Man in the middle, tutto quello che devi sapere sull’attacco informatico

Considerato uno degli attacchi informatici più subdoli della storia dell’informatica, la tecnica Man-in-the-Middle costituisce una categoria di cyber attack a parte che può essere indirizzata ad un singolo utente o ad un gruppo di persone specifiche. L’obiettivo dell’hacker in questo caso sarà quello di spiare una specifica categoria di attività degli utenti online per trarne informazioni preziose.

Infatti, si tratta di attacchi informatici mirati a una o più vittime ben precise.
Ma prima, un breve excursus del fenomeno.

Per aiutarvi a riconoscerli, vi guideremo passo passo nel processo di definizione delle caratteristiche del metodo Man-in-the-Middle e vi forniremo alcuni consigli dei migliori esperti del settore.

man in the middle attack
  1. Che cos’è l’attacco Man-in-the-Middle
  2. Tutti i tipi di MitM
  3. Come si svolge l’attacco
  4. Riconoscere un Man-in-the-Middle attack
  5. Prevenire il rischio di attacchi Man-in-the-Middle
  6. Come intervenire dopo l’attacco

Cos’è l’attacco Man in the middle

Lo troverete scritto in mille modi diversi. La tecnica di attacco informatico Man-in-the-Middle è abbreviabile con gli acronimi di:

  • MitM
  • MITM
  • MITMA
  • MIM
  • o in italiano persino, Uomo nel mezzo.

Tanti nomi per indicare un solo attacco hacker volto a intercettare o alterare la comunicazione tra due punti. Il tutto viene fatto di soppiatto, senza dare nell’occhio affinché l’intercettazione possa durare il più a lungo possibile: il tempo necessario per carpire le informazioni necessarie. Questa tecnica di hacking comprende diverse tipologie di attacco e tutte sono indirizzate al raggiungimento di un unico obiettivo.

Genericamente, le vittime di attacchi MitM sono:

  • applicazioni web-based
  • piattaforme finanziarie
  • siti web
  • e-commerce
  • reti domestiche o connessioni Wi-Fi
  • comunicazioni via Bluetooth
  • nei procedimenti di pagamento elettronico

e qualsiasi piattaforma web che richieda l’autenticazione dell’utente. Solitamente i due punti di comunicazione tra cui l’hacker si intromette solo il client e il server, così facendo l’attaccante riesce ad a intercettare i messaggi inviati e ricevuti.
Ma non c’è limite al peggio, grazie a questa tecnica i messaggi possono perfino essere alterati a vantaggio dell’attaccante.

Quali sono i tipi di MitM attack

Esistono molteplici tipologie di attacchi man-in-the Middle, tutti accumunati dalla larga diffusione.

Man in the browser

Una delle possibili tecniche di attacco MitM è proprio il MITB o altresì detto Man-in-the-browser. Questa variante permette all’attaccante di intercettare le comunicazioni tra vittima e sito web inoculando un malware all’interno del browser utilizzato dalla vittima. Uno dei browser più colpiti della storia da questo fenomeno è stato proprio Internet Explorer. L’hacker tendenzialmente faceva installare all’utente vittima (con l’inganno) un’applicazione aggiuntiva che prometteva di aggiungere funzionalità al programma in realtà, iniettava del codice malware nel browser.

Grazie a questo codice l’attaccante era perfettamente inn grado di intercettare tutte le informazioni che passavano attraverso il browser. Nessun segnale faceva sospettare la vittima che qualcosa fosse andato storto.

DNS Spoofing

Lo spoofing del Domain Name Server è un attacco MitM che permette all’attaccante di sfruttare record DNS alterati al fine di reindirizzare il traffico di navigazione verso sito web fasulli simili agli originali. Nel pratico, il traffico dell’utente viene instradato verso pagine web truffa, costruite ricalcando in pieno lo stile del sito web originale. Normalmente sul sito web truffaldino viene quasi sempre inserito un form nel quale l’utente è invitato a inserire le credenziali di accesso o altre tipologie di dati sensibili

Come ci riescono?

Normalmente, l’attaccante compromette la cache del computer con un malware apposito e di conseguenza riesce a mettere mano ad una specifica coppia indirizzo IP-nome sito falsa.

IP Spoofing

Di fatto viene indicato come il metodo MitM preferito dagli hacker. In questo caso l’attaccante si intrufola all’interno della rete dal momento che la vittima si collega ad un Wi-Fi free o comunque, a una rete compromessa. In questo caso il criminale  maschera la propria identità presentandosi con l’indirizzo IP di un dispositivo legittimo per ottenere l’accesso a risorse che altrimenti gli sarebbero precluse.

O in alterativa, l’attaccante si pone tra due parti che sono in comunicazione, falsificando ciascuno dei loro indirizzi. In questo modo, ciascuno dei nodi vittima invia i propri pacchetti di rete all’attaccante invece di inviarli direttamente alla sua reale destinazione. L’attaccante, che si trova nel mezzo, li intercetta entrambi.

