Le intercettazioni e le impersonificazioni sono diventate troppo comuni e frequenti nel panorama digitale odierno. Gli attori delle minacce utilizzano tecniche di attacco MITM per accedere e rubare dati sensibili per i crimini informatici. I bersagli abituali sono gli utenti di piattaforme finanziarie, aziende SaaS, piattaforme di e-commerce e altri siti web che richiedono la registrazione e contengono dati finanziari.
In questo blog si discuterà a fondo di cosa sia un attacco man-in-the-middle e i modi per prevenirlo.
Che cos'è un attacco Man in the Middle?
Un attacco man-in-the-middle o attacco MITM è un attacco di intercettazione in cui un cyber attore ostacola la comunicazione e il trasferimento di dati tra i server del mittente e del destinatario. Agisce come terza parte tra le stringhe di comunicazione; il nome "man in the middle" è quindi associato a questa attività informatica. In questo modo, gli attori delle minacce si comportano come parti legittime per entrambe le estremità.
Gli attacchi Man-in-the-middle sono tentati per intercettare, rubare o modificare i dati, interrompere la comunicazione e inviare collegamenti dannosi a una delle parti.
Fasi di un attacco di Man in the Middle
Le fasi di un attacco MITM standard sono duel'intercettazione e la decrittazione. Vediamo di conoscerle in dettaglio.
Intercettazione
Nella fase di intercettazione di un attacco man-in-the-middlegli attori delle minacce cercano di accedere a un sistema vulnerabile e di sabotare le comunicazioni o i dati scambiati tra le parti con l'aiuto di risorse dannose come software e strumenti. Si comportano come proxy tra le vittime (proprietari di siti web) e gli utenti (clienti, prospect, ecc.) per rubare dati e credenziali o iniettare malware.
Poiché gli attori malintenzionati si posizionano nel mezzo, ottengono dai mittenti dati sensibili che possono modificare o corrompere prima di trasmetterli all'altro capo. Il wifi non protetto è un gateway comune per l'intercettazione, insieme ad altre tecniche discusse di seguito.
- Spoofing IP
In spoofing IPgli attori delle minacce inviano pacchetti IP dannosi utilizzando indirizzi IP falsi per mascherarsi. In genere viene utilizzato per tentare attacchi DDoS o per mascherare la vera identità di un attaccante. Lo spoofing IP rende il phishing più impattante e difficile da controllare, poiché le e-mail false sembrano provenire da una fonte autentica.
Lo spoofing dell'indirizzo IP impedisce alle autorità di scoprire chi sono, quindi non possono essere rintracciati. Evita che i dispositivi delle vittime ricevano notifiche sugli attacchi, in modo che possano completare il processo senza problemi.
- Spoofing DNS
Lo spoofing DNS è una tecnica di criminalità informatica in cui gli hacker dirottano la richiesta di un browser web per un determinato sito e reindirizzano l'utente a un altro sito. In genere, l'altro sito web è falso o imita quello originale in modo da poter rubare i dati sensibili dell'utente.
Lo spoofing DNS viene effettuato alterando gli indirizzi IP dei server DNS per avviare attacchi di phishing o iniettare malware.
- Spoofing ARP
In spoofing ARPgli attori delle minacce inviano messaggi ARP o Address Resolution Protocol fraudolenti per ingannare altri dispositivi e far loro credere di essere connessi e di comunicare con qualcun altro. In questo modo, gli hacker rubano e intercettano i dati per uso malevolo.
Per tentare lo spoofing ARP, gli hacker attendono di accedere alle richieste ARP o distribuiscono un messaggio non autorizzato chiamato "ARP gratuito". Mentre il primo metodo è meno distruttivo e ha una portata più limitata, il secondo è più impattante e complicato.
- Dirottamento delle e-mail
Gli attacchi MITM via e-mail sono generalmente rivolti alle banche e ad altre istituzioni finanziarie per rubare i dati dei clienti per controllare tutte le transazioni. Gli hacker inviano anche e-mail false che sembrano provenire da una fonte legittima, in cui viene chiesto ai destinatari di condividere dettagli sensibili. Pertanto, è importante utilizzare i protocolli di autenticazione delle e-mail come SPF e DMARC per prevenire gli attacchi di email hijacking.
SPF garantisce che solo gli indirizzi IP autorizzati possano inviare e-mail utilizzando il vostro dominio, mentre DMARC specifica come trattare le e-mail che non superano i controlli SPF e DKIM (un altro protocollo di autenticazione delle e-mail).
Decodifica
La fase di decrittazione è la cosa successiva da sapere per capire cosa sia un attacco MITM.
Dopo la crittografia, gli hacker decodificano i dati ottenuti in modo non etico in un attacco MITM di successo per venderli sul mercato nero o utilizzarli per tentare attività dannose. I dati rubati vengono utilizzati per transazioni online, falsificazione, mascheramento, ecc. Di seguito sono riportati due metodi di decodifica comuni.
