Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli attacchi Man-in-the-middle (MITM) sono un tipo di attacco informatico in cui un malintenzionato sfrutta le informazioni che vengono scambiate tra gli interlocutori. Questo può assumere diverse forme, tra cui l’intercettazione, l’invio di messaggi scam, l’accesso ad account privati o la trasmissione di dati a un’altra parte malintenzionata. Gli attacchi MITM sono gravi e, purtroppo, più comuni di quanto pensiamo. Consentono ai criminali di accedere al bene più prezioso in nostro possesso, le informazioni.
Immagina che ci siano due interlocutori online, Francesca e Giacomo. Vogliono mantenere privata la conversazione perché stanno parlando di informazioni sensibili per le loro corrispettive aziende.
Un altro interlocutore, Alessio, vuole sapere di cosa stanno parlando, ma non vuole farsi scoprire. Poiché la conversazione non è di persona, Alessio potrebbe potenzialmente mettersi tra Francesca e Giacomo, impara cosa ha da dire ciascuno e passa le informazioni – e/o le modifica – all’altra parte senza che nessuno dei due possa venire a conoscenza che c’è qualcun altro nella loro conversazione.
Ora che abbiamo esaminato i fondamenti, esaminiamo i tipi specifici di attacchi man-in-the-middle.
Sebbene il concetto di attacco man-in-the-middle sia semplice, il numero di tecniche utilizzate per eseguirli è elevato. Di seguito sono elencate alcune delle forme più comuni di attacchi MITM.
Spoofing del router: uno degli attacchi man-in-the-middle più popolari, lo spoofing del router, avviene quando un utente malintenzionato crea una falsa rete Wi-Fi che assomiglia a reti reali nell’area per indurre gli utenti a connettersi. Una volta fatto, l’aggressore ha accesso ai dati che fluiscono dal dispositivo dell’utente.
Phishing via e-mail: è qui che un attore malintenzionato tenta di accedere a informazioni sensibili utilizzando e-mail false. Le truffe di phishing spesso utilizzano e-mail che imitano fonti ufficiali, come un dirigente aziendale o un rappresentante di una banca, per richiedere credenziali di accesso, informazioni sull’account e altri dettagli a utenti ignari.
Spoofing HTTPS: in questo attacco, gli autori malintenzionati utilizzano una versione falsa di un sito HTTPS per indurre gli utenti a fornire loro le proprie informazioni dopo averli reindirizzati lì. Si tratta di uno stratagemma problematico da individuare, poiché l’URL del sito sembra quasi identico al sito reale: gli aggressori spesso utilizzano un alfabeto leggermente diverso o scambi intelligenti di lettere per portare a termine la contraffazione.
Cache ARP: è qui che un utente malintenzionato accede a un sistema che si trova tra l’endpoint di un utente e una rete locale. Una volta che un utente si connette, l’aggressore ha accesso a tutte le informazioni che si spostano tra il dispositivo dell’utente e la rete.
Spoofing IP: la contraffazione è la parola d’ordine per gli attacchi MiTM, e questa tecnica non è diversa, che utilizza un indirizzo IP falso per indurre gli utenti a divulgare dati essenziali.
Inside man: è qui che un attacco viene assistito o orchestrato da un membro del team dell’organizzazione bersaglio. Con una conoscenza privilegiata delle operazioni, tutto ciò che riguarda l’esecuzione di un attacco MITM è meno impegnativo, rendendo questo approccio particolarmente pericoloso.
Sniffing: gli aggressori utilizzano strumenti di cattura dei pacchetti per ispezionarli a basso livello. L’uso di specifici dispositivi wireless che possono essere messi in modalità di monitoraggio o promiscua può consentire a un aggressore di vedere pacchetti non destinati a lui, come quelli indirizzati ad altri host.
Iniezione di pacchetti: un utente malintenzionato può anche sfruttare la modalità di monitoraggio del dispositivo per iniettare pacchetti dannosi nei flussi di comunicazione dei dati. I pacchetti possono confondersi con flussi di comunicazione di dati validi, sembrando parte della comunicazione, ma di natura malevola. L’iniezione di pacchetti di solito comporta un primo sniffing per determinare come e quando creare e inviare i pacchetti.
Dirottamento di sessione: la maggior parte delle applicazioni Web utilizza un meccanismo di login che genera un token di sessione temporaneo da utilizzare per le richieste future, per evitare che l’utente debba digitare una password a ogni pagina. Un aggressore può sniffare il traffico sensibile per identificare il token di sessione di un utente e utilizzarlo per effettuare richieste come l’utente stesso. Una volta ottenuto il token di sessione, l’aggressore non ha bisogno di effettuare lo spoofing.
