Che cos’è un attacco Man in the Middle (MitM)?

man in the middleUn attacco Man in the Middle è un termine generico per indicare quelle situazioni in cui un hacker si posiziona come intermediario tra un utente e un sito per spiare o impersonare una delle parti, facendolo apparire come un normale scambio di informazioni.

Entrambe le parti, non accorgendosi della presenza di una terza persona, si scambiano messaggi e informazioni credendo di comunicare in modo diretto e sicuro.

A questo punto l’hacker può monitorare ed eventualmente modificare il contenuto di tali messaggi.

Come funziona? Supponiamo che tu abbia ricevuto un’email che sembra provenire dalla tua banca, nella quale ti viene richiesto di accedere al tuo account per confermare le tue informazioni di contatto.

Cliccando sul collegamento contenuto nell’email, vieni indirizzato a quello che sembra essere il sito della tua banca.

In questo scenario, il Man in the Middle ti ha inviato un’email simile a quella che potrebbe inviarti la tua banca.

Anche il sito al quale vieni indirizzato assomiglierà a quello della tua banca ma, se inserisci le tue credenziali, non stai realmente accedendo al tuo conto bancario, stai consegnando le tue credenziali all’aggressore.

L’obiettivo di questo tipo di attacchi è rubare informazioni personali, come credenziali di accesso, dettagli dell’account e numeri di carta di credito.

Le informazioni ottenute durante un attacco potrebbero esser utilizzate per molti scopi, inclusi furto d’identità, trasferimenti di fondi non approvati o una modifica illecita della password.

L’esecuzioni di un attacco Man in the Middle ha due fasi:

Intercettazione

Il primo passaggio intercetta il traffico degli utenti attraverso la rete dell’aggressore prima che raggiunga la destinazione prevista.

Il modo più comune e semplice per farlo è un attacco passivo in cui un utente malintenzionato rende disponibili al pubblico dannosi hotspot WiFi gratuiti e non protetti da password.

Una volta che una vittima si connette a un tale hotspot, l’hacker ottiene piena visibilità su qualsiasi scambio di dati online.

Ci sono anche diversi tipi di attacchi che comportano un approccio più attivo all’intercettazione come lo spoofing IP che coinvolge un utente malintenzionato, il quale si “traveste” da sito web, alterando le intestazioni dei pacchetti in un indirizzo IP.

Di conseguenza, gli utenti che tentano di accedere a un URL collegato al sito vengono inviati al sito web dell’aggressore.

Decrittazione

Dopo l’intercettazione, qualsiasi traffico SSL bidirezionale viene decrittografato senza avvisare l’utente o il sito.

Esistono diversi modi per raggiungere questo obiettivo, come lo spoofing HTTPS: viene inviato un certificato falso al browser della vittima una volta che effettua la richiesta di connessione iniziale ad un sito protetto.

Contiene un’identificazione personale digitale associata al sito compromesso, che il browser verifica in base a un elenco esistente di siti attendibili.

L’aggressore è quindi in grado di accedere a tutti i dati inseriti dalla vittima prima che vengano passati al sito.

Come prevenite gli attacchi Man in the Middle?

Il blocco degli attacchi MitM richiede diversi passaggi pratici da parte degli utenti, nonché una combinazione di metodi di crittografia e verifica per i siti.

Per gli utenti, questo significa:

  • Evitare connessioni WiFi non protette da password;
  • Prestare attenzione alle notifiche del browser che segnalano un sito web come non protetto;
  • Disconnessione immediata da un’applicazione protetta quando non è in uso;
  • Non utilizzare reti pubbliche, ad esempio quelle dei bar, quando si effettuano transazioni sensibili;
  • L’autenticazione a più fattori può essere uno strumento di protezione efficace contro il furto delle credenziali. Anche se il tuo nome utente e la tua password vengono raccolti da un Man in the Middle, avrebbe comunque bisogno del tuo secondo fattore per utilizzarli;
  • Utilizzare protocolli di comunicazione sicuri, inclusi TLS e HTTPS, che aiutano a mitigare questi attacchi crittografando e autenticando in modo efficace i dati trasmessi. In questo modo si impedisce l’intercettazione del traffico del sito e viene bloccata la decrittografia dei dati sensibili.

Se hai bisogno di aiuto o vuoi maggiori informazioni, contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza.

You may also like