Cos'è il dirottamento di sessione? Tipi e suggerimenti per la protezione

I token di sessione e i cookie sono diventati bersaglio dei criminali informatici perché consentono agli utenti di rimanere connessi senza dover inserire nuovamente le proprie credenziali. Gli aggressori che li ottengono possono impersonare gli utenti senza far scattare alcun allarme di sicurezza immediato. L'uso sempre più frequente di applicazioni di lavoro remoto e cloud, tra l'altro, ha reso più diffusi gli attacchi di dirottamento di sessione perché questi ambienti espongono le sessioni degli utenti attraverso il traffico non crittografato e le configurazioni non sicure.

La conoscenza delle tecniche di dirottamento delle sessioni e delle strategie di difesa protegge sia i dati individuali che i sistemi dell'infrastruttura aziendale.

Che cos'è il dirottamento di sessione?

Un attacco informatico noto come "session hijacking" consente agli aggressori di ottenere il controllo delle sessioni attive degli utenti su siti web e applicazioni. Con questo metodo di attacco, gli aggressori possono utilizzare i token di sessione rubati per accedere agli account degli utenti senza attivare gli avvisi di sicurezza. I siti web e le applicazioni che mantengono l'autenticazione degli utenti si affidano ai token di sessione e ai cookie per mantenere un accesso continuo agli utenti.

Il server utilizza questi piccoli dati per identificare le sessioni degli utenti, eliminando così la necessità di inserire nuovamente i dati di accesso. Gli aggressori ottengono i token di sessione tramite intercettazioni di rete, attacchi di malware e vulnerabilità XSS (cross-site scripting). L'attaccante può utilizzare il token rubato per autenticarsi con il server, che verificherà la sua identità come quella dell'utente originale.

Il dirottamento di sessione si concentra sull'intercettazione delle comunicazioni tra utente e server, invece di tentare di accedere direttamente al server. Gli attacchi di session hijacking che hanno successo comportano il furto di dati, l'accesso non autorizzato e la frode d'identità, minacciando sia la privacy individuale che le informazioni sensibili per l'azienda.

Prevenire gli attacchi di dirottamento di sessione con PowerDMARC!

Come funziona il dirottamento di sessione

Di seguito viene fornita una spiegazione chiara e graduale di come i siti web creano e mantengono le sessioni utente, dove si presentano i punti deboli e come gli aggressori li sfruttano.

1. Come vengono stabilite e mantenute le sessioni utente

• Quando si accede, il server crea una sessione per ricordare chi si è, senza richiedere la password a ogni richiesta.
• Il server fornisce al client un identificatore di sessione (ID di sessione o token). Questo identificatore viene inviato con le richieste successive, consentendo al server di riconoscere l'utente e di concedere l'accesso alle risorse protette.

2. Come vengono generati, memorizzati e convalidati gli ID/token di sessione.

• Generazione: I buoni sistemi creano i token utilizzando valori casuali crittograficamente forti (ad alta entropia) e spesso includono metadati (timestamp, date di scadenza). Esempi: ID di sessione casuali opachi o token firmati come i JWT.
• Archiviazione (lato client):
  • Cookie (il più comune): il server imposta un cookie contenente l'ID della sessione. I cookie possono contenere flag come HttpOnly, Secure e SameSite per ridurre i rischi.
  • Web storage (localStorage / sessionStorage) o variabili in-memory: a volte usate per i token nelle applicazioni a pagina singola - sono più esposte a JavaScript.
• Convalida (lato server):
  • Il server controlla il token rispetto a un archivio di sessione (in memoria, database o cache) o verifica la firma del token (per i token stateless come JWT).
  • Il server in genere fa rispettare la scadenza, può controllare la revoca del token e (facoltativamente) lega la sessione a fattori aggiuntivi, come l'indirizzo IP o l'agente utente.

3. Come gli aggressori trovano e sfruttano i punti deboli

Gli aggressori cercano punti deboli nella generazione, archiviazione, trasmissione e convalida dei token:

• Token prevedibili: Se gli ID sono indovinabili o utilizzano una bassa entropia, gli aggressori possono forzare brutalmente o enumerare le sessioni.
• Token di lunga durata: I token che non scadono mai offrono agli aggressori una finestra più lunga per l'uso improprio.
• Scarsa convalida: I server che non controllano la scadenza, non revocano i token o non effettuano una nuova autenticazione per le azioni sensibili sono più facili da sfruttare.
• Fissazione della sessione: L'aggressore costringe la vittima a utilizzare un ID di sessione di cui è a conoscenza, quindi accede come vittima.
• Esposizione lato client: i token nello storage accessibile da JavaScript (localStorage) sono vulnerabili agli XSS.

