Cos'è un dirottamento di sessione?

Benjamin Scott
cookie hijacking

Il dirottamento di sessione è un attacco informatico che esiste da tempo. Gli hacker utilizzano la tecnologia alla base di internet per compiere questo tipo di attacco, perciò è improbabile che il fenomeno sia destinato a scomparire a breve. Anche se è difficile accorgersi di un dirottamento di sessione in corso, e spesso quando ci si riesce è ormai troppo tardi, esistono alcune strategie che gli utenti possono adottare per assicurarsi che i propri dati e connessioni siano al sicuro.

Ogni volta che usi internet, il sito web che visiti e il tuo browser avviano una sessione. Si scambiano informazioni per identificarsi a vicenda e il sito invia un cookie di sessione (insieme ad altri tipi di cookie) al fine di mantenere l'autenticazione per l'intera durata della sessione.

I cookie sono piccoli file che contengono informazioni sugli utenti. Ad esempio, un cookie di sessione permette a un negozio online di sapere quali articoli hai messo nel carrello anche dopo che hai lasciato la pagina. Grazie ai cookie, nei moduli online appaiono suggerimenti in base ai contenuti che avevi inserito in precedenza. Sono inoltre responsabili degli annunci personalizzati che ti vengono proposti: è sufficiente dare un'occhiata a un paio di scarpe su Amazon per continuare a vederle su internet nei giorni successivi.

I cookie possono essere invadenti, ma senza dubbio sono anche molto comodi. Non sei costretto a effettuare un nuovo accesso ogni volta che ti colleghi a un social network, né a rimettere daccapo nel carrello i prodotti che desideri; in più, le pagine web che visiti spesso si caricano un po' più velocemente. Purtroppo però, se non agisci con cautela, i cookie potrebbero metterti nei guai.

Come funziona un dirottamento di sessione?

In sostanza, un attacco di dirottamento di sessione si basa sul furto di cookie. Se ad esempio accedi al tuo account di social media tramite il computer di una biblioteca, il sito web invia un cookie di sessione in modo che tu non venga disconnesso quando passi alla pagina successiva. Se qualcuno riuscisse a rubare quel cookie, potrebbe fingere di essere te e causare enormi danni.

Un malintenzionato potrebbe accedere a tutte le informazioni contenute nel tuo account, come il nome, l'e-mail o il numero di telefono, ma anche l'indirizzo, i dati della carta di credito e molto altro. Potrebbe fare acquisti pagando con la tua carta, oppure inviare alla tua lista di contatti dei messaggi di spam contenenti link di phishing.

Tipi di dirottamenti di sessione

Un attacco di dirottamento di sessione può essere condotto in diversi modi:

  1. Session sidejacking. Può verificarsi quando ti connetti a una rete non protetta, come ad esempio un Wi-Fi pubblico. Un malintenzionato potrebbe intercettare o spiare una connessione e vedere cosa fanno online gli altri utenti collegati alla stessa rete. Se il sito web che stai visitando non utilizza la crittografia TLS, tutto ciò che fai su quel sito sarà visibile all'intruso, inclusi i tuoi cookie di sessione. Il criminale informatico potrà quindi continuare la tua sessione anche dopo che ti sei disconnesso.

  2. Spoofing di IP. È un attacco "man in the middle", simile al session sidejacking. Il malintenzionato usa questa tecnica per fingere di essere te sin dall'inizio. Quando tenti di connetterti a un sito web, devi eseguire un handshake TCP. Se ti colleghi tramite un Wi-Fi non protetto, l'hacker si inserirà in questo handshake a tre vie appena prima che si compia il terzo passaggio. Utilizzerà il tuo indirizzo IP ("spoofing") per sostituirsi a te ingannando il server, ed eseguire così la terza parte dell'handshake TCP. Da questo momento in avanti, l'hacker riceverà tutti i cookie e comunicherà con il sito web utilizzando la tua identità.

  3. Attacco di forza bruta. Funziona nello stesso identico modo di tutti gli attacchi di forza bruta. Il criminale informatico proverà tutti i token di sessione possibili, nella speranza di indovinare quello giusto e assumere così il controllo del tuo account.

  4. Session fixation. È come un dirottamento di sessione, ma in senso inverso. In altre parole, invece di rubare un cookie di sessione valido ed esistente, durante la session fixation il criminale informatico installa un cookie di sessione predefinito nel browser della vittima. Quando la vittima accederà a un sito, utilizzerà inevitabilmente il cookie di sessione installato in modo fraudolento: perciò questo cookie di proprietà dell'hacker verrà autenticato e potrà essere sfruttato.


Come prevenire un dirottamento di sessione?

  • Non connetterti mai a una rete Wi-Fi non protetta. Quando trascorri del tempo in una caffetteria o in altri luoghi pubblici, utilizza i dati mobili del tuo dispositivo: sarai molto più al sicuro. Se ti connetti a un hotspot pubblico, non inserire alcuna informazione personale, come credenziali di accesso o dati della carta di credito.

  • Viaggi molto, e il Wi-Fi di aeroporti e alberghi rappresenta una componente essenziale del tuo lavoro? In questo caso, utilizza una VPN per crittografare la tua connessione internet.

  • Verifica tutti i software e le app prima di scaricarli. Accertati che lo sviluppatore sia affidabile e che non si tratti di una truffa. Alcune app sono progettate per sembrare quelle originali ma, una volta installate, diffondono malware all'interno dei dispositivi.

  • Utilizza uno strumento antimalware per proteggere i tuoi dispositivi. Non solo bloccherà qualsiasi tentativo di dirottamento di sessione, ma garantirà anche la sicurezza dei tuoi dati e account online.

  • Presta molta attenzione quando usi internet. Gli attacchi tramite phishing e scareware si basano sul fatto che l'emotività offusca le nostre capacità di giudizio. Se ricevi un'e-mail con un avviso che qualcuno ha tentato di accedere al tuo account, e devi perciò prendere immediati provvedimenti, non cliccare sul link. Verifica il mittente: il suo indirizzo e-mail sembra legittimo? Nel testo sono presenti errori ortografici? I font hanno un aspetto strano? Se qualcosa ti insospettisce, potrebbe trattarsi di un'e-mail di phishing. In questo caso, la cosa migliore da fare è aprire una nuova scheda e accedere all'account che presumibilmente sarebbe stato violato, per appurare se sia accaduto davvero qualcosa.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.