Imagine a seguinte situação: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante de transferência.
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada. O comprador, por sua vez, responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
A primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive o pedido de mudança de conta para depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.
Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido muita sorte. Tal fraude trata-se de uma técnica de ataque chamada man-in-the-middle (MiTM) — ou adversary-in-the-middle (AiTM), como também são conhecidas. Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MiTM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como ele consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como de cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até que uma transação financeira comece a se desenrolar.
E como o fraudador enganou as pessoas envolvidas? Uma vez que ele obtém as informações de acesso, começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento que identifica alguma mensagem relacionada a pagamento, ele parte para a criação de domínios e endereços de e-mail bastantes parecidos com os originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas, sem que ninguém perceba a mudança de interlocutor. Com total controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Esse documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada.
Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.
Considerando o cenário hipotético descrito, em que a fraude foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do fraudador que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Humint (inteligência que provêm de dados e informações obtidas através de fontes humanas) e Osint (open source intelligence, termo usado para descrever a coleta, análise e processamento de informações disponíveis publicamente) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostrará disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Neste caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.
Para mitigar os riscos associados aos ataques MiTM é fundamental adotar medidas de proteção adequadas. Alguns dos principais métodos de defesa incluem:
- Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos associados a esses ataques e sobre a importância de verificar a autenticidade das conexões;
- Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MiTM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados durante a transmissão;
- Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
- Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes envolvidas. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
- Implementação de soluções de monitoramento: utilizar sistemas de monitoramento de eventos de segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MiTM;
- Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.
Os ataques MiTM representam uma ameaça significativa à segurança digital e às relações comerciais, permitindo a interceptação e a manipulação de comunicações entre partes legítimas. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.
*Matheus Jacyntho (foto) é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de forensics e investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
