Tutto ciò che devi sapere sugli attacchi "man in the middle"

Lukas Grigas
Autore di contenuti sulla cybersicurezza
man in the middle attacks

Il mondo online è pieno di minacce alla sicurezza. Una di queste è nota come attacco "man in the middle", in cui un criminale informatico intercetta segretamente le comunicazioni online tra due persone.

Cos'è un attacco man in the middle?

Un attacco man in the middle (MITM) è un tipo di attacco informatico nel quale i malintenzionati intercettano di nascosto uno scambio di informazioni tra un utente e un'applicazione. Gli attacchi man in the middle possono assumere diverse forme e modalità; tuttavia, in sostanza, un attacco MITM può essere definito come un'intercettazione dannosa delle comunicazioni. Di solito, l'obiettivo delle tecniche MITM è quello di rubare dati sensibili come nomi utente, password, numeri di carte di credito, indirizzi e-mail e altre informazioni che gli aggressori possono utilizzare per trarre profitto.

Come funziona un attacco man in the middle?

Un attacco MITM comprende due fasi, note come intercettazione e decrittazione.

Intercettazione

Durante la prima fase dell'attacco MITM, un malintenzionato deve innanzitutto intercettare le comunicazioni. Nella maggior parte dei casi, gli hacker riescono a farlo assumendo il controllo di una rete Wi-Fi pubblica o creando finti hotspot Wi-Fi. Non appena la vittima si connette a una rete Wi-Fi dannosa, l'aggressore può visualizzare tutti i dati scambiati.

Decrittazione

Poiché tutto il traffico online bidirezionale è crittografato con il protocollo SSL, i criminali informatici devono decrittarlo; in caso contrario, i dati intercettati rimarrebbero illeggibili e perciò completamente inutili. Durante questa seconda fase gli hacker utilizzano diverse tecniche per decrittare i dati, ma ne parleremo più avanti.

I più famosi attacchi man in the middle

  • Nel 2013 è stato scoperto che il browser Xpress di Nokia decrittava il traffico HTTPS, fornendo così un accesso completamente in chiaro al traffico crittografato dei propri clienti.

  • Nel 2011, l'autorità di certificazione olandese DigiNotar è stata vittima di certificati fraudolenti utilizzati per eludere le misure di sicurezza di un sito, senza che i clienti ne sapessero nulla.

  • Più recentemente, il 21 settembre 2017, l'agenzia di credito al consumo statunitense Equifax ha scoperto che gli utenti venivano reindirizzati a un sito contraffatto di phishing, un altro possibile risultato di un attacco MITM. In questo caso l'hacker ha modificato il nome del dominio legittimo, "equifaxsecurity2017.com", facendolo diventare "securityequifax2017.com".

Tipi di attacchi man in the middle

I criminali informatici possono sferrare un attacco MITM in diversi modi; in ogni caso, come accennato prima, tutti i tipi di attacchi MITM includono una fase di intercettazione e una di decrittazione. Ecco alcuni esempi di diversi tipi di attacchi MITM.

  • Lo spoofing di IP si verifica quando i criminali informatici alterano l'indirizzo IP di origine di un sito web o dispositivo, allo scopo di mascherarlo. Di conseguenza, ciò fa credere agli ignari utenti di comunicare con un sito web o un dispositivo legittimo, mentre in realtà tutti i dati che condividono durante l'interazione vengono raccolti da criminali informatici.

  • Lo spoofing di DNS è, sostanzialmente, piuttosto simile allo spoofing di IP. Tuttavia, invece di alterare l'indirizzo IP, gli hacker modificano i nomi di dominio per reindirizzare il traffico su siti web fasulli. Gli utenti che visitano un sito web interessato dallo spoofing del DNS potrebbero pensare che tale sito sia legittimo; purtroppo, invece, sono finiti su un sito contraffatto spesso progettato per rubare le credenziali di accesso.

  • Lo spoofing HTTPS si verifica quando un criminale informatico configura un sito web che invia un certificato fasullo al browser della potenziale vittima, stabilendo così una falsa connessione sicura. Di conseguenza, potrà raccogliere sul suo sito contraffatto tutti i dati inseriti dagli utenti.

  • Il dirottamento SSL è una tecnica usata dagli hacker per fornire chiavi di autenticazione fasulle all'utente e all'applicazione nel momento in cui avviene l'handshake TCP. A prima vista, questa potrebbe sembrare una connessione sicura; purtroppo, in realtà, l'hacker assume il pieno controllo dell'intera sessione e di tutto il flusso di dati.

