Ataques de phishing agora são incrivelmente comuns. Esse método de crime cibernético pode ser muito eficaz no roubo de dados e não requer muito trabalho no nível básico. Mas o phishing também vem em muitas formas, uma das quais são os ataques Adversary-in-the-Middle. Então, o que são ataques de phishing Adversary-in-the-Middle? E como você pode ficar longe deles?
O que são ataques de adversário no meio?
Um ataque de phishing Adversary-in-the-Middle (AiTM) envolve o roubo de cookies de sessão para roubar dados privados e até mesmo ignorar camadas de autenticação.
Você provavelmente já ouviu falar de cookies antes. Hoje, a maioria dos sites nos quais você clica solicita sua permissão para usar cookies para adequar melhor sua experiência online. Resumindo, os cookies rastreiam sua atividade online para entender seus hábitos. Eles são pequenos arquivos de texto de dados que podem ser enviados ao seu servidor sempre que você clicar em uma nova página da web, o que, portanto, dá a certas partes a capacidade de monitorar sua atividade.
Existem muitos tipos de cookies por aí. Alguns são necessários, e alguns simplesmente não são. Os ataques AiTM estão relacionados com cookies de sessão. São cookies que armazenam temporariamente os dados do usuário durante uma sessão na web. Esses cookies são perdidos imediatamente assim que você fecha o navegador.
Como sempre acontece com o phishing, um ataque de phishing AiTM começa com a comunicação do cibercriminoso com o alvo, geralmente por e-mail. Esses golpes também usam sites maliciosos para roubar dados.
Os ataques AiTM têm sido um problema particularmente urgente para os usuários do Microsoft 365, com os invasores entrando em contato com os alvos e solicitando que eles façam login em suas contas 365. O ator mal-intencionado se passará por um endereço oficial da Microsoft nessa fraude, o que também é típico em ataques de phishing.
O objetivo aqui não é apenas roubar informações de login, mas ignorar a autenticação multifator (MFA) da vítima ou autenticação de dois fatores (2FA) camada. Esses são recursos de segurança usados para verificar o login de uma conta solicitando permissão de um dispositivo ou conta separada, como seu smartphone ou e-mail.
O cibercriminoso também usará um servidor proxy para se comunicar com a Microsoft e hospedar a página de login 365 falsa. Esse proxy permite que o invasor roube o cookie da sessão e as informações de login da vítima. Quando a vítima insere suas informações de login no site malicioso, ele roubará o cookie da sessão para fornecer autenticação falsa. Isso dá ao invasor a capacidade de ignorar a solicitação 2FA ou MFA da vítima, dando a ela acesso direto à sua conta.
Como se proteger contra ataques de phishing AiTM
Embora um ataque de phishing AiTM seja diferente de um ataque de phishing típico, você ainda pode empregar as mesmas práticas para evitar o primeiro como faria com o último. Isso começa com todos os links fornecidos em seus e-mails.
Se você receber um e-mail de um remetente supostamente confiável informando que precisa usar o link fornecido para fazer login em uma de suas contas online, seja cauteloso. Este é um truque clássico de phishing e pode ser preocupantemente fácil de perder, especialmente se o invasor usar linguagem persuasiva ou urgente para convencê-lo a fazer login em uma conta o mais rápido possível.
Portanto, se você receber um e-mail que inclua qualquer tipo de link, certifique-se de executá-lo por meio de um site de verificação de links antes de clicar. Além disso, se o e-mail indicar que você precisa fazer login em uma conta, basta procurar a página de login em seu navegador e acessar sua conta lá. Dessa forma, você pode ver se há algum problema que precisa resolver em sua conta sem clicar em nenhum tipo de link fornecido.
Você também deve evitar abrir quaisquer anexos enviados a você de um endereço desconhecido, mesmo que o remetente afirme ser um indivíduo confiável. Anexos maliciosos também podem ser usados em ataques de phishing AiTM, então você precisa ter cuidado com o que abre.
Resumindo, se não houver necessidade real de abrir o anexo, deixe-o em paz.
Se, por outro lado, você acredita que precisa abrir o anexo, faça algumas verificações rápidas antes de fazê-lo. Você deve dar uma olhada no tipo de arquivo do anexo para determinar se ele deve ser considerado suspeito. Por exemplo, arquivos .pdf, .doc, zip e .xls são conhecidos por serem usados em anexos maliciosos, portanto, tenha cuidado se um determinado anexo for um desses tipos de arquivo.
Além disso, verifique o contexto do e-mail. Se o remetente alegar que o anexo contém um documento, como um extrato bancário, mas o arquivo tem uma extensão .mp3, você provavelmente está lidando com um anexo enganoso e potencialmente perigoso, pois um arquivo MP3 não seria usado para um documento.
Verifique o endereço do remetente de qualquer e-mail suspeito que você receber. Obviamente, cada endereço de e-mail é único, portanto, um invasor não pode usar um endereço de e-mail oficial da empresa para se comunicar com você, a menos que tenha sido hackeado. No caso de phishing, os golpistas costumam usar endereços de e-mail que se parecem um pouco com o endereço oficial de uma organização.
Por exemplo, se você receber um e-mail de alguém reivindicando a Microsoft, mas perceber que o endereço é "micr0s0ft" em vez de "Microsoft", você está lidando com um golpe de phishing. Os criminosos também adicionam uma letra ou número extra a um endereço de e-mail para que pareça muito semelhante, mas não idêntico, ao endereço legítimo.
Você pode até determinar se um link é suspeito olhando para ele. Sites maliciosos geralmente têm links que parecem incomuns. Por exemplo, se um e-mail informa que o link fornecido o levará a uma página de login da Microsoft, mas a URL informa que é um site completamente diferente, evite. Verificar o domínio do site pode ser especialmente útil para evitar phishing.
Por fim, se você receber um e-mail de uma fonte supostamente oficial repleta de erros ortográficos e gramaticais, provavelmente está lidando com um golpista. As empresas oficiais geralmente garantem que seus e-mails sejam escritos corretamente, enquanto os cibercriminosos às vezes podem ser descuidados com suas comunicações. Portanto, se um e-mail que você recebeu for escrito de forma preguiçosa, seja cauteloso ao proceder.
Esteja atento para evitar ataques de phishing AiTM
O phishing é extremamente prevalente e é usado para atingir indivíduos e organizações, o que significa que ninguém está realmente a salvo dessa ameaça. Portanto, para evitar ataques de phishing AiTM e phishing em geral, considere as dicas fornecidas acima para manter seus dados seguros.
