Ataque Man-in-the-Middle, sua empresa está preparada para este tipo de fraude?

Imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento.

Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada.

Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.

A primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas.

Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.

Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.

Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.

Mas, como o atacante consegue entrar na conversa?

Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha.

Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.

E como o atacante enganou as pessoas envolvidas?

Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.

Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.

Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador.

Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos.

Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.

Considerando nosso cenário hipotético, em que a fraude foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.

Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema.

Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.

Mitigando riscos associados a um ataque Man-in-the-Middle

Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas.

Alguns dos principais métodos de defesa incluem:

  1. Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos associados a esses ataques e sobre a importância de verificar a autenticidade das conexões;
  2. Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados durante a transmissão;
  3. Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
  4. Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes envolvidas. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
  5. Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
  6. Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.

Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais, permitindo a interceptação e a manipulação de comunicações entre partes legítimas.

Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos.

Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.


Por Matheus Jacyntho e Rodrigo Pacheco

Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

Redação PTI

Mais artigos deste autor »

Portal dedicado ao compartilhamento de conteúdos relacionados a carreira em Tecnologia da Informação. Siga-nos nas redes sociais acima e acompanhe publicações diariamente :)


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!