  • Il dirottamento e-mail si verifica quando i criminali informatici acquisiscono il controllo dell'account di posta elettronica di un soggetto legittimo, utilizzandolo poi per frodi finanziarie o addirittura furti di identità.

  • L'intercettazione Wi-Fi è probabilmente il tipo di attacco MITM più comune. Durante le intercettazioni Wi-Fi, gli aggressori ottengono il controllo di hotspot Wi-Fi pubblici o creano false reti Wi-Fi pubbliche a cui si connettono le potenziali vittime.

  • Il dirottamento di sessione è, in sostanza, un furto di cookie. Durante un dirottamento di sessione, gli hacker riescono ad accedere ai cookie degli utenti e poi li utilizzano per rubare dati sensibili. Come forse saprai, i cookie memorizzano alcune delle informazioni più importanti di un utente, come le credenziali di accesso e i dati personali.

Come rilevare un attacco man in the middle

Rilevare un attacco man in the middle può essere difficile. Se non stai esaminando in modo attivo le tue comunicazioni, un attacco MITM può verificarsi a tua insaputa e te ne accorgerai quando sarà ormai troppo tardi. Se vuoi giocare d'anticipo sui criminali informatici, è fondamentale intraprendere azioni adeguate nell'ambito della sicurezza delle comunicazioni. Essere consapevole delle tue abitudini di navigazione e capire quali sono le aree potenzialmente a rischio possono rivelarsi fondamentali per supportare una rete sicura.

Uno dei segnali rivelatori di un attacco man in the middle è l'interruzione inaspettata e spesso ripetuta di un particolare servizio o sito web. I criminali informatici disconnettono le sessioni dell'utente per intercettare la connessione e raccogliere dati, ed è proprio questo il probabile motivo del funzionamento anomalo.

Un altro indizio di un attacco MITM sono gli URL sospetti o irriconoscibili. Ad esempio, potresti notare che invece di google.it il tuo browser sta tentando di caricare g00glee.it.

Se sospetti di essere vittima di un attacco MITM, interrompi subito la connessione internet. Poiché i criminali informatici potrebbero aver messo le mani sui tuoi dati sensibili, come nomi utente e credenziali di accesso, ti consigliamo vivamente di cambiare le password dei tuoi account online per prevenire ulteriori danni. Puoi farlo in modo semplice e veloce con l'ausilio di un generatore di password che è un apposito strumento per la creazione istantanea di password forti e univoche.

Come proteggerti dagli attacchi man in the middle

  • Evita di usare reti Wi-Fi pubbliche

    Gli hotspot Wi-Fi pubblici sono per loro natura più pericolosi delle reti Wi-Fi domestiche, perché spesso sono privi delle misure di sicurezza necessarie per garantire una connessione sicura. Evitando di usare reti Wi-Fi pubbliche, ridurrai in modo significativo il rischio di cadere vittima di un attacco MITM.

  • Usa una VPN per una connessione sicura

    L'utilizzo di una VPN può prevenire gli attacchi man in the middle. Una VPN crea infatti un ulteriore livello di sicurezza che crittografa i tuoi dati, rendendoli a prova di attacco.

  • Presta attenzione alle notifiche del browser quando segnalano che un sito web non è sicuro

    I browser di oggi sono piuttosto validi dal punto di vista della sicurezza. La maggior parte di essi ti avvisa se stai per accedere a un sito web con standard di sicurezza discutibili. Assicurati di visitare siti web con "HTTPS" nella barra degli URL, anziché solo "HTTP". Il protocollo "HTTPS" indica infatti che il sito web è sicuro.

  • Non cadere nel tranello delle e-mail di phishing

    Al giorno d'oggi, le truffe di phishing stanno prendendo sempre più piede: i criminali informatici utilizzano gli attacchi di phishing per indurre gli utenti a scaricare file dannosi ed esporre i loro dati sensibili. Di solito, i messaggi di phishing impersonano una fonte legittima per indurre gli utenti a interagire con i messaggi. Presta particolare attenzione se noti un'e-mail sospetta. Puoi scoprire ulteriori informazioni sul phishing in generale, e su come riconoscere queste truffe, in un nostro precedente articolo del blog.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.