
Um ataque man-in-the-middle é uma forma de ataque cibernético que usa métodos para interceptar dados para se infiltrar em uma conexão existente ou processo de comunicação. Um invasor pode ser um ouvinte passivo em sua conversa, furtivamente roubando informações ou um participante ativo, alterando o conteúdo de suas mensagens ou personificando a pessoa ou sistema com o qual você pensa que está falando.
Lembre-se do século 20, quando muitos tinham telefones fixos com vários aparelhos e um membro da família podia atender enquanto outro falava. Você pode nem mesmo suspeitar que outra pessoa está ouvindo você até que essa pessoa comece a entrar na conversa. Este é o princípio de um ataque man-in-the-middle.
Como funciona um ataque man-in-the-middle?

A maioria dos ataques man-in-the-middle, independentemente dos métodos usados, tem uma sequência simples de ações. Vamos considerá-lo usando o exemplo de três personagens: Alice, Bob e Chuck (o atacante).
- Chuck escuta secretamente o canal em que Alice e Bob se comunicam
- Alice envia uma mensagem para Bob
- Chuck intercepta e lê a mensagem de Alice sem o conhecimento de Alice ou Bob.
- Chuck altera mensagens entre Alice e Bob, criando respostas indesejadas ou perigosas
Ataques man-in-the-middle são normalmente usados no início da cadeia de destruição - durante o reconhecimento, invasão e infecção. Os invasores costumam usar ataques man-in-the-middle para coletar credenciais e informações sobre seus alvos.
A autenticação multifator pode ser uma defesa eficaz contra roubo de credencial. Mesmo se um invasor descobrir seu nome de usuário e senha, ele precisará do seu segundo fator de autenticação para usá-los. Infelizmente, em alguns casos, a proteção multifator pode ser ignorada .
Aqui está um exemplo prático de um ataque man-in-the-middle da vida real no Microsoft Office 365, em que um invasor contornou a autenticação multifator:
- , Microsoft, .
- - .
- Microsoft, .
- Microsoft .
- -.
- - .
- Evilginx cookie- .
- Microsoft, cookie- Office 365 . .
Você pode assistir a uma demonstração ao vivo desse ataque durante nossos workshops semanais de ciberataque .
Métodos e tipos de ataques man-in-the-middle

Aqui estão algumas táticas comuns usadas pelos invasores para se tornarem o “homem do meio”.
- ARP-
(ARP) — , (MAC) IP- .
, . , ( ) . , . , .
- ( ) ().
- , .
- ARP, , .
- « » (DoS), , ARP.
- , , , « » .
- DNS
DNS , DNS, . Google, Google, , , :
- , DNS-.
- , .
- , DNS-, www.example.com IP-.
- www.example.com , DNS- , IP- !
- -, , - . , , DNS- www.example.com.
- HTTPS
HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
- - www.example.com «» - , , .
- () -.
- .
- .
- www.example.com, « », .
- Wi-Fi
Wi-Fi Wi-Fi . — , , , . -
— « », , - (, ), cookie- . Live Cyber Attack, .
cookie- , - , . ( ) , , .
Os ataques man-in-the-middle são comuns?
Os ataques man-in-the-middle já existem há muito tempo e, embora não sejam tão prevalentes quanto phishing, malware ou mesmo ransomware, geralmente fazem parte de um ataque direcionado complexo em que o invasor tem intenções claras. Por exemplo, um invasor que deseja roubar um número de cartão de banco pode encontrar esses dados interceptando o tráfego de Wi-Fi em um café. Outro invasor pode usar ataques man-in-the-middle como parte de um plano maior para penetrar na rede de uma grande empresa. Nosso laboratório de ataque man-in-the-middle demonstra como um invasor pode usar malware para interceptar o tráfego de rede e se infiltrar no email corporativo.
Como detectar um ataque man-in-the-middle

Os ataques man-in-the-middle são sutis, mas sua presença ainda deixa rastros na atividade normal da rede, e os profissionais de segurança cibernética e usuários finais podem encontrar esses rastros. É geralmente aceito que é melhor prevenir do que detectar.
Sinais de um ataque man-in-the-middle
Aqui estão alguns sinais de que você pode ter ouvintes indesejados em suas redes:
- Desconexão inesperada ou repetida: os invasores forçam os usuários a se desconectarem para interceptar o nome de usuário e a senha quando tentam se reconectar. Ao monitorar viagens inesperadas ou recorrentes, você pode antecipar esse comportamento perigoso.
- : - , . , DNS. , www.go0gle.com www.google.com.
- Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.
« »

