È notoriamente difficile rilevare un attacco man-in-the-middle. Tuttavia, questi attacchi hanno alcuni segnali sottili, tra cui l’indirizzamento a siti web palesemente falsi e la connessione Internet che diventa misteriosamente inaffidabile. Inoltre, gli attacchi man-in-the-middle spesso avvengono su reti pubbliche aperte e non crittografate, quindi è molto importante essere consapevoli del tuo ambiente online in ogni momento.
Continua a leggere per scoprire di più su cosa sono gli attacchi man-in-the-middle, come funzionano, a quali segnali prestare attenzione e come proteggerti.
Che cosa sono gli attacchi Man-in-the-Middle?
Gli attacchi man-in-the-middle (MITM) sono un tipo di attacco informatico in cui un cybercriminale intercetta i dati trasferiti tra due dispositivi, spesso un computer o un dispositivo mobile che esegue un browser web e un server host. I cybercriminali utilizzano spesso gli attacchi MITM per rubare le credenziali di accesso e le informazioni bancarie o delle carte di pagamento. I cybercriminali potrebbero anche cercare di alterare i dati scambiati per installare malware e compromettere il tuo dispositivo.
Gli attacchi MITM sfruttano le vulnerabilità su reti con sicurezza debole, in particolare le reti WiFi pubbliche gratuite. Per l’utente finale sul suo dispositivo mobile o computer, tutto potrebbe sembrare completamente normale anche mentre è in corso un attacco MITM.
Come funzionano gli attacchi Man-in-the-Middle?
“Attacco man-in-the-middle” è un termine generico utilizzato per descrivere diversi tipi di attacchi informatici che coinvolgono l’intercettazione dei dati. Uno dei tipi di attacco MITM più frequenti, noto come “evil twin” (gemello cattivo), prende di mira le persone che usano le reti WiFi pubbliche, come quelle di hotel ristoranti, aeroporti, negozi e altri luoghi pubblici. Queste reti sono spesso non crittografate e non richiedono alcuna password o solo una password debole.
In questo tipo di attacco MITM, il malintenzionato imposta una rete WiFi “sosia” falsa con un nome molto simile a quello reale. Ad esempio, se la rete reale si chiama YourHotel, la rete falsa potrebbe essere chiamata YourHote1. Poiché il cybercriminale controlla questa rete, può intercettare chiunque si connetta ad essa, esaminando tutte le sue attività web e le sue app, inclusi non solo i siti che visita, ma anche le credenziali di accesso che la persona utilizza per accedere agli account. In alcuni casi, il malintenzionato potrebbe alterare i dati trasmessi e/o reindirizzare gli utenti a siti malevoli che raccolgono credenziali di accesso o forniscono malware.
Altri tipi di attacchi man-in-the-middle
Ora che abbiamo esaminato gli hotspot WiFi falsi, esaminiamo altri attacchi man-in-the-middle più comuni.
Spoofing HTTPS
L’Hypertext Transfer Protocol Secure (HTTPS) garantisce che tutti i dati inviati tra un browser e un sito web siano crittografati. Tuttavia, solo perché un sito web ha abilitato l’HTTPS, non vuol dire che il sito stesso sia legittimo.
Lo spoofing HTTPS è una tecnica MITM in cui un cybercriminale registra un dominio molto simile a un dominio legittimo popolare. Ad esempio, invece di www.esempio.com, il malintenzionato registrerà www.esemp1o.com, quindi costruirà un sito web malevolo e lo proteggerà con HTTPS. Gli utenti che visitano inavvertitamente il sito falso potrebbero non notare che l’URL ha un carattere diverso, specialmente perché il loro browser visualizzerà un lucchetto verde che indica che il sito utilizza l’HTTPS.
Spoofing IP
Un indirizzo di protocollo Internet (IP) è l’identificatore unico per un dispositivo o una rete locale. Lo spoofing IP crea indirizzi IP falsi per nascondere l’identità del cybercriminale, impersonare un indirizzo legittimo o entrambi. Lo spoofing IP spesso induce gli utenti a credere che stiano comunicando con una fonte legittima, quindi gli utenti si sentono a loro agio a condividere informazioni sensibili con l’indirizzo IP falsificato. Inoltre, lo spoofing IP viene utilizzato negli attacchi DDoS in modo che il sistema sotto attacco non sappia da dove proviene realmente il traffico, il che rende difficile fermare l’attacco.
