É notoriamente difícil detectar um ataque man-in-the-middle. No entanto, esses ataques têm alguns sinais sutis, incluindo chegar a sites obviamente falsos e sua conexão de internet se tornar misteriosamente não confiável. Além disso, ataques man-in-the-middle geralmente acontecem em redes públicas abertas e não criptografadas, de modo que é muito importante estar ciente do seu ambiente online o tempo todo.
Continue lendo para saber mais sobre o que são ataques man-in-the-middle, como eles funcionam, quais sinais a serem observados e como se proteger contra eles.
O que são ataques man-in-the-middle?
Os ataques man-in-the-middle (MITM) são um tipo de ataque cibernético no qual um cibercriminoso intercepta dados transferidos entre dois dispositivos, geralmente um computador ou dispositivo móvel com um navegador da web e um servidor host. Cibercriminosos utilizam ataques MITM com frequência para roubar credenciais de login e informações bancárias ou de cartões de pagamento. Eles também podem tentar alterar os dados transferidos para instalar malware e comprometer seu dispositivo.
Os ataques MITM aproveitam vulnerabilidades em redes com segurança fraca, especialmente redes Wi-Fi públicas gratuitas. Para o usuário final no dispositivo móvel ou computador, tudo pode parecer completamente normal, mesmo enquanto um ataque MITM está ocorrendo.
Como funcionam os ataques man-in-the-middle?
“Ataque man-in-the-middle” é um termo genérico utilizado para descrever vários tipos diferentes de ataques cibernéticos que envolvem a interceptação de dados. Um dos tipos de ataque MITM mais frequentes, conhecido como ataque “gêmeo maligno”, tem como alvo pessoas que utilizam redes Wi-Fi públicas gratuitas, como as encontradas em hotéis, restaurantes, aeroportos, lojas e outros locais públicos. Essas redes geralmente não são criptografadas e não exigem nenhuma senha ou apenas uma senha fraca.
Nesse tipo de ataque MITM, o ator de ameaças configura uma rede Wi-Fi falsa “parecida”, com um nome muito semelhante ao real. Por exemplo, se a rede real se chama YourHotel, a rede falsa pode se chamar YourHote1. Como o cibercriminoso controla essa rede, ele pode espionar qualquer pessoa que se conecta a ela, observando toda a atividade na Web e de aplicativos, incluindo não apenas os sites que visita, mas também as credenciais de login que o indivíduo utiliza para fazer login nas contas. Em alguns casos, o ator de ameaças pode alterar os dados transmitidos e/ou redirecionar usuários para sites maliciosos que coletam credenciais de login ou entregam malware.
Outros tipos de ataques man-in-the-middle
Agora que vimos os pontos de acesso Wi-Fi falsos, vamos examinar alguns outros ataques man-in-the-middle comuns.
Spoofing de HTTPS
O HTTPS (Protocolo Seguro de Transferência de Hipertexto) garante que todos os dados enviados entre um navegador e um site sejam criptografados. No entanto, só porque um site tem o HTTPS habilitado, não significa que o site em si é legítimo.
O spoofing de HTTPS é uma técnica MITM na qual um cibercriminoso registra um domínio muito semelhante a um domínio popular e legítimo. Por exemplo, em vez de www.example.com, o ator de ameaças registrará o www.examp1e.com, criará um site malicioso e o protegerá com HTTPS. Os usuários que inadvertidamente visitam o site falso podem não notar que a URL tem um caractere errado, especialmente porque o navegador exibirá um cadeado verde indicando que o site utiliza HTTPS.
Spoofing de IP
Um endereço de IP (protocolo de internet) é o identificador exclusivo de um dispositivo ou rede local. O spoofing de IP cria endereços IP falsos para esconder a identidade do cibercriminoso, se passar por um endereço legítimo ou ambos. O spoofing de IP geralmente engana os usuários para que acreditem que estão se comunicando com uma fonte legítima, de modo que os usuários se sentem confortáveis em compartilhar informações confidenciais com o endereço IP falso. Além disso, o spoofing de IP é utilizado em ataques de DDoS para que o sistema sob ataque não saiba de onde o tráfego está realmente vindo, o que torna difícil interromper o ataque.
Spoofing de DNS
O DNS (Sistema de Nomes de Domínio) é o diretório online de endereços IP numéricos que conecta o dispositivo de um usuário a um site. O spoofing de DNS, geralmente utilizado no pharming, altera registros de DNS e redireciona usuários para sites fraudulentos que roubam credenciais de login ou baixam malware automaticamente na máquina do visitante, ou ambos.
Manipulação de SSL
SSL (Camada de Soquetes Seguros) é um protocolo de segurança que fornece uma conexão criptografada entre um site e um usuário. A manipulação de SSL, também conhecida como seqüestro de SSL, é um tipo de ataque MITM no qual um ator de ameaças gera certificados SSL falsos para os domínios de sites HTTPS. Quando um usuário tenta visitar o site, ele é redirecionado para um site malicioso projetado para se parecer com o real.