4. Punti di ingresso comuni (dove vengono rubati i token)

• Connessioni non criptate (HTTP/ Wi-Fi aperto): Gli aggressori possono sniffare il traffico di rete (Man-in-the-Middle/sniffing) e catturare cookie o token inviati senza TLS.
• Cross-Site Scripting (XSS): Uno script dannoso eseguito nel browser della vittima legge i token memorizzati nei cookie (se non HttpOnly) o nel localStorage e li invia all'aggressore.
• Malware/keylogger: Rubano i token memorizzati o i dati di sessione dal dispositivo.
• Cross-Site Request Forgery (CSRF) / social engineering: Inducono gli utenti a eseguire azioni che espongono informazioni sulla sessione o consentono all'aggressore di sfruttare le sessioni attive.
• Macchine o profili di browser condivisi/pubblici: Le sessioni autenticate avanzate o le credenziali memorizzate consentono un facile accesso.
• Cattiva gestione dei cookie: Mancano i flag HttpOnly, Secure o SameSite, oppure i cookie sono impostati su domini/sottodomini troppo ampi.

5. Cosa fanno gli aggressori con i dati di sessione rubati

• Riproduzione del token/cookie: L'attaccante invia il token rubato al server al posto della vittima e il server lo accetta come richiesta autenticata, impersonando di fatto l'utente.
• Eseguire azioni o rubare dati: Accedere a dati privati, modificare le impostazioni, trasferire fondi o visualizzare messaggi come utente.
• Escalation dei privilegi: Combinare il furto di sessione con altre falle per ottenere l'accesso all'amministrazione o per passare ad altri account.
• Mantenere l'accesso persistente: Finché il token non scade o non viene revocato, l'attaccante può continuare ad agire come utente.

6. Punto chiave dell'obiettivo dell'attacco

Il dirottamento di sessione prende di mira il livello di comunicazione e di gestione delle sessioni tra client e server e di solito non richiede l'intrusione nel server stesso. L'aggressore sfrutta una vulnerabilità nel modo in cui il token di sessione viene gestito o trasmesso.

Metodi comuni utilizzati dagli aggressori

Di seguito sono riportate le tecniche più comuni utilizzate dagli aggressori per rubare o abusare dei token di sessione. Ogni metodo si rivolge a un diverso punto debole nel modo in cui le sessioni vengono create, memorizzate o trasmesse e gli aggressori spesso combinano diversi metodi (ad esempio, utilizzando XSS per eseguire il side-jacking della sessione).

Leggete questi documenti come un catalogo di attacchi pratici, in modo da poter riconoscere, dare priorità e difendere i punti in cui le sessioni sono più vulnerabili.

1. Attacco Man-in-the-browser

Un attacco man-in-the-browser (MITB) viene effettuato da un malware che infetta il browser dell'utente (spesso sotto forma di Trojan o di estensione dannosa). Una volta all'interno del browser, può leggere e modificare le pagine web e le richieste prima che vengano crittografate o dopo che siano state decifrate, in modo che le azioni appaiano normali sia all'utente che al server.

Poiché il codice dannoso viene eseguito all'interno del browser stesso, gli attacchi MITB possono aggirare le protezioni SSL/TLS (operano sul DOM e sulle richieste in chiaro all'interno del browser) e quindi possono apparire perfettamente legittimi agli utenti. Il malware MITB è particolarmente pericoloso per le operazioni sensibili, in quanto può catturare i login, modificare i dettagli delle transazioni bancarie, iniettare richieste aggiuntive o inoltrare silenziosamente i token di sessione all'aggressore.

Mitigazioni: eseguire una protezione anti-malware ed endpoint affidabile, attivare controlli sull'integrità del browser (attestazione, whitelisting delle estensioni), mantenere aggiornati browser ed estensioni, utilizzare la firma delle transazioni o la conferma fuori banda per le azioni ad alto rischio e impiegare l'autenticazione a più fattori, in modo che i token di sessione rubati da soli siano meno utili.

