L’in-session phishing è una delle tecniche di attacco più insidiose nel panorama della cybersecurity, poiché sfrutta la fiducia che l’utente ripone nei siti web autentici per carpire informazioni sensibili e credenziali di accesso. Questo metodo di phishing si differenzia dalle tradizionali campagne di truffa via email, in quanto avviene direttamente all’interno della sessione di navigazione dell’utente, tramite l’uso di script malevoli o exploit di vulnerabilità nei sistemi di autenticazione.

Gli attacchi di in-session phishing rappresentano una minaccia crescente per utenti e organizzazioni, richiedendo una maggiore consapevolezza e l’adozione di misure di sicurezza più avanzate per contrastare efficacemente questa tipologia di cyber crimine.

in session phishing

Il phishing è una tecnica di attacco informatico che sfrutta l’ingegneria sociale per indurre alcuni utenti a fornire spontaneamente informazioni riservate. Come ci riescono? Inventando ogni volta strategie che illudano la loro vittima di avere a che fare con una fonte affidabile.

Già da diversi anni le campagne di phishing sono tra i tipi di attacco informatico più diffuso e sebbene molti siano consapevoli dei rischi e delle buone pratiche per difendersi ad oggi la percentuale di attacchi di phishing andato a buon fine è ancora allarmante. Gli hacker inoltre, non sembrano intenzionati ad abbandonare queste tecniche, al contrario, le previsioni indicano che i numeri che riguardano questo settore della cybersecurity sono destinati a crescere enormemente nei prossimi anni. Per contrastare i rischi legati all’ingegneria sociale, è importante conoscere tutte le tattiche scelte dagli aggressori. Proprio per questo oggi vi presentiamo l’in-session phishing.

  1. Definizione di In-session phishing
  2. Inquadrare il fenomeno dell’in-session phishing
  3. L’attacco in-session phishing, passo dopo passo
  4. Limiti del phishing “in-sessione”
  5. Come proteggersi dall’in-session phishing
  6. Vulnerabilità browser sfruttate dall’in-session phishing
  7. Conclusioni

Definizione di In-session phishing

L’in-session phishing è una sofisticata tecnica di attacco informatico che compromette la sessione di navigazione dell’utente per ottenere credenziali e dati sensibili. Si realizza attraverso l’implementazione di script malevoli o l’exploit di vulnerabilità nei sistemi di autenticazione, senza ricorrere alle tradizionali email fraudolente. L’obiettivo è ingannare l’utente, simulando l’interfaccia di servizi legittimi all’interno della sessione compromessa, per indurlo a rivelare involontariamente le proprie informazioni.

Inquadrare il fenomeno dell’in-session phishing

Quando facciamo ricerche on-line teniamo aperte contemporaneamente molte pagine. Questo ci aiuta a portare a termine il nostro compito ma ci espone ad attacchi di phishing in sessione.

In questo attacco, l’hacker apre in automatico una sessione in grado di riconoscere altre sessioni attive contemporaneamente. Poi prende di mira una delle pagine aperte e fa apparire un pop-up in modo che sembri provenire da quella. In questo modo l’utente si convince che la finestra apparsa sia parte della sessione in cui sta navigando e il malvivente può utilizzarla per estorcere informazioni sensibili. Esattamente come avviene per tutti gli attacchi di phishing: questa è semplicemente una variante del classico phishing.

L’innovazione sta nel fatto che il veicolo non è un messaggio, una e-mail o un sito contraffatto ma una finestra pop-up.

L’attacco in-session phishing, passo dopo passo

Andiamo ad esaminare tutte le fasi che compongono un attacco di questo tipo.

Aprire una sessione

Il primo passo per il malintenzionato è quello di infettare un sito e, possibilmente uno che ha un gran traffico dati ogni giorno. I cybercriminali identificano un sito web di interesse, studiano il suo layout e le sue funzionalità e preparano una pagina fasulla che replichi fedelmente l’aspetto e il comportamento del sito legittimo.
Ad esempio, verranno maggiormente presi di mira i siti web di:

  • siti web di banche o istituti di credito
  • e-commerce
  • pagine web di social network
  • siti governativi o istituzionali.

Compromissione portale web e creazione trigger

Gli aggressori possono sfruttare vulnerabilità nel sito web (es. cross-site scripting) o nel dispositivo dell’utente (es. malware) per inserire script malevoli o iframe che permettono l’iniezione di contenuti fasulli all’interno della sessione di navigazione. Successivamente, si procede con il trigger. Il trigger è un evento che attiva l’attacco di in-session phishing. Può trattarsi di un timer che scatta dopo un certo periodo di inattività dell’utente, di un evento JavaScript (es. onMouseOver) o di una combinazione di entrambi.