Stripping SSL: Poiché l’uso di HTTPS è una comune salvaguardia contro lo spoofing ARP o DNS, gli aggressori utilizzano lo stripping SSL per intercettare i pacchetti e alterare le richieste di indirizzo basate su HTTPS per indirizzarle all’endpoint equivalente HTTP, costringendo l’host a effettuare richieste al server in chiaro. Le informazioni sensibili possono trapelare in chiaro.
È importante adottare misure precauzionali per prevenire gli attacchi MITM prima che si verifichino, piuttosto che cercare di rilevarli mentre si verificano attivamente. Essere consapevoli delle proprie pratiche di navigazione e riconoscere le aree potenzialmente dannose può essere essenziale per mantenere una rete sicura. Di seguito, abbiamo incluso cinque delle migliori pratiche per evitare che gli attacchi MITM compromettano le vostre comunicazioni.
Monitora la tua rete: come molti attacchi informatici, gli attacchi man-in-the-middle possono creare strane attività sulla tua rete. Ciò rende essenziale un monitoraggio costante per rilevare e neutralizzare queste minacce prima che creino danni significativi. A tal fine, potrebbe essere una buona idea installare un sistema di rilevamento delle intrusioni (IDS) per individuare i primi segni di una violazione.
Micro-segmenta e configura i tuoi endpoint: uno dei metodi migliori per neutralizzare la minaccia degli attacchi man-in-the-middle è attraverso la sicurezza degli endpoint. Una configurazione fatta a dovere di tutti gli endpoint diminuisce drasticamente la possibilità di trafugare e/o far trapelare i dati.
Utilizza connessioni sicure: sebbene non garantisca la sicurezza, richiedere ai tuoi dipendenti di visitare solo siti con una connessione HTTPS utilizzando la tecnologia Secure Socket Layer (SSL) è una buona pratica. Tutto quello che devono fare è assicurarsi che gli URL dei siti visitati inizino con “HTTPS”. Sebbene le policy rappresentino una strategia di applicazione, esistono anche plug-in del browser che garantiscono che gli utenti visitino solo siti Web HTTPS.
Autenticazione a più fattori: questa misura di sicurezza guadagna il suo mantenimento quando le credenziali di un utente sono state compromesse. L’autenticazione a più fattori richiede agli utenti di confermare la propria identità oltre al nome e alla password attraverso un percorso aggiuntivo, spesso un messaggio di testo. Ciò significa che anche gli autori malintenzionati con credenziali di accesso non potranno accedere ai tuoi sistemi.
Educa i tuoi dipendenti: per avere successo, molte tecniche di attacco man-in-the-middle dipendono da utenti target ingenui in materia di sicurezza informatica. Il phishing tramite posta elettronica, lo spoofing HTTPS, lo spoofing del router e altri approcci non funzionano bene contro utenti istruiti e attenti. Quindi forma i tuoi dipendenti sui segnali rivelatori di una truffa: cosa cercare in un URL falso, perché evitare le reti Wi-Fi pubbliche, come utilizzare una VPN, ecc. Ogni persona in azienda può commettere errori; mantenerli quanto più consapevoli possibile delle minacce migliora il tuo profilo di sicurezza.
Aggiorna il software: esattamente come il principio di aggiornare ed educare tutte le persone che lavorano in azienda, questo è un altro fondamento della sicurezza. Non mantenere aggiornato il software crea vulnerabilità inutili nell’infrastruttura tecnologica.
Utilizza la crittografia WPA: proteggi i tuoi punti di accesso wireless con un protocollo di crittografia. Ogni punto non preso in considerazione rende la tua rete suscettibile a violazioni e a un successivo attacco man-in-the-middle. Diventa quindi un must implementare la crittografia WPA, WPA2 o WPA3. Individuare un attacco Man-in-the-middle può essere difficile se non si adottano le misure adeguate. Se non si cerca attivamente di determinare se le comunicazioni sono state intercettate, un attacco Man-in-the-middle può potenzialmente passare inosservato finché non è troppo tardi. La verifica della corretta autenticazione delle pagine e l’implementazione di una sorta di rilevamento delle manomissioni sono in genere i metodi principali per rilevare un possibile attacco, ma queste procedure potrebbero richiedere ulteriori analisi forensi a posteriori.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia