Você está conectado. O sequestro de SSL acontece justamente antes de você se conectar a um servidor seguro. Os cibercriminosos redirecionam todo o seu tráfego para o computador deles para que suas informações (e-mails, senhas, dados de pagamento, etc.) passem primeiro por eles.
-
SSL stripping – SSL stripping consiste em rebaixar um site de HTTPS (seguro) para HTTP (não seguro). Um cibercriminoso, por meio de um servidor proxy ou um desses truques de falsificação de ARP mencionados acima, fica entre você e uma conexão segura e serve uma versão desprotegida (HTTP) dela, de forma que todos os seus dados, senhas, pagamentos, etc., cheguem ao cibercriminoso em texto simples, descriptografado. Sem você saber, claro.
Prevenção de ataques Man-in-the-middle
Ataques MITM podem ser terríveis, mas há muito que pode ser feito para impedir e minimizar os riscos e manter seus dados, dinheiro e dignidade em segurança.
Sempre use uma VPN
Em português simples, uma VPN é um programa ou app que oculta, criptografa e disfarça tudo que você faz online: seus e-mails, chats, pesquisas, pagamentos, até mesmo sua localização. VPNs ajudam você a se proteger contra ataques MITM e proteger qualquer Wi-Fi ao criptografar seu tráfego de internet e transformá-lo em um blá-blá-blá indecifrável para todos que possam estar espionando.
Há muitas VPNs por aí e muitas delas são ruins: muito lentas, ou imprudentes com seus dados, ou não tão privadas quanto eles querem que você pense que fosse. Felizmente, sua empresa de segurança online favorita tem uma VPN fantástica que você pode confiar e você pode até experimentar de graça.
Lembre-se das dicas essenciais de segurança de site
Esse é um guia excelente e curto sobre como verificar se um site é seguro. Você não precisa de muito conhecimento técnico para começar a usar essas dicas e elas podem poupá-lo de problemas graves, online e offline.
Consiga um bom antivírus
Ataques MITM usam frequentemente malware para operar, por isso, é essencial ter um bom software antivírus em que possa confiar
Se o dinheiro estiver curto, comece por este excelente antivírus gratuito. Mas se quiser se livrar de ataques Man In the Middle, você também pode experimentar a proteção premium gratuitamente, que contém um Módulo Sites Falsos projetado especificamente para impedir que você seja redirecionado para sites de impostores. Existem excelentes programas de segurança disponíveis, para todos os bolsos. Não tem desculpa.
Como impedir ataques Man-in-the-middle de HTTPS
Lembra-se do SSL? É o tipo de ataque MITM que transforma certificados de segurança HTTPS em papel molhado, rebaixando sites para o HTTP menos seguro, sem você notar.
A solução é chamada de HSTS (HTTP Strict Transport Security), uma política de segurança que força navegadores e sites a se conectar por meio de conexões HTTPS, a todo custo. Conexão HTTP? Sem sorte. HSTS não só toma conta de ataques de SSL stripping, como também ajuda contra roubo de cookies e sequestro de sessões, o que é um bônus legal.
A boa notícia é que o HSTS está se tornando cada vez mais comum, com grandes empresas como Google, Gmail, Twitter e Paypal, além de navegadores como Chrome, Firefox, Safari, Edge e IE sendo compatíveis com ele, já há alguns anos.
Não há um botão único e fácil que pode ser clicado para converter todas as suas conexões em HSTS, mas já ajuda usar um dos navegadores HSTS mencionados acima. E se você for proprietário de um site ou servidor e quiser uma aventura técnica, aqui estão algumas instruções para torná-lo preparado para HSDS.
Como detectar um ataque Man-in-the-middle
Ataques MITM são muito difíceis de detectar enquanto estão em andamento, por isso, a melhor maneira de ficar em segurança é uma boa prevenção.
Algumas dicas podem indicar que você está sendo vítima de um ataque MITM:
-
Atrasos súbitos e longos no carregamento de página, sem motivo aparente.
-
URLs trocando de HTTPS para HTTP.
É uma lista bem curta.
A verdade é que os ataques MITM são muito difíceis de detectar enquanto estão em andamento, por isso, a melhor maneira de ficar em segurança é uma boa prevenção: como dissemos antes, baixe e use uma VPN, evite se conectar diretamente em uma rede Wi-Fi pública, instale um antivírus confiável e tenha cuidado com fraudes de phishing.
Para aqueles com mentalidade técnica, há ferramentas confiáveis que podem ajudar a detectar falsificação de ARP, uma indicação clara de um ataque MITM. Wireshark é o analisador de protocolo de rede mais usado no mundo. Ele é gratuito e de código aberto, e vai ajudar com isso.
SSL Eye é um programa de software gratuito para Windows que determina as credenciais SSL de cada site com o qual você se comunica e assim pode permitir que você saiba se está no meio de um ataque MITM.
Sua lista de verificação de prevenção de ataques Man-in-the-middle