Um ataque ativo é um ciberataque perigoso porque tenta alterar os recursos ou operações da sua rede de computadores. Os ataques ativos geralmente resultam em perda de dados não detectada, danos à marca e aumento do risco de roubo de identidade e fraude.
Ataques ativos representam a ameaça de maior prioridade enfrentada pelas empresas atualmente. Felizmente, há coisas que você pode fazer para evitar esses ataques e mitigar os efeitos, caso ocorram.
O que são ataques ativos?
Em um ataque ativo, os agentes de ameaças exploram os pontos fracos da rede do alvo para obter acesso aos dados contidos nela. Esses agentes de ameaças podem tentar injetar novos dados ou controlar a disseminação de dados existentes.
Os ataques ativos também envolvem alterações nos dados do dispositivo do alvo. Essas mudanças vão desde o roubo de informações pessoais até o controle total da rede. Muitas vezes, você é alertado de que o sistema foi comprometido, pois esses ataques são facilmente detectáveis, mas interrompê-los depois de iniciados pode ser bastante trabalhoso.
Empresas de pequeno e médio porte, comumente conhecidas como SMBs, geralmente suportam o peso dos ataques ativos. Isso ocorre porque a maioria das PMEs não possui recursos para adquirir medidas de segurança cibernética de ponta. E como os ataques ativos continuam a evoluir, essas medidas de segurança devem ser atualizadas regularmente ou deixarão a rede vulnerável a ataques avançados.
Como funciona um ataque ativo?
A primeira coisa que os agentes de ameaças farão depois de identificar o alvo é procurar vulnerabilidades na rede do alvo. Este é um estágio preparatório para o tipo de ataque que eles estão planejando.
Eles também usam scanners passivos para obter informações sobre o tipo de programa em execução na rede do alvo. Uma vez descobertos os pontos fracos, os hackers podem usar qualquer uma das seguintes formas de ataques ativos para minar a segurança da rede:
1. Ataque de Sequestro de Sessão
Em um ataque de sequestro de sessão, também conhecido como repetição de sessão, ataques de reprodução ou ataques de repetição, os atores da ameaça copiam as informações de ID da sessão da Internet do alvo. Eles usam essas informações para recuperar credenciais de login, representar os alvos e roubar outros dados confidenciais de seus dispositivos.
Essa representação é feita usando cookies de sessão. Esses cookies trabalham em conjunto com o protocolo de comunicação HTTP para identificar seu navegador. Mas eles permanecem no navegador depois que você faz logout ou encerra a sessão de navegação. Essa é uma vulnerabilidade que os agentes de ameaças exploram.
Eles recuperam esses cookies e enganam o navegador fazendo-o pensar que você ainda está online. Agora, os hackers podem obter qualquer informação que quiserem do seu histórico de navegação. Eles podem facilmente obter detalhes de cartão de crédito, transações financeiras e senhas de contas dessa maneira.
Existem outras maneiras pelas quais os hackers podem obter o ID da sessão de seu alvo. Outro método comum envolve o uso de links maliciosos, levando a sites com um ID pronto que o hacker pode usar para sequestrar sua sessão de navegação. Uma vez capturado, não haveria como os servidores detectarem qualquer diferença entre o ID da sessão original e o outro replicado pelos agentes da ameaça.
2. Ataque de Modificação de Mensagem
Esses ataques são principalmente baseados em e-mail. Aqui, o agente da ameaça edita os endereços dos pacotes (contendo os endereços do remetente e do destinatário) e envia o e-mail para um local completamente diferente ou modifica o conteúdo para entrar no alvo rede.
Os hackers comandam a correspondência entre o alvo e outra parte. Quando essa interceptação é concluída, eles têm a liberdade de realizar qualquer operação nela, incluindo injetar links maliciosos ou remover qualquer mensagem contida nele. O e-mail continuará sua jornada, sem que o alvo saiba que foi adulterado.