Una volta innescato il trigger, l’attaccante inietta nella sessione compromessa il contenuto fasullo (es. una falsa finestra di login o un modulo di inserimento dati) che si sovrappone o sostituisce il contenuto originale del sito web legittimo.

Inganno dell’utente

L’utente, credendo di interagire con il sito web legittimo, inserisce le proprie credenziali o altre informazioni sensibili nella pagina fasulla. Queste informazioni vengono poi inviate direttamente all’attaccante, spesso tramite una connessione criptata per evitare il rilevamento.

Rubare le credenziali

A questo punto se l’utente abbocca, l’hacker avrà i suoi dati direttamente dal proprietario che probabilmente non sospetterà nulla ancora per un po’ e avrà difficoltà a ricollegare le conseguenze del furto dati a quel pop-up apparso sul solito sito. I cybercriminali utilizzano le informazioni ottenute per compiere azioni fraudolente, come:

  • accessi non autorizzati a conti bancari
  • acquisti online
  • furto di identità
  • ulteriori attacchi di phishing.

Limiti del phishing “in-sessione”

Questa strategia presenta dei limiti.

Innanzitutto, il punto fondamentale è che il pop-up deve sembrare appartenente ad uno specifico servizio e di conseguenza la sua grafica deve assomigliare il più possibile a quella della pagina in questione. Ciò implica che l’hacker deve preparare un numero enorme di diversi avvisi e far apparire ogni volta quello corretto in base alla pagina che la vittima sta utilizzando. Oppure deve scegliere un target, ad esempio gli utenti di uno specifico social e aspettare che essi navighino contemporaneamente sia sul sito contraffatto che sul social.

Il tutto riduce drasticamente le occasioni di truffa.

Inoltre, rispetto ai comuni attacchi di phishing si tratta di una tattica più complessa e che necessita di più tempo, il che la rende meno efficace dei metodi tradizionali. Inoltre è piuttosto facile per le banche (ad esempio) informare i clienti che non richiederanno mai di ripetere l’accesso tramite un pop-up, il che sarebbe un modo tanto facile quanto efficace per limitare ancora le occasioni di successo.

Come proteggersi dall’in-session phishing

Per difendersi efficacemente dall’in-session phishing, è essenziale implementare una serie di misure di sicurezza a più livelli, sia per gli utenti che per i gestori dei siti web. Di seguito, un paragrafo tecnico che descrive alcune delle principali strategie di difesa.

È fondamentale utilizzare protocolli di crittografia sicuri, come HTTPS, per garantire la riservatezza e l’integrità delle comunicazioni tra client e server.
I gestori dei siti web devono adottare misure di protezione, come l’implementazione di Content Security Policy (CSP) per prevenire l’iniezione di contenuti non autorizzati e l’utilizzo di attributi “SameSite” sui cookie per ridurre il rischio di attacchi CSRF.

È importante effettuare regolarmente scansioni di sicurezza, aggiornare tempestivamente software e sistemi per correggere eventuali vulnerabilità. L’adozione di meccanismi di autenticazione a più fattori (MFA) può aggiungere un ulteriore livello di protezione contro l’accesso non autorizzato ai dati sensibili.

Infine, è importante verificare sempre l’autenticità dei siti web prima di inserire informazioni sensibili, controllando l’indirizzo URL e il certificato SSL. Infine, la formazione e la sensibilizzazione degli utenti sulle minacce informatiche e sulle tecniche di social engineering sono elementi cruciali per prevenire gli attacchi di in-session phishing e tutelare la sicurezza delle informazioni online.

Vulnerabilità browser sfruttate dall’in-session phishing

Sebbene la vulnerabilità che permette l’in-session phishing sia stata in molti casi sanata, gli hacker hanno trovato nuovi punti deboli nei codici dei browser che sfruttano per portare avanti attacchi ogni giorno. Un esempio è il furto di cookie. Dal momento che le aziende stanno trasferendo i loro archivi e molte attività online sfruttando le potenzialità offerte dai servizi di cloud, gli hacker hanno iniziato a prendere di mira i cookie che permettono l’accesso a questi servizi.

Conclusioni

Questa tecnica non è una novità del momento ma appartiene ormai al passato.

Fu scoperta dell’osservatorio americano Trusteer alla fine del 2008 e in seguito alle notifiche ai gestori dei browser dovrebbe essere definitivamente acqua passata. Si tratta di un attacco potenzialmente molto potente seppure con qualche punto debole. Non ci sono casi noti di grandi attacchi che hanno implementato questa strategia, ma l’idea di un malware introvabile, che possa ingannarci in modo così verosimile è comunque interessante. Nessuno sa infatti che cosa possa riservarci il futuro e saperne di più sul modo di ragionare di chi cerca di truffarci può sempre essere l’arma vincente per permetterci di evitare una frode informatica.