Imagine a seguinte história:
Sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada. Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
A primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito). O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.
Você se identifica com essa situação?
Se ainda não passou por isso, você e sua empresa estão bem-preparados ou têm tido sorte. Se já vivenciou essa história, saiba que, muito provavelmente, foi vítima de um ataque do tipo ‘Man In The Middle’, que corresponde à sigla MITM, e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas como o atacante consegue entrar na conversa?
Para não alongara discussão, evitando detalhes técnicos, vamos trazer dois exemplos simples do cotidiano:
1 – Um colaborador da empresa usou uma rede Wi-Fi não segura (cafés, aeroportos etc.).
2 – Um colaborador da empresa foi vítima de phishing (recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha).
Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador. A partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.
E como o atacante enganou as pessoas envolvidas?
Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário. Normalmente, criando uma regra de redirecionamento para alguma pasta específica. A partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Trocar um l (eli) minúsculo por um I (i) maiúsculo, por exemplo, pode ser uma mudança sutil com um efeito devastador. Veja o exemplo abaixo, o qual a mudança é visualmente imperceptível:
- colaborador@brasiI.com.br – brasil escrito com “eli” minúsculo no final
- colaborador@brasiI.com.br – brasil escrito com “i” maiúsculo no final
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Obviamente, para atingir esse objetivo e ganhar a confiança do alvo, ele usa logotipos oficiais da empresa, assinaturas de e-mail no formato correto, menciona nomes reais de pessoas envolvidas no processo, confecciona uma fatura padrão etc. Afinal, ele teve tempo de estudar a caixa de e-mail atacada.
Com isso, o atacante passa a ter o controle das negociações, uma vez que intercepta todos os movimentos. O último passo é enviar um documento com novas informações bancárias para o pagamento.
Nesse cenário, vale destacar que empresas internacionais, geralmente as pouco conhecidas pelo público em geral ou que usam siglas em seus domínios, são alvos recorrentes. No entanto, a criatividade dos fraudadores não poupa nem mesmo conglomerados famosos.
Desdobramentos
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. E o que pode ser feito?
Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador.
Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país/região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos.
Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental. Considerando nosso cenário hipotético, em que a fraude foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos (acessos de outros países, fora do horário comercial, entre outros). A partir daí, é possível obter informações como a geolocalização do usuário que efetuou login na conta de mail em determinado momento.
Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude. Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.
Medidas de Proteção
Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas. Alguns dos principais métodos de defesa incluem:
- Conscientização do usuário: é fundamental educar os usuários e oscolaboradores sobre os riscos associados aos ataques MITM e sobre a importância de verificar a autenticidade das conexões;
- Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras de ponta a ponta é uma das medidas mais eficazes contra ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados durante a transmissão;
- Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
- Duplo fator de Autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes envolvidas. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
- Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
- Atualização regular de software: manter o software e os sistemas operacionais atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques MITM.
Mantendo o controle
Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais, permitindo a interceptação e a manipulação de comunicações entre partes legítimas. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.