Aqui estão algumas diretrizes para proteger você e suas redes de ataques man-in-the-middle. No entanto, nenhum deles garante 100% de confiabilidade.
Melhores práticas gerais
A adesão às regras gerais de segurança cibernética o ajudará a se proteger contra ataques man-in-the-middle:
- Conecte-se apenas a roteadores Wi-Fi protegidos ou use a conexão criptografada da operadora sem fio. Conecte-se a roteadores que usam o protocolo de segurança WPA2. Não oferece segurança absoluta, mas ainda é melhor do que nada.
- Use uma VPN para criptografar o tráfego entre os terminais e o servidor VPN (na rede corporativa ou na Internet). Se o tráfego for criptografado, será mais difícil para o “intermediário” interceptá-lo ou modificá-lo.
- , (Zoom, Teams . .)
- , .
- HTTPS-, .
- , .
- DNS HTTPS — , DNS DNS-.
- « », , , .
- « » (, ).
« »?
A criptografia ponta a ponta ajudará a impedir que um invasor leia suas mensagens de rede, mesmo se estiver ouvindo seu tráfego. Com a criptografia, o remetente e o destinatário usam uma chave compartilhada para criptografar e descriptografar as mensagens em trânsito. Sem essa chave, suas mensagens parecerão apenas um monte de caracteres aleatórios, e o "homem do meio" não poderá se beneficiar deles.
A criptografia torna difícil para um invasor interceptar e ler os dados da rede, mas ainda é possível e não fornece proteção completa contra a divulgação de suas informações, pois os invasores desenvolveram métodos para contornar a criptografia.
Por exemplo, em nosso laboratório estudando ataques man-in-the-middle, demonstramos como um invasor pode roubar um token de autenticação contendo um nome de usuário, senha e informações de autenticação multifator para fazer login em uma conta de email. Uma vez que o cookie de sessão é sequestrado, não importa se a comunicação entre o cliente e o servidor é criptografada - o hacker simplesmente efetua login como um usuário final e pode acessar as mesmas informações que esse usuário.
O futuro dos ataques man-in-the-middle
Os ataques man-in-the-middle continuarão sendo uma ferramenta eficaz no arsenal de um invasor, desde que possam interceptar dados confidenciais, como senhas e números de cartões bancários. Há uma corrida armamentista contínua entre desenvolvedores de software e provedores de serviços de rede, por um lado, e cibercriminosos, por outro, para eliminar as vulnerabilidades que os invasores usam para lançar seus ataques.
Considere, por exemplo, a expansão massiva da Internet das Coisas (IoT)nos últimos anos. Os dispositivos IoT ainda não atendem aos padrões de segurança e não têm os mesmos recursos de outros dispositivos, o que os torna mais vulneráveis a ataques man-in-the-middle. Os invasores os usam para entrar na rede de uma organização e depois passar para outros métodos. Quem poderia imaginar que uma geladeira com acesso à Internet não é apenas um novo dispositivo da moda, mas também uma falha no sistema de segurança? Os cibercriminosos sabem disso!
Redes sem fio generalizadas, como 5G, É outra oportunidade para os invasores usarem ataques man-in-the-middle para roubar dados e se infiltrar nas organizações. Isso foi amplamente demonstrado na conferência de segurança de computador BlackHat 2019. As empresas de tecnologia sem fio têm a responsabilidade de abordar vulnerabilidades como as mostradas no BlackHat e fornecer um backbone seguro para usuários e dispositivos.
As tendências atuais são tais que o número de redes e dispositivos conectados a eles está crescendo, o que significa que os invasores têm mais oportunidades de usar métodos man-in-the-middle. Conhecer os sinais reveladores de um ataque man-in-the-middle e aplicar técnicas de detecção pode ajudá-lo a detectar ataques antes que eles causem danos.
Visite nossoWorkshop de ataque cibernético ao vivo , no qual demonstramos como um invasor man-in-the-middle pode interceptar o token de autenticação de um usuário para se infiltrar e roubar dados confidenciais. Também mostraremos como a Varonis pode detectar esse tipo de ataque.