O que é um ataque homem no meio? Tipos, prevenção e detecção

Neste artigo você aprenderá:

• Aprenda o que é um ataque MITM e como ele funciona, incluindo exemplos da vida real.
• Descubra como os hackers usam ataques man-in-the-middle para interferir entre você e instituições financeiras, comunicação por e-mail corporativo, mensagens internas privadas e muito mais.
• Táticas de prevenção e práticas recomendadas para implementação imediata.
• Descubra como identificar um ataque man-in-the-middle antes que uma violação de dados afete sua organização.

O que é um ataque homem no meio? Como funciona?

Um ataque Man-in-the-Middle (MITM) ocorre quando um hacker se insere entre um usuário e um site. Esse tipo de ataque ocorre de diversas formas. Por exemplo, um site bancário falso pode ser usado para capturar informações de login financeiro. O site falso fica “no meio” entre o usuário e o site real do banco.

Os invasores têm muitos motivos e métodos diferentes para usar um ataque MITM. Normalmente, eles estão tentando roubar algo, como números de cartão de crédito ou credenciais de login de usuário. Às vezes, eles estão bisbilhotando conversas privadas, que podem incluir segredos comerciais ou outras informações valiosas.

Uma coisa que quase todos os ataques têm em comum é que o bandido finge ser alguém (ou site) em quem você confia.

Tipos de ataques man-in-the-middle

Escuta de Wi-Fi

Se você já usou um laptop em uma cafeteria, deve ter notado um pop-up que diz “Esta rede não é segura. ” O wi-fi público geralmente é fornecido “no estado em que se encontra”, sem garantias sobre a qualidade do serviço.

No entanto, conexões wi-fi não criptografadas são fáceis de escutar. É como conversar em um restaurante público - qualquer pessoa pode ouvir. Você pode limitar sua exposição definindo sua rede como “pública”, o que desativa a descoberta de rede. Isso evita que outros usuários da rede acessem seu sistema.

Outro ataque de espionagem de Wi-Fi acontece quando um hacker cria seu próprio ponto de acesso Wi-Fi, chamado de “Gêmeo do Mal”. ”Eles fazem com que a conexão pareça autêntica, até o ID da rede e as senhas. Os usuários podem se conectar acidentalmente (ou automaticamente) ao “gêmeo do mal”, permitindo que o hacker espione suas atividades.

Sequestro de e-mail

Neste tipo de ataque à segurança cibernética, um hacker compromete a conta de e-mail de um usuário. Muitas vezes, o hacker espera silenciosamente, coletando informações e escutando as conversas por e-mail. Os hackers podem ter um script de pesquisa que procura palavras-chave específicas, como “banco” ou “estratégias secretas dos democratas”. ”

O sequestro de e-mail funciona bem com engenharia social. Os hackers podem usar informações de uma conta de e-mail hackeada para se passar por um amigo online. Eles também podem usar spearphishing para manipular um usuário para instalar software malicioso.

Ataques de falsificação de IP

Conforme mencionado anteriormente, todos os sistemas conectados a uma rede possuem um endereço IP. Muitas redes intranet corporativas fornecem a cada sistema seu próprio endereço IP. Na falsificação de IP, os hackers imitam o endereço IP de um dispositivo autorizado. Para a rede, o dispositivo parece estar aprovado.

Isso pode permitir que um usuário não autorizado se infiltre em uma rede. Eles podem permanecer em silêncio e registrar atividades ou podem lançar um ataque de negação de serviço (DoS). A falsificação de IP também pode ser usada em um ataque MITM, posicionando-se entre dois sistemas:

Sistema A ====== Hacker ====== Sistema B

O Sistema A e o Sistema B pensam que estão conversando entre si, mas o hacker está interceptando e conversando com ambos.

De acordo com o Índice de Inteligência de Ameaças de 2018 da IBM X-Force, 35% das atividades de exploração envolveram invasores que tentaram ataques MITM.

Fonte da imagem: IBM Threat Index

Falsificação de DNS

A internet funciona por endereços IP numéricos. Por exemplo, um dos endereços do Google é 172.217.14.228.

A maioria dos sites usa um servidor para traduzir esse endereço para um nome atraente: google.com, por exemplo. O servidor que traduz 127.217.14.228 em “google.com” é chamado de Servidor de Nomes de Domínio ou DNS.

Um hacker pode criar um servidor DNS falso. isso é chamado de “falsificação”. ”O servidor falso roteia o nome de um site real para um endereço IP diferente. O hacker pode criar um site falso no novo endereço IP que se parece com um site genuíno. Depois de visitar o site falso, um invasor pode obter acesso às suas informações confidenciais e dados pessoais.

Falsificação de HTTPS

Atualmente não é possível duplicar um site HTTPS.

No entanto, pesquisadores de segurança demonstraram um método teórico para contornar o HTTPS. O hacker cria um endereço da web que parece um endereço autêntico.

Em vez de caracteres regulares, utiliza letras de alfabetos estrangeiros. Isso aparece como e-mails de spam que você pode ter visto com caracteres estranhos. Por exemplo, Rolex pode ser escrito Rólex.

Remoção de SSL

SSL significa Secure Socket Layer. SSL é o protocolo de criptografia usado quando você vê https:// na frente de um endereço da Web, e não http://. Com SSL Stripping, o hacker intercepta e encaminha o tráfego de um usuário:

Usuário ====== Hacker ====== Site criptografado

O usuário tenta se conectar ao site criptografado. O hacker intercepta e se conecta ao site criptografado em nome do usuário. Freqüentemente, o hacker cria um site duplicado para exibir ao usuário. O usuário pensa que está conectado ao site normal, mas na verdade é o que o hacker quer que ele veja. O hacker “retirou” o protocolo SSL da conexão de rede do usuário.

