Scopri cosa sono gli attacchi man in the middle e come prevenirli.

Fidarsi di Internet è bene, non fidarsi è meglio.

Vent’anni fa, la maggior parte delle persone su Internet non avrebbe comprato neanche un paio di scarpe. Oggi, online facciamo di tutto, anche inviare bonifici per l’acquisto di una casa che possono essere intercettati da truffatori, come nel caso di questo attacco man in the middle a una coppia inglese.

Che cos’è cambiato? Perché oggi ci fidiamo così tanto del Web? In buona parte, perché sappiamo che esistono moltissime tecnologie di sicurezza per proteggere le nostre interazioni online: HTTPS, crittografia, autenticazione a due fattori e chi più ne ha più ne metta.
Ma siamo davvero al sicuro? Oggi, i cybercriminali più esperti hanno a disposizione molte tecniche che permettono di intromettersi nelle comunicazioni online, come dimostra l’attacco man in the middle appena citato.

In questo articolo vedremo cosa sono questi attacchi, le tipologie più diffuse e come prevenire un attacco man in the middle.

Cos’è un attacco man in the middle

Man in the middle significa letteralmente uomo nel mezzo. Ogni volta che un cybercriminale riesce a intromettersi in una comunicazione tra due soggetti senza che essi se ne rendano conto, parliamo di attacco man in the middle.

Questa categoria, spesso abbreviata come MITM o MIM, comprende molti tipi di attacchi diversi, con altrettanti scopi criminali. I più diffusi e pericolosi, che vedremo a breve, sono:

  • Man in the browser
  • DNS spoofing
  • IP spoofing
  • ARP spoofing

In tutti questi casi, il criminale utilizza diverse strategie e software per intercettare, alterare e ritrasmettere la comunicazione tra due parti che credono di comunicare tra loro.

Attacco man in the browser

Partiamo subito con l’artiglieria pesante. Gli attacchi man in the browser sono tra quelli più pericolosi e difficili da riconoscere, perché avvengono sul dispositivo dell’utente, prima ancora di raggiungere il Web.

In questo tipo di attacco, l’utente installa inconsapevolmente (spesso attraverso messaggi di phishing) un malware sul proprio computer. Questo modifica e prende il controllo di alcune funzioni del browser per alterare la comunicazione di dati online.

Ad esempio, con un attacco di questo tipo, un cracker potrebbe intercettare i dati inviati al sito di ebanking dell’utente e modificare il conto di destinazione di un bonifico o, semplicemente, registrare le credenziali di accesso al sito.

DNS spoofing

Un altro modo per ingannare l’utente è ridirigerlo su siti web falsi. I messaggi di phishing più rudimentali contengono link a questi siti, ma sono facili da riconoscere.

Così, i cybercriminali si sono inventati un metodo più ingegnoso: modificare i dati DNS relativi al sito web legittimo.
Quando ti connetti a Internet e digiti il nome di un sito nel browser, questo contatta un server DNS che contiene un lunghissimo elenco di indirizzi IP associati ai nomi standard. Siccome le richieste di risoluzione dei nomi sono tantissime, i computer salvano le coppie IP-nome sito in una memoria cache per riutilizzarle in seguito.

I cybercriminali possono “avvelenare” la cache del tuo computer con un malware e inserire una coppia indirizzo IP-nome sito falsa. La prossima volta che inserirai quel nome, verrai reindirizzato al sito ingannevole.

ARP spoofing

Un altro tipo di avvelenamento simile al precedente è l’ARP spoofing. In questo caso, il cybercriminale si inserisce in una rete locale e fa credere ai dispositivi che comunicano tra loro di essere una delle due parti. Per farlo, introduce pacchetti ARP (Address Resolution Protocol) falsi, che il computer dell’utente utilizzerà per stabilire chi è, ad esempio, il router a cui inviare il traffico destinato a Internet.

In questo modo, ogni volta che l’utente si connette a Internet, i dati vengono prima intercettati dal computer dell’hacker malintenzionato.

IP spoofing

Ecco l’attacco man in the middle per eccellenza. In modo simile al caso precedente, un cracker può inserirsi in una rete attraverso un semplice sniffer e spiare l’invio di pacchetti TCP/IP (i dati di Internet). Lo sniffing è relativamente semplice, soprattutto sulle reti di casa mal protette e sulle reti Wi-Fi pubbliche.

Attraverso un altro software più complesso, il criminale può inviare dei pacchetti dal proprio computer modificando il proprio indirizzo IP e convincendo il router di essere il computer legittimo. Inoltre, dulcis in fundo, può far credere al computer dell’utente di essere il router e così il gioco è fatto.

A questo punto, tutti i pacchetti destinati al router raggiungono invece il computer dell’hacker, che contemporaneamente filtra e altera i dati di ritorno destinati all’utente.

Altri attacchi man in the middle

Esistono molti altri tipi di attacchi MITM, ma qui ti abbiamo descritto solo quelli che devi assolutamente conoscere per capire come difenderti. La maggior parte delle altre forme di attacchi man in the middle avviene a un livello della comunicazione non diagnosticabile dall’utente medio di Internet, ad esempio tramite il furto e la falsificazione dei certificati SSL.

Piuttosto che sovraccaricarti con troppe informazioni, ti consigliamo di concentrarti su quelle più importanti per capire come gli hacker possono intercettare e alterare le tue comunicazioni online.

A questo punto, resta da vedere l’aspetto più importante: come difendersi.

Come prevenire gli attacchi man in the middle

Gli attacchi MITM sono difficilissimi da rilevare, per cui bisogna concentrarsi sulla prevenzione. Ecco i nostri consigli per ridurre i rischi e difenderti dagli attacchi man in the middle:

  • Mantieni aggiornato il sistema operativo.
  • Installa un software di cybersicurezza potente.
  • Non utilizzare reti pubbliche o aperte per l’invio di dati personali.
  • Quando ti connetti a una rete Wi-Fi pubblica, attiva la tua VPN.
  • Quando ti connetti a un sito, verifica che utilizzi il protocollo HTTPS.
  • Se devi condividere dati sensibili o realizzare operazioni importanti, verifica il certificato SSL del sito.
  • Non inviare dati personali via email.

Ma soprattutto… ATTENZIONE AL PHISHING! La maggior parte degli attacchi man in the middle va a segno innanzitutto perché l’hacker riesce a ingannare l’utente. Quindi, fai molta attenzione a link e allegati e diffida delle email in cui ti vengono richieste credenziali o dati personali.

Buona navigazione senza man in the middle!