3. Ataque Mascarado
Este ataque explora pontos fracos no processo de autenticação da rede do alvo. Os agentes de ameaças usam detalhes de login roubados para representar um usuário autorizado, usando o ID do usuário para obter acesso aos servidores de destino.
Nesse ataque, o agente da ameaça, ou mascarado, pode ser um funcionário da organização ou um hacker que utiliza uma conexão com a rede pública. Processos de autorização negligentes podem permitir a entrada desses invasores, e a quantidade de dados a que eles teriam acesso depende do nível de privilégio do usuário personificado.
O primeiro passo em um ataque mascarado é usar um sniffer de rede para obter pacotes IP dos dispositivos do alvo. Esses endereços IP falsificados enganar os firewalls do alvo, contornando-os e obtendo acesso à sua rede.
4. Ataque de negação de serviço (DoS)
Nesse ataque ativo, os agentes de ameaça tornam os recursos de rede indisponíveis para os usuários autorizados pretendidos. Se você sofrer um ataque DoS, não conseguirá acessar as informações, dispositivos, atualizações e sistemas de pagamento da rede.
Existem vários tipos de ataques DoS. Um tipo é o ataque de estouro de buffer, onde os agentes de ameaças inundam os servidores do alvo com muito mais tráfego do que podem suportar. Isso faz com que os servidores travem e, como resultado, você não conseguirá acessar a rede.
Há também o ataque smurf. Os agentes de ameaças usarão dispositivos completamente configurados incorretamente para enviar pacotes ICMP (protocolo de mensagem de controle da Internet) para vários hosts de rede com um endereço IP falsificado. Esses pacotes ICMP são normalmente usados para determinar se os dados estão chegando à rede de maneira ordenada.
Os hosts que são os destinatários desses pacotes enviarão mensagens para a rede e, com muitas respostas chegando, o resultado é o mesmo: servidores travados.
Como se proteger contra ataques ativos
Ataques ativos são comuns e você deve proteger sua rede dessas operações maliciosas.
A primeira coisa que você deve fazer é instalar um firewall de última geração e sistema de prevenção de intrusão (IPS). Os firewalls devem fazer parte da segurança de qualquer rede. Eles ajudam a verificar se há atividades suspeitas e bloqueiam qualquer uma que seja detectada. O IPS monitora o tráfego de rede como firewalls e toma medidas para proteger a rede quando um ataque é identificado.
Outra forma de se proteger contra ataques ativos é usar chaves de sessão aleatórias e senhas de uso único (OTPs). As chaves de sessão são usadas para criptografar a comunicação entre duas partes. Assim que a comunicação termina, a chave é descartada e uma nova é gerada aleatoriamente quando outra comunicação começa. Isso garante segurança máxima, pois cada chave é única e não pode ser replicada. Além disso, quando uma sessão termina, a chave desse período não pode ser usada para avaliar os dados trocados durante a sessão.
Os OTPs funcionam na mesma premissa que as chaves de sessão. Eles são caracteres alfanuméricos/numéricos gerados aleatoriamente que são válidos apenas para uma finalidade e expiram após um período específico. Eles são frequentemente usados em combinação com uma senha para fornecer autenticação de dois fatores.
Hackers e invasores, firewalls e 2FA
Os ataques ativos exploram os pontos fracos dos protocolos de autenticação de uma rede. Portanto, a única maneira comprovada de prevenir esses ataques é usar firewalls, IPS, chaves de sessão aleatórias e, o mais importante, autenticação de dois fatores. Essa autenticação pode ser uma combinação de uma chave gerada aleatoriamente, um nome de usuário e uma senha.
Isso pode parecer tedioso, mas à medida que os ataques ativos evoluem e se tornam ainda mais cruéis, os processos de verificação devem enfrentar o desafio, protegendo-os contra esses ataques recebidos. Lembre-se de que, uma vez que os agentes de ameaça estejam em sua rede, será difícil eliminá-los.