Sequestro de sessão

Esse tipo de ataque Man-in-the normalmente é usado para comprometer contas de mídia social. Na maioria dos sites de mídia social, o site armazena um “cookie do navegador de sessão” na máquina do usuário. Este cookie é invalidado quando o usuário faz logoff. Mas enquanto a sessão está ativa, o cookie fornece informações de identidade, acesso e rastreamento.

Um Session Hijack ocorre quando um invasor rouba um cookie de sessão. Isso pode acontecer se a máquina do usuário estiver infectada com malware ou sequestradores de navegador. Isso também pode acontecer quando um invasor usa um ataque XSS de script cruzado, em que o invasor injeta código malicioso em um site usado com frequência.

Falsificação de ARP

ARP significa Protocolo de resolução de endereços.

Um usuário envia uma solicitação ARP e um hacker envia uma resposta falsa. Nesse caso, o hacker finge ser um dispositivo como um roteador, que permite interceptar o tráfego. Isso normalmente é limitado a redes locais (LAN) que usam o protocolo ARP.

Homem no navegador

Este é um tipo de ataque que explora vulnerabilidades em navegadores web.

Cavalos de Tróia, worms de computador, explorações de Java, ataques de injeção de SQL e complementos de navegador podem ser vetores de ataque. Freqüentemente, são usados para capturar informações financeiras.

Quando o usuário faz login em sua conta bancária, o malware captura suas credenciais. Em alguns casos, os scripts de malware podem transferir fundos e, em seguida, modificar o recibo da transação para ocultá-la.

Exemplo de ataque man-in-the-middle na vida real

No gráfico abaixo, um invasor (MITM) se inseriu entre o cliente e um servidor.

Como o hacker agora controla a comunicação, ele pode interceptar dados transferidos ou inserir outros dados, arquivos ou informações.

Man in the Middle Prevenção de Ataques

Use uma rede privada virtual (VPN) para criptografar seu tráfego da web. Uma VPN criptografada limita severamente a capacidade de um hacker de ler ou modificar o tráfego da web.

Esteja preparado para evitar perda de dados; ter um plano de resposta a incidentes de segurança cibernética.

Segurança de rede

Proteja sua rede com um sistema de detecção de invasões. Os administradores de rede devem usar uma boa higiene de rede para mitigar um ataque man-in-the-middle.

Analise padrões de tráfego para identificar comportamentos incomuns.

Sua rede deve ter firewalls e protocolos fortes para impedir acesso não autorizado.

Use ferramentas de teste de penetração de terceiros, software e criptografia HTTPS para ajudar a detectar e bloquear tentativas de falsificação.

Instale proteção ativa contra vírus e malware que inclua um scanner que é executado no sistema durante a inicialização.

Proteja suas comunicações

A criptografia é a melhor defesa para proteger contra comunicações interceptadas.

O método mais eficaz para impedir o sequestro de e-mail é habilitar a autenticação de dois fatores. Isso significa que, além da sua senha, você deverá fornecer outro vetor de autenticação. Um exemplo é a combinação do Gmail de uma senha e uma mensagem de texto para o seu smartphone.

Use higiene básica de segurança da Internet em todos os dispositivos, incluindo aplicativos móveis.

Cuidado com os e-mails de phishing, pois eles são o vetor de ataque mais comum. Examine cuidadosamente os links antes de clicar.

Instale apenas plug-ins de navegador de fontes confiáveis.

Minimize o potencial de ataques desconectando contas não utilizadas para invalidar cookies de sessão.

Force a criptografia digitando https no início:https://www.website.com

Se você espera uma conexão criptografada, mas não tem uma, pare o que estiver fazendo e execute uma verificação de segurança.

Se você usa o Google Chrome, instale uma extensão de segurança do Chrome, como HTTPS Everywhere, que força uma conexão SSL sempre que possível.

Você deverá ver um cadeado verde ou cinza à esquerda do endereço da web em seu navegador. Se você vir um cadeado vermelho, isso significa que há algo errado com a criptografia - verifique novamente os nomes de domínio e seu navegador antes de visitar um site inseguro.

Desative o “suporte a Punycode” (para renderizar caracteres de diferentes idiomas) no seu navegador.

Adicione uma solução de gerenciamento de senhas corporativas; isso evitará o preenchimento automático de senhas em um site nefasto.

Lembre-se das melhores práticas de segurança móvel. Os aplicativos móveis são frequentemente visados.

Evite usar redes Wi-Fi públicas. Se você precisar usar uma rede Wi-Fi pública, configure seu dispositivo para exigir uma conexão manual.

Esteja ciente de que alguns ataques são uma forma de engenharia social. Se algo não parece certo em um site ou e-mail, reserve alguns minutos para se aprofundar um pouco mais.

Proteja sua organização de ser vítima

Detectar um ataque é difícil, mas pode ser evitado.

Muitos ataques Man In the Middle podem ser evitados com uma boa higiene de rede, como firewalls e protocolos de segurança. É importante complementar esses esforços estando atento aos hábitos de sua rede.

Saiba como o PhoenixNAP gerencia, detecta e responde proativamente aos indicadores de segurança com nossos serviços de inteligência de gerenciamento de ameaças.