ARP Spoofing

Per ultimo ma non meno importante, lo spoofing ARP, ultima tecnica di attacco MITM grazie alla quale un attaccante invia messaggi verso una rete locale facendo credere di essere un dispositivo locale. Per far sì che la tecnica riesca, l’attaccante utilizza proprio i pacchetti ARP falsi.

Intercettazione del traffico Internet e sottrazione di informazioni: tutto quello che c’è da sapere sull’attacco informatico MitM o Man-in-the-Middle.

man in the middle attacco informatico

Tutti i tipi di attacco MITM

Le tecniche precedentemente descritte sono tutte ampiamente utilizzate dagli hacker per colpire gli utenti tramite attacco Man in the Middle ma non sono le uniche esistenti. In realtà, esistono altre decine di metodologie di attacco che colpiscono le comunicazioni legittime tra componenti della rete al fine di intercettarle e comprometterle.

Se siete alla ricerca di un’azienda specializzata in cybersecurity che vi dica se siete oggetto di un attacco MitM, contattateci al più presto per un’analisi di sicurezza.

Quali sono le fasi dell’attacco MITM

Complessivamente, per portare a termine un attacco Man in the Middle, un attaccante ha bisogno di affrontare 2 fasi fondamentali tra cui:

  1. Intercettazione
  2. Descrittazione

In altre parole, in una prima fase, l’attaccante deve essere in grado di identificare il traffico e intercettarlo (deve in qualche modo introdursi nel sistema di comunicazione). Per affrontare questo step, l’hacker può ricorrere allo Spoofing IP, allo Spoofing ARP o allo Spoofing DNS già descritti precedentemente.

Ecco che, una volta intercettato il traffico, l’hacker può finalmente passare alla fase di decripting ovvero tradurlo visionarlo. In questo caso esistono altre 3 tecniche possibili: Spoofing HTTPS, BEAST SSL e dirottamento SSL.

Non scenderemo nei particolari per scelta, sappiate solo una cosa: tendenzialmente il malintenzionato che sfrutta una di queste tecniche sceglierà la più congeniale all’obiettivo che deve perseguire.

Come riconoscere un attacco MitM

Saremo sinceri fino alla fine, riconoscere un attacco Man-in-the-Middle non è affatto semplice: un utente non si accorgerà mai che qualcuno sta utilizzando questa tecnica se siete sprovvisti di protezione informatica

Sappiate che alcuni indicatori possono darvi un’idea della eventuale presenza di un attacco MitM, ma sicuramente non la certezza:

  • tempi lunghi nel caricamento delle pagine web (o almeno di alcune);
  • gli indirizzi dei siti che sapete iniziare con https:// passano improvvisamente a http://.

Come abbiamo già specificato, queste sono solo due indicazioni sommarie che tuttavia devono mettervi in allarme qualora si verificassero.

Prevenire gli attacchi Man-in-the-Middle

Come molti altri, l’attacco MitM è un attacco informatico da cui ci si può tranquillamente difendere. Per lavorare in ottica di prevenzione, noi di Onorato Informatica consigliamo sempre di partire con la massima protezione della navigazione da parte degli utenti.
Ebbene, il miglior modo di restare al sicuro è restare lontani il più possibile da connessioni free e Wi-Fi libere di biblioteche, bar, hotel, ristoranti, piazze e altri luoghi pubblici.

Piuttosto, se avete la necessità di connettervi ad una connessione sicura quando siete fuori casa assicuratevi di scegliere la connessione dati del telefono o una rete VPN.

Altre soluzioni di prevenzione dagli attacchi MitM

Ecco altri consigli fondamentali per ridurre i rischi:

  1. Mantenere aggiornati browser, sistemi operativi e software;
  2. Effettuare ciclicamente test di sicurezza dell’infrastruttura web (siti web, CMS sviluppati internamente, applicazioni web-based, API, ecc.);
  3. Quando ti connetti a un sito, verifica che utilizzi il protocollo HTTPS;
  4. Disconnessione immediata da un’applicazione sicura quando non è in uso.
  5. Verificare la solidità dei protocolli di crittografia delle comunicazioni.

Tendenzialmente, considerate che gli attaccanti che si approcciano al MitM attaccano le comunicazioni a tal proposito: scegliete dei protocolli sicuri che impediscano le intercettazioni del traffico dati. Inoltre, considerate di introdurre dei livelli di autenticazione più strutturati.

intercettazione mitm

Cosa fare in caso di attacco

Se pensate di essere vittima di un attacco di questa categoria purtroppo non c’è protezione antivirus che tenga, il problema è molto più complesso da risolvere e da soli non potete farcela.
In conclusione, il nostro consiglio è quello di rivolgervi immediatamente ad una società specializzata in cybersecurity: in base ad una prima ricognizione della rete saranno perfettamente in grado di verificare lo stato in cui riversa la vostra rete e nello specifico, l’infrastruttura web di riferimento.