Em um ataque man-in-the-middle (MITM), o criminoso se posiciona no meio da comunicação entre duas partes — por exemplo, entre você e o seu banco — para interceptar ou alterar os dados que trafegam entre elas, sem que nenhum dos lados perceba. Acontece muito em Wi-Fi público e por manipulação de rede (DNS ou ARP spoofing). A defesa combina HTTPS/TLS, VPN e MFA, além de monitoramento contínuo do ambiente.
Imagine passar um bilhete para alguém através de um intermediário. Você confia que ele apenas entrega a mensagem — mas e se ele lê tudo, copia os dados e às vezes até troca o conteúdo antes de repassar? É exatamente isso que acontece em um ataque man-in-the-middle: o criminoso vira esse intermediário invisível entre duas partes que acreditam falar direto uma com a outra.
Como o ataque acontece
Para se colocar no meio, o atacante precisa de um ponto por onde o tráfego passe — e há caminhos conhecidos para conseguir isso:
- Wi-Fi público: em uma rede aberta de aeroporto, café ou hotel, o criminoso pode capturar o tráfego de todos os conectados — ou montar um ponto de acesso falso com um nome parecido para que você se conecte a ele sem perceber.
- DNS spoofing: o atacante manipula as respostas de DNS para que o endereço de um site legítimo aponte para um servidor controlado por ele, redirecionando você a uma cópia falsa.
- ARP spoofing: dentro de uma rede local, o criminoso engana os dispositivos para que o tráfego destinado ao roteador passe primeiro pela máquina dele, que assim vê tudo o que trafega.
Em todos os casos, o objetivo é o mesmo: fazer com que os dados passem pelas mãos do atacante antes de chegar ao destino real.
O que o atacante captura
Uma vez no meio da comunicação, o criminoso pode ver — e, em canais não protegidos, até modificar — o que trafega:
- Credenciais: usuários e senhas digitados em páginas de login, o alvo mais valioso.
- Dados de sessão e cookies: que permitem se passar por você em serviços onde já está autenticado.
- Informações financeiras: dados de cartão, contas e transferências.
- Conteúdo alterado: em tráfego sem criptografia, o atacante pode injetar código ou trocar dados de pagamento no meio do caminho.
Como se proteger
A boa notícia é que os ataques MITM têm defesas maduras e conhecidas — a maioria já está ao seu alcance:
- HTTPS/TLS sempre: a criptografia de ponta a ponta faz com que, mesmo interceptado, o tráfego seja ilegível para quem está no meio. Verifique o cadeado e desconfie de avisos de certificado inválido. Entenda melhor em o que é criptografia.
- VPN em redes não confiáveis: em Wi-Fi público, uma VPN cria um túnel criptografado que protege todo o tráfego, não só o dos sites com HTTPS. Veja o que é uma VPN.
- MFA (autenticação em múltiplos fatores): mesmo que uma credencial seja capturada, o segundo fator dificulta o acesso indevido.
- Evite ações sensíveis em redes abertas: deixe operações bancárias e logins corporativos para redes confiáveis ou protegidas por VPN.
Onde o Argos entra
O Argos é o SOC gerenciado 24h da NoBug: uma equipe humana somada à IA vigia seu ambiente sem parar, faz a triagem dos alertas em português e reage aos incidentes por você. Comportamentos típicos de interceptação — como redirecionamentos suspeitos, certificados inválidos e tráfego anômalo dentro da rede — entram no radar do SOC com IA, que ajuda a detectar e conter o problema cedo. Todo o monitoramento roda com os dados no Brasil, e o SOC garante que sempre há alguém acompanhando — inclusive fora do horário comercial.
- No MITM, o atacante se coloca no meio da comunicação para interceptar ou alterar dados sem que ninguém perceba.
- Acontece muito em Wi-Fi público e por manipulação de rede, como DNS e ARP spoofing.
- Ele mira credenciais, sessões e dados financeiros — e pode até modificar o tráfego sem criptografia.
- Proteja-se com HTTPS/TLS, VPN em redes não confiáveis, MFA e monitoramento contínuo.