Il mondo online è pieno di minacce alla sicurezza. Una di queste minacce è nota come attacco man-in-the-middle, un tipo di attacco in cui un cattivo attore intercetta segretamente le comunicazioni online tra due persone.
Cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle (MITM) è un tipo di attacco informatico durante il quale i malintenzionati intercettano una conversazione tra un utente e un'applicazione. Gli attacchi MITM possono assumere una diversa varietà di forme. Tuttavia, in sostanza, un attacco MITM può essere definito come un'intercettazione dannosa delle comunicazioni. Di solito, l'obiettivo del MITM è quello di rubare dati sensibili come nomi utente, password, numeri di carte di credito, indirizzi email e altre informazioni che gli aggressori possono utilizzare per trarre profitto.
Come funziona un attacco man-in-the-middle?
Un attacco MITM comprende due fasi note come intercettazione e decrittazione.
Intercettazione
Durante la prima fase dell'attacco MITM, un malintenzionato deve prima intercettare le comunicazioni. Nella maggior parte dei casi, gli hacker possono intercettare le comunicazioni prendendo il controllo di una rete Wi-Fi pubblica o creando finti hotspot Wi-Fi. Non appena la vittima si connette a una rete Wi-Fi dannosa, l'aggressore ottiene una visione completa su tutto lo scambio di dati.
Decrittazione
Poiché tutto il traffico online bidirezionale è crittografato con il protocollo SSL, i malintenzionati hanno necessità di decrittografarlo; in caso contrario, i dati intercettati rimangono illeggibili, rendendoli del tutto inutili. Durante la fase di decrittazione, gli hacker utilizzano varie tecniche per decrittografare i dati, ma ne parleremo più avanti.
Famosi attacchi man-in-the-middle
Nel 2013, si è scoperto che il browser Xpress di Nokia decrittografasse il traffico HTTPS, fornendo un accesso completamente in chiaro del traffico crittografato dei propri clienti.
Nel 2011, l'autorità di certificazione olandese DigiNotar è stata vittima di certificati fraudolenti utilizzati per abbattere i muri di sicurezza di un sito, con i clienti totalmente all'oscuro.
Più recentemente, il 21 settembre 2017, Equifax ha scoperto che gli utenti venivano reindirizzati a un falso sito di phishing, altro risultato di un attacco MITM. In questo caso, l'utente malintenzionato ha cambiato il nome di dominio da equifaxsecurity2017.com in securityequifax2017.com.
Tipi di attacchi man-in-the-middle
Sebbene i criminali informatici possano lanciare un attacco MITM in vari modi, tutti gli attacchi includono fasi di intercettazione e decrittazione. Ecco alcuni esempi di diversi tipi di attacco MITM.
Lo spoofing IP si verifica quando i criminali informatici alterano l'indirizzo IP di origine di un sito Web o di un dispositivo al fine di mascherarlo. Di conseguenza, ciò fa credere agli utenti ignari di comunicare con un sito Web o un dispositivo legittimo, mentre in realtà tutti i dati che condividono durante l'interazione vengono raccolti da criminali informatici.
Lo spoofing DNS è, in sostanza, abbastanza simile allo spoofing IP. Tuttavia, invece di alterare l'indirizzo IP, gli aggressori modificano i nomi di dominio per reindirizzare il traffico a siti Web fasulli. Gli utenti che accedono a un sito Web interessato da Spoofing DNS potrebbero pensare di consultare un sito legittimo; sfortunatamente, finiscono su un sito Web falso spesso progettato per rubare le credenziali di accesso.
Lo spoofing HTTPS si verifica quando i cybercriminali configuarano un sito Web per inviare un falso certificato al browser della potenziale vittima e stabilire una falsa connessione sicura. Di conseguenza, i malintenzionati possono raccogliere tutti i dati inseriti dall'utente interessato su un sito Web falsificato.
Il dirottamento di sessione (hijacking SSL) è una tecnica durante la quale i criminali informatici infilano finte chiavi di autenticazione all'utente e all'applicazione contemporaneamente all'handshake TCP. A prima vista, questa potrebbe sembrare una connessione sicura. Sfortunatamente, la realtà è che l'aggressore prende il pieno controllo dell'intera sessione e di tutto il flusso di dati.
