Um ataque do tipo Man In The Middle, que corresponde à sigla (MITM), em tradução livre, significa ‘homem no meio’. Saiba mais.
Para entender como funciona um ataque Man In The Middle, imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada.
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
Assim, a primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.
Ataque Man In The Middle: entenda
Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque do tipo Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como o atacante consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.
E como o atacante enganou as pessoas envolvidas?
Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.
Como investigar
Considerando nosso cenário hipotético, em que a fraude via Man In The Middle foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.
Como diminuir os riscos de um ataque Man In The Middle
Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas, como:
- Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos desses ataques e sobre a importância de verificar a autenticidade das conexões;
- Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados;
- Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
- Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
- Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
- Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.
Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.
*Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