- Spoofing HTTPS
Nello spoofing HTTS, gli hacker ingannano il browser web dell'utente facendogli considerare legittimo un sito web illegittimo. In pratica, alterano le richieste di indirizzo basate su HTTPS per reindirizzarle ai loro endpoint equivalenti a HTTPS.
- Dirottamento SSL
SSL è l'acronimo di Secure Socket Layer, una tecnologia basata su Internet per proteggere e tutelare i dati sensibili scambiati tra due indirizzi IP. Se visitate un sito web non sicuro il cui URL inizia con HTTP, un browser protetto da SSL vi reindirizzerà automaticamente alla sua versione sicura con un URL HTTPS.
Nel dirottamento SSL, gli attacchi MITMmanipolano i computer e i server delle vittime per intercettare il percorso modificato e rubare i dati sensibili.
Segni di un attacco Man-in-the-Middle
Gli hacker stanno diventando sempre più sofisticati e utilizzano strumenti facilmente reperibili sul mercato nero. In questo modo la crittografia e la decrittografia diventano più rapide e semplici. Tuttavia, non è così impegnativo proteggersi dagli attacchi man-in-the-middle se si istruiscono se stessi e i membri del proprio team a leggere i loro segnali. Vediamo quali sono.
Disconnessioni frequenti
Gli hacker disconnettono forzatamente gli utenti per intercettare i loro nomi utente e le loro password quando si riconnettono. Se vi disconnettete o vi disconnettete ripetutamente da un determinato sito web, consideratelo un segnale di allarme.
URL strani o scritti male nella barra degli indirizzi
Confermate gli URL se sembrano strani o presentano un'alterazione ortografica. A volte, gli hacker tentano di dirottare il DNS creando siti Web falsi con lievi modifiche ortografiche, ad esempio sostituendo O (la 15a lettera dell'alfabeto inglese) con 0 (zero). Quindi, potreste non accorgervi che state visitando www.amaz0n.com invece di www.amazon.com.
URL non protetto
Non visitate siti web i cui URL iniziano con HTTP anziché HTTPS, soprattutto se dovete fare qualcosa di più che leggere informazioni. Questi non sono sicuri e criptati, il che significa che i criminali informatici possono intercettare i dati scambiati tra due parti.
Come fermare gli attacchi MITM?
State pensando a come fermare gli attacchi man-in-the-middle?? Basta essere prudenti e mettere in pratica i metodi di buona igiene di Internet condivisi di seguito.
Evitate le reti Wi-Fi pubbliche e non protette
Le reti wi-fi pubbliche non sono protette. Evitate quindi di collegarvi ad esse mentre siete in viaggio o state effettuando transazioni online. Potete utilizzare la connessione criptata del vostro operatore wireless o i router con sicurezza WPA2.
Utilizzare una VPN
L'aggiunta di una VPN o Virtual Private Network cripta il traffico tra gli endpoint e il server VPN. Questo rende difficile per gli attori delle minacce riuscire a sferrare un attacco MITM..
Uscire sempre dai siti web più importanti
Non salvate le password nei browser; effettuate sempre il logout dai siti web sensibili una volta terminata la vostra attività. Questo vale soprattutto per i siti web finanziari, come banche e gateway di pagamento.
Impostare password uniche e forti
Utilizzate password uniche per tutte le piattaforme importanti e cambiatele ogni 3-4 mesi. Una password forte dovrebbe avere almeno 12 caratteri con lettere maiuscole, minuscole, numeri e simboli speciali.
Assicuratevi che non siano troppo ovvi da indovinare: ad esempio, il nome del vostro animale domestico o il luogo di nascita.
Utilizzare l'autenticazione a più fattori
L'autenticazione a più fattori è un metodo di sicurezza che richiede più di un modo (oltre alla password) per accedere a un account o a un dispositivo. Questi metodi secondari sono la verifica delle impronte digitali, il rilevamento del volto, l'OTP, ecc.
Stop agli attacchi MITM via e-mail con MTA-STS
Infine, il metodo più efficace per proteggere le comunicazioni e-mail dagli attacchi MITM è il Mail Transfer Agent- Strict Transport Security (MTA-STS). Questa tecnologia di autenticazione delle e-mail consente di proteggere le e-mail in transito rendendo obbligatoria la crittografia del livello di trasporto in SMTP.
Sapere cosa sia un attacco MITM è importante, soprattutto per le aziende orientate alla tecnologia. Sono piuttosto comuni nel panorama digitale odierno e gli hacker stanno diventando sempre più sofisticati nel culminare i loro sforzi in risultati senza lasciare traccia. Per questo è importante che i proprietari di domini prendano misure adeguate e applichino la crittografia durante il trasferimento per impedire agli aggressori di intercettare le loro comunicazioni e-mail.
- Come trovare il miglior fornitore di soluzioni DMARC per la vostra azienda? - 25 aprile 2024
- PowerDMARC e Zendata stringono una partnership per migliorare la sicurezza dei domini - 25 aprile 2024
- PowerDMARC collabora con CNS per promuovere le pratiche di sicurezza delle e-mail in Medio Oriente - 24 aprile 2024