Un attacco hijacking email si verifica quando gli aggressori ottengono il controllo dell'account email di un'entità legittima e lo utilizzano per condurre frodi finanziarie o persino furti di identità .
Un attacco eavesdropping Wi-Fi è probabilmente il tipo più comune di attacco MITM. Durante le intercettazioni Wi-Fi, gli aggressori ottengono il controllo degli hotspot Wi-Fi pubblici o creano false reti Wi-Fi pubbliche a cui si connettono le potenziali vittime.
Il dirottamento della sessione è essenzialmente ciò che chiameresti furto di cookie. Durante il dirottamento della sessione, i malintenzionati ottengono l'accesso ai tuoi cookie e li usano per rubare dati sensibili. Come forse saprai, i cookie memorizzano alcune delle informazioni più importanti, come le tue credenziali di accesso e i tuoi dati personali.
Come rilevare un attacco man-in-the-middle
Rilevare un attacco man-in-the-middle può essere difficile. Se non stai esaminando attivamente le tue comunicazioni, un attacco MITM può essere eseguito sottotraccia finché ormai non è troppo tardi. Se desideri anticipare potenziali criminali informatici, è fondamentale intraprendere azioni adeguate nell'ambito della sicurezza delle comunicazioni. Essere consapevoli delle proprie abitudini di navigazione e comprendere aree potenzialmente pericolose può essere essenziale per supportare una rete sicura.
Uno degli "omaggi" lasciati da un attacco man-in-the-middle è l'interruzione inaspettata e spesso ripetuta di un particolare servizio o sito web. Gli aggressori disconnettono le sessioni utente per intercettare la connessione e raccogliere dati, che è anche la probabile ragione alla base dei disturbi.
Un'altra peculiarità di un attacco MITM sono gli URL sospetti o irriconoscibili. Ad esempio, potresti notare che invece di google.it il tuo browser sta tentando di caricare g00glee.it.
Se sospetti di essere caduto vittima di un attacco MITM, assicurati di interrompere la connessione a Internet. Poiché i criminali informatici potrebbero aver messo le mani sui tuoi dati sensibili, come nomi utente e credenziali di accesso, ti consigliamo vivamente di cambiare le password dei tuoi account online per prevenire ulteriori danni. Puoi farlo in modo rapido e semplice con l'aiuto di un generatore di password, uno strumento progettato per creare password complesse e uniche.
Come proteggersi dagli attacchi man-in-the-middle
Evita l'uso delle reti Wi-Fi pubbliche
Gli hotspot Wi-Fi pubblici sono intrinsecamente più pericolosi della rete Wi-Fi domestica perché spesso mancano delle misure di sicurezza necessarie per garantire una connettività sicura. Astenendoti dall'utilizzare reti Wi-Fi pubbliche, ridurrai significativamente il rischio di cadere vittima di un attacco MITM.
Usa VPN per una connessione sicura
L'utilizzo di una VPN può prevenire attacchi man-in-the-middle. Una VPN crea un ulteriore livello di sicurezza che crittografa i tuoi dati, rendendoli a prova di attacco.
Presta attenzione alle notifiche del browser quando segnalano che un sito Web non è sicuro
I browser Web di oggi sono piuttosto esperti dal punto di vista della sicurezza. La maggior parte dei browser moderni emette avvisi se stai per accedere a un sito Web con standard di sicurezza discutibili. Assicurati di visitare siti Web con "HTTPS" nella barra degli URL anziché solo "HTTP". Il protocollo "HTTPS" indica che il sito web è sicuro.
Evita email di phishing
Le truffe di phishing stanno prendendo sempre più piede. I cybercriminali utilizzano attacchi di phishing per indurre gli utenti a scaricare file dannosi ed esporre i loro dati sensibili. Di solito, i messaggi di phishing impersonano una fonte legittima per indurre gli utenti a interagire con i messaggi. Fai particolare attenzione se noti un'email sospetta. Puoi saperne di più sul phishing in generale e su come rilevare tali truffe nel nostro precedente post sul blog.