Un autore di un attacco di interposizione si piazza tra le vittime e i servizi che stanno cercando di raggiungere, spesso allo scopo di rubare dati.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è la sicurezza delle applicazioni Web?
Cross-Site Request Forgery (CSRF, richiesta intersito falsa)
Attacco brute-force
Cos'è un buffer overflow?
Cos'è l'SQL injection?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Gli autori di un attacco di interposizione si posizionano tra due dispositivi (spesso un browser Web e un server Web) e intercettano o modificano le comunicazioni tra i due. Gli autori degli attacchi possono quindi raccogliere informazioni e impersonare uno dei due agenti. Oltre ai siti Web, questi attacchi possono prendere di mira le comunicazioni e-mail, le ricerche DNS e le reti Wi-Fi pubbliche. Gli obiettivi tipici degli autori di un attacco di interposizione includono le aziende SaaS, le aziende di e-commerce e gli utenti di applicazioni finanziarie.
Puoi pensare a un autore di un attacco di interposizione come a un impiegato delle poste disonesto che si siede in un ufficio postale e intercetta le lettere scritte tra due persone. Questo dipendente delle poste può leggere i messaggi privati e perfino modificarne il contenuto prima di consegnarli ai destinatari previsti.
In un esempio più moderno, un autore di un attacco di interposizione può piazzarsi tra un utente e il sito Web che desidera visitare e impossessarsi del suo nome utente e della sua password. Ciò può essere fatto prendendo di mira la connessione HTTP tra l'utente e il sito Web; con l'hijack di questa connessione, un malintenzionato può agire come un proxy, raccogliendo e modificando le informazioni inviate tra l'utente e il sito. In alternativa, l'autore dell'attacco può rubare i cookie di un utente (piccoli frammenti di dati creati da un sito Web e memorizzati sul computer dell'utente a scopo di identificazione e per altri scopi). Questi cookie rubati possono essere utilizzati per dirottare la sessione di un utente, consentendo a un utente malintenzionato di impersonare quell'utente sul sito.
Gli autori di attacchi di interposizione possono anche prendere di mira i server DNS. Il processo di ricerca DNS è ciò che consente ai browser Web di trovare siti Web traducendo i nomi di dominio in indirizzi IP. Negli attacchi di interposizione DNS, come lo spoofing del DNS e l'hijack del DNS, un malintenzionato può compromettere il processo di ricerca DNS e inviare gli utenti ai siti sbagliati, spesso siti che distribuiscono malware e/o raccolgono informazioni sensibili.
Un altro attacco comune è l'hijack delle e-mail, che gli autori di un attacco di interposizione sfruttano per infiltrarsi nei server di posta elettronica inserendosi tra un server di posta elettronica e il Web. Una volta che il server è compromesso, gli autori dell'attacco possono monitorare le comunicazioni e-mail per vari scopi. Una di queste truffe consiste nell'attendere che si verifichi una situazione in cui una persona deve trasferire denaro a un'altra (ad esempio, un cliente che paga un'azienda). Gli autori dell'attacco possono quindi utilizzare un indirizzo e-mail falsificato per richiedere che il denaro venga trasferito sul conto di uno di loro. L'e-mail sembrerà legittima e innocua al destinatario ("Mi dispiace, c'è un errore di battitura nella mia ultima e-mail. Il mio numero di conto è in realtà XXX-XXXX”), rendendo questo attacco molto efficace e finanziariamente devastante. Nel 2015, un'organizzazione criminale informatica in Belgio ha utilizzato l'hijack delle e-mail per rubare oltre 6 milioni di euro da diverse aziende europee.
Gli attacchi di interposizione vengono spesso perpetrati su reti Wi-Fi. Gli autori di attacchi possono creare reti Wi-Fi dannose che sembrano innocue o che sono cloni di reti Wi-Fi legittime. Una volta che un utente si connette alla rete Wi-Fi compromessa, un autore di un attacco di interposizione può monitorare l'attività online di quell'utente. Gli autori di attacchi sofisticati possono persino reindirizzare il browser dell'utente a copie false di siti Web legittimi.
Poiché gli autori di attacchi di interposizione utilizzano diversi metodi, non esiste una soluzione unica per questi attacchi. Uno dei modi più fondamentali per proteggersi dagli attacchi che prendono di mira il traffico HTTP è adottare SSL/TLS, che crea connessioni sicure tra utenti e servizi Web. Sfortunatamente questa non è una soluzione infallibile, poiché gli autori di attacchi di interposizione più sofisticati possono comunque aggirare la protezione SSL/TLS. Per proteggersi ulteriormente da questo tipo di attacchi, alcuni servizi Web implementano HTTP Strict Transport Security (HSTS), che impone connessioni SSL/TLS sicure con qualsiasi browser o applicazione, bloccando tutte le connessioni HTTP non sicure e impedendo anche il furto di cookie. Scopri di più su HSTS sul blog di Cloudflare.
I certificati di autenticazione possono essere utilizzati per proteggersi anche da questo tipo di attacchi. Un'organizzazione può implementare l'autenticazione basata su certificati su tutti i propri dispositivi in modo che solo gli utenti con certificati configurati correttamente possano accedere al sistema.
Per impedire l'hijack delle e-mail, è possibile utilizzare le estensioni Secure/Multipurpose Internet Mail Extensions (S/MIME). Questo protocollo crittografa le e-mail e consente agli utenti di firmarle digitalmente con un certificato digitale univoco, comunicando al destinatario che il messaggio è legittimo.
I singoli utenti possono anche proteggersi dagli autori di attacchi di interposizione evitando di inviare informazioni sensibili su qualsiasi rete Wi-Fi pubblica, a meno che non siano protetti da una rete privata virtuale (VPN) sicura.