2. Forza bruta

Gli aggressori possono anche adottare un approccio di forza bruta quando gli ID di sessione sono deboli o prevedibili. In questo contesto, forza bruta significa indovinare o enumerare programmaticamente gli ID di sessione/token fino a trovarne uno valido. Invece di rubare un token dalla rete o dall'utente, l'aggressore testa un gran numero di valori candidati e controlla quali sono accettati dal server.

Se i token di sessione sono brevi, sequenziali, derivati da valori a bassa entropia o comunque indovinabili, lo spazio dei possibili token validi è sufficientemente piccolo da consentire l'indovinazione automatica entro una finestra di tempo e di sforzo fattibile. I token di lunga durata rendono la cosa ancora più semplice, perché un token valido rimane utile anche dopo essere stato scoperto.

Difese (consigliate):

• Emettere token di sessione crittograficamente forti e ad alta entropia.
• Applicare l'HTTPS a tutte le pagine per evitare l'esposizione dei token in transito.
• Utilizzate brevi durate di sessione e ruotate i token dopo l'esecuzione di azioni sensibili.
• Implementare politiche rigorose di limitazione della velocità e di blocco per IP/account per rallentare o bloccare i tentativi di indovinare in massa.
• Aggiungere il rilevamento e la registrazione delle anomalie (avvisi su fallimenti ripetuti o utilizzo insolito dei token).
• Impiegate il CAPTCHA o il throttling progressivo per le richieste ad alta frequenza e richiedete l'MFA per le operazioni sensibili.

Queste misure rendono impraticabile e rapidamente rilevabile l'indovinello a forza bruta, proteggendo le sessioni degli utenti da questa classe di attacchi.

3. Sollevamento laterale della sessione

In un attacco side-jacking di sessione, l'aggressore intercetta il traffico di rete di un utente per catturare le informazioni sulla sessione e prendere il controllo della sua sessione web attiva.

Questa tecnica si basa sullo sniffing dei pacchetti, in cui l'aggressore monitora i dati trasmessi su una rete. È particolarmente efficace su connessioni non sicure o non criptate, come il Wi-Fi pubblico o i siti Web che utilizzano HTTP semplice, perché i token di sessione e altre informazioni sensibili viaggiano in chiaro. Una volta catturato il traffico, l'aggressore analizza i pacchetti per estrarre gli ID di sessione o i cookie di autenticazione.

Con un token valido, possono impersonare l'utente e accedere al suo account o eseguire azioni all'interno della sessione. La crittografia di tutte le comunicazioni con HTTPS/TLS impedisce agli aggressori di leggere o modificare i pacchetti, neutralizzando di fatto questo attacco. Altre misure includono l'utilizzo di flag sicuri per i cookie(Secure e HttpOnly) e la garanzia che le operazioni sensibili richiedano sempre una nuova autenticazione, anziché affidarsi esclusivamente ai token di sessione esistenti.

4. Cross-site scripting

Il cross-site scripting è un altro tipo di dirottamento di sessione in cui gli script lato client sono iniettati nelle pagine web. L'inserimento di questi script è reso facile dai punti meno sicuri del server web e aiuta gli aggressori ad accedere alle chiavi di sessione. Di conseguenza, il controllo della sessione web viene trasferito all'attaccante senza notificare nessuno.

5. Fissazione della sessione

L'attacco di fissazione della sessione è fatto da aggressori che sono abbastanza furbi e fiduciosi da inviarvi un'e-mail per accedere a un sito web attraverso un link. Una volta ottenuto l'accesso autenticato al sito web utilizzando lo stesso link, si consegna l'accesso all'attaccante. Sembra che tu sia venuto con l'aggressore travestito da tuo amico e abbia aperto la serratura della tua scatola del tesoro per dargli facile accesso.

Come rilevare il dirottamento di sessione

L'individuazione di un dirottamento di sessione spesso comporta il monitoraggio di comportamenti insoliti degli utenti e l'identificazione di anomalie nell'attività di sessione. Alcuni indicatori e tecniche chiave includono:

• Indicatori comportamentali: Cambiamenti improvvisi nell'indirizzo IP di un utente, accessi multipli da luoghi diversi o modelli di attività insoliti possono segnalare una sessione dirottata.
• Analisi dei registri e sistemi di rilevamento delle intrusioni (IDS): l' esame regolare dei registri dei server e delle applicazioni e l'uso di strumenti IDS aiutano a identificare attività di sessione irregolari o ripetuti tentativi di accesso non riusciti.
• Modelli di sessione: Il monitoraggio della durata della sessione, delle modifiche al dispositivo o della frequenza delle richieste può rivelare attività anomale che potrebbero indicare un dirottamento.
• Sistemi di allarme: Gli avvisi automatici che notificano agli amministratori i comportamenti sospetti delle sessioni consentono una risposta rapida prima che gli aggressori possano causare danni significativi.
• Autenticazione a più fattori (MFA): Richiedere l'MFA quando vengono rilevate anomalie aggiunge un ulteriore passaggio di verifica, rendendo più difficile per gli aggressori sfruttare i token di sessione rubati.

Come prevenire il dirottamento di sessione

Le misure preventive sono fondamentali perché fermare un attacco prima che avvenga è sempre più sicuro che affrontarne le conseguenze. I passi fondamentali per proteggere le sessioni includono:

• Distribuire MTA-STS: Assicura che le sessioni di posta elettronica e le comunicazioni con i server siano crittografate, impedendo agli aggressori di intercettare i token in transito.
• Garantire la sicurezza del sito: Utilizzare HTTPS/TLS per tutte le pagine, flag per i cookie sicuri(HttpOnly, Secure, SameSite) e generazione di token di sessione forti per proteggere l'integrità della sessione.
• Pensate prima di fare clic: Evitate link o download sospetti che potrebbero iniettare malware nel vostro browser e rubare i token di sessione.
• Installare antivirus e firewall: Proteggere gli endpoint da malware, trojan ed exploit del browser che possono dirottare le sessioni.
• Evitare il Wi-Fi pubblico: Le reti pubbliche o non affidabili sono più vulnerabili allo sniffing dei pacchetti; utilizzate VPN o connessioni sicure per ridurre l'esposizione.

Ognuna di queste misure migliora la sicurezza delle sessioni, garantendo che i dati sensibili e gli account utente rimangano protetti da accessi non autorizzati.

Conclusione

Il dirottamento di sessione è una grave minaccia informatica in cui gli aggressori rubano o sfruttano i token di sessione attivi per impersonare gli utenti e ottenere un accesso non autorizzato. Comprendere i meccanismi di questi attacchi e implementare misure preventive-come la crittografia, la gestione sicura delle sessioni, gli strumenti anti-malware e un comportamento attento da parte degli utenti, possono ridurre significativamente il rischio.

La missione di PowerDMARC è quella di migliorare la sicurezza della posta elettronica e del web, fornendo strumenti e servizi che aiutano le organizzazioni a rilevare, prevenire e rispondere a minacce come il dirottamento di sessione. Sfruttando queste soluzioni, gli utenti possono salvaguardare i propri account, i dati sensibili e la presenza online in generale contro le minacce informatiche in continua evoluzione.

Domande frequenti

Quali sono le conseguenze del dirottamento di sessione?

Il dirottamento di sessione consente agli aggressori di accedere ai vostri account senza autorizzazione. Possono rubare dati personali o sensibili, apportare modifiche non autorizzate o addirittura cancellare contenuti. È possibile che si verifichino perdite finanziarie se vengono presi di mira conti bancari o di pagamento. Per le aziende, le sessioni esposte possono causare danni alla reputazione.

HTTPS impedisce il dirottamento di sessione?

L'HTTPS cripta i dati tra il browser e il server, rendendo molto più difficile per gli aggressori intercettare i token di sessione. Tuttavia, non blocca attacchi come malware, exploit man-in-the-browser o cross-site scripting. La combinazione di HTTPS con una forte gestione delle sessioni e un'autenticazione a più fattori offre una protezione migliore.

Qual è la differenza tra session hijacking e spoofing?

Il dirottamento di sessione si verifica quando un aggressore ruba una sessione attiva per impersonare un utente. Lo spoofing, invece, consiste nel fingere di essere qualcun altro senza utilizzare una sessione reale. Entrambi consentono l'accesso non autorizzato, ma l'hijacking si basa sull'acquisizione di un token di sessione valido.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Che cos'è BIMI? Affidabilità delle e-mail e identità del marchio - 26 dicembre 2025
• Che cos'è un record CAA? Guida alla sicurezza DNS - 24 dicembre 2025
• È sicuro aprire le email di spam? Rischi e consigli per la sicurezza - 16 dicembre 2025