Sequestro de sessões
O seqüestro de sessões, também chamado de seqüestro de cookies, é um tipo de ataque MITM que ocorre quando um cibercriminoso assume o controle da sua sessão de internet roubando os cookies do seu navegador. Os cookies são bits de informações que os sites utilizam para rastrear seus visitantes, o que inclui autenticar sessões de login de usuários em sites protegidos, como sites de bancos, compras, jogos ou sites com assinatura. Depois que um cibercriminoso rouba um cookie de sessão, ele pode usá-lo para se passar pelo usuário original e fazer login na conta dele.
Sinais de ataques man-in-the-middle
Ataques man-in-the-middle podem ser muito difíceis de detectar, pois são projetados para acontecer em segundo plano sem o seu conhecimento. No entanto, há sinais sutis a serem observados.
Erros de certificado SSL
Se o seu navegador exibir uma mensagem de erro sobre um certificado SSL inválido ou expirado ao tentar visitar um site, isso é um sinal de possível manipulação de SSL. O certificado SSL pode ter sido fabricado para redirecioná-lo para um site malicioso que se parece com um site legítimo. O site falso solicitará suas credenciais de login e a MFA, que o cibercriminoso então utiliza para fazer login no site legítimo.
Conexão de internet não confiável
Latência inexplicável e desconexões frequentes são sintomas de muitos problemas diferentes, incluindo configurações de rede incorretas ou problemas por parte do seu provedor de internet. No entanto, eles também podem ser um sinal de um ataque MITM, especialmente se você descartar todas as outras possíveis causas.
Site falso
Cibercriminosos se trabalham muito para fazer os sites falsos utilizados em ataques MITM parecerem legítimos, mas geralmente há diferenças sutis em fontes, cores ou logotipos. Se algo não parecer certo, verifique atentamente a URL do site para garantir que está correta. Por exemplo, você pode ver http:// em vez de https:// ou go0gle.com em vez de google.com. Também fique atento a quaisquer outras discrepâncias no site, como anúncios pop-up aleatórios ou solicitações suspeitas.
Como se proteger contra ataques man-in-the-middle
Como os ataques man-in-the-middle são muito difíceis de detectar, a melhor proteção é primeiro evitar que eles aconteçam. Veja a seguir as melhores maneiras de se proteger contra ataques MITM.
Evite Wi-Fi público
Como os ataques MITM frequentemente têm como alvo usuários de hotspots Wi-Fi públicos, a melhor maneira de evitar ataques MITM é evitar utilizar redes Wi-Fi públicas desprotegidas. Se você precisar de uma conexão com a internet enquanto estiver viajando ou passeando, use a conexão de dados do seu celular ou uma VPN. Além disso, certifique-se de que seu laptop e dispositivos móveis estejam configurados para não se conectar automaticamente a redes Wi-Fi públicas.
Use uma VPN
Uma VPN (Rede Privada Virtual) é um serviço que protege sua atividade online escondendo seu endereço IP e criptografando seus dados. Se você precisar utilizar redes Wi-Fi públicas, use uma VPN para criar uma conexão segura e criptografar seus dados transmitidos. Uma VPN impede que cibercriminosos espionem você e permite utilizar com segurança hotspots Wi-Fi públicos.
Utilize um gerenciador de senhas
Um gerenciador de senhas é uma ferramenta que armazena com segurança suas credenciais de login e informações confidenciais em um cofre criptografado. Certifique-se de que o seu gerenciador de senhas utiliza criptografia de conhecimento zero para proteger qualquer coisa que armazene no seu cofre, ou seja: ninguém tem acesso ao seu cofre, exceto você.
Uma das coisas mais importantes que um gerenciador de senhas faz para protegê-lo contra ataques MITM é não preencher automaticamente suas credenciais em um site falso. Você pode não ser capaz de perceber a diferença entre example.com e examp1e.com, especialmente em um dispositivo móvel, mas o seu gerenciador de senhas pode. Um gerenciador de senhas avisará se você estiver em um site desprotegido quando tentar preencher suas credenciais de login manualmente.
Habilite a MFA
A autenticação multifator (MFA) adiciona uma camada extra de segurança exigindo que você forneça um modo adicional de identificação antes de ter permissão para acessar uma conta online. Por exemplo, além do seu nome de usuário e senha, você deve fornecer um código de uso único ou inserir uma chave de segurança. Com a MFA habilitada, mesmo que suas credenciais de login sejam comprometidas em um ataque MITM, elas são inúteis para cibercriminosos sem o fator de autenticação adicional.
Informe-se
Os cibercriminosos estão sempre desenvolvendo novas maneiras de roubar suas informações pessoais. Informe-se sobre ameaças cibernéticas para reconhecê-las e evitá-las no futuro. Você também deve exercitar as práticas recomendadas de segurança cibernética, como utilizar senhas fortes e compartilhar informações confidenciais apenas quando absolutamente necessário.
Evite os ataques man-in-the-middle com o Keeper
Os ataques man-in-the-middle representam uma ameaça séria porque podem acontecer sem o seu conhecimento, especialmente quando você está viajando. Esses ataques geralmente acontecem em redes Wi-Fi públicas e sites suspeitos. A melhor maneira de lidar com esses tipos de ataques é se proteger contra eles. O Keeper Password Manager oferece criptografia de conhecimento zero para proteger e compartilhar suas informações confidenciais com segurança. Comece sua avaliação gratuita para se proteger contra ataques MITM.