Spoofing DNS
Il Domain Name System (DNS) è la directory online di indirizzi IP numerici che collega il dispositivo di un utente a un sito web. Lo spoofing DNS, spesso utilizzato nel pharming, altera i registri DNS e reindirizza gli utenti a siti web fraudolenti che rubano le credenziali di accesso, scaricano automaticamente malware sulla macchina del visitatore o entrambi.
Manipolazione SSL
Secure Sockets Layer (SSL) è un protocollo di sicurezza che fornisce una connessione crittografata tra un sito web e un utente. La manipolazione SSL, nota anche come dirottamento SSL, è un tipo di attacco MITM in cui un malintenzionato genera certificati SSL contraffatti per i domini dei siti HTTPS. Quando un utente cerca di visitare il sito, viene reindirizzato a un sito malevolo progettato per apparire proprio come quello reale.
Dirottamento delle sessioni
Il dirottamento delle sessioni, chiamato anche dirottamento dei cookie, è un tipo di attacco MITM che avviene quando un cybercriminale prende il controllo della tua sessione Internet rubando i cookie del tuo browser. I cookie sono parti di informazioni che i siti web utilizzano per tenere traccia dei loro visitatori, tra cui l’autenticazione delle sessioni di accesso degli utenti a siti web sicuri, come siti web di servizi bancari, shopping, giochi o abbonamenti. Una volta che un cybercriminale ruba un cookie di sessione, può utilizzarlo per impersonare l’utente originale e accedere al suo account.
Segni di attacchi man-in-the-middle
Gli attacchi man-in-the-middle possono essere molto difficili da rilevare poiché sono progettati per avvenire in background a tua insaputa. Tuttavia, ci sono segnali sottili a cui prestare attenzione.
Errori nei certificati SSL
Se il tuo browser visualizza un messaggio di errore su un certificato SSL non valido o scaduto quando cerchi di visitare un sito web, è un segno di possibile manipolazione SSL. Il certificato SSL potrebbe essere stato fabbricato per reindirizzarti a un sito web malevolo che sembra legittimo. Il sito web falso chiederà le tue credenziali di accesso e l’MFA, che il cybercriminale utilizza quindi per accedere al sito web legittimo.
Connessione Internet inaffidabile
La latenza inspiegabile e le disconnessioni frequenti sono sintomi di molti problemi diversi, tra cui impostazioni di rete mal configurate o problemi da parte del tuo provider Internet. Tuttavia, possono anche essere un segno di un attacco MITM, specialmente se hai escluso tutte le altre possibili cause.
Sito web falso
I cybercriminali si preoccupano molto per far sembrare i siti web falsi utilizzati negli attacchi MITM legittimi, ma ci sono spesso differenze sottili nel font, nel colore o nei loghi. Se qualcosa non sembra corretto, controlla attentamente l’URL del sito web per assicurarti che sia esatto. Ad esempio, potresti vedere http:// invece di https:// o go0gle.com invece di google.com. Presta attenzione anche a eventuali altre discrepanze sul sito web, come annunci pop-up casuali o richieste sospette.
Come proteggersi dagli attacchi Man-in-the-Middle
Poiché gli attacchi man-in-the-middle sono molto difficili da individuare, la migliore protezione è evitare che si verifichino. Di seguito sono riportati i modi migliori per proteggerti dagli attacchi MITM.
Evitare il WiFi pubblico
Poiché gli attacchi MITM prendono di mira spesso gli utenti di hotspot WiFi pubblici, il modo migliore per evitare gli attacchi MITM è evitare di utilizzare il WiFi pubblico non protetto. Se hai bisogno di una connessione Internet mentre sei in viaggio o fuori casa, affidati alla connessione dati del tuo telefono cellulare o utilizza una VPN. Inoltre, assicurati che il tuo laptop e i tuoi dispositivi mobili siano configurati per non connettersi automaticamente al WiFi pubblico.
Utilizza una VPN
Una rete privata virtuale (VPN) è un servizio che protegge la tua attività online nascondendo il tuo indirizzo IP e crittografando i tuoi dati. Se devi utilizzare il WiFi pubblico, utilizza una VPN per creare una connessione sicura e crittografare i dati trasmessi. Una VPN impedisce ai cybercriminali di intercettarti e ti consente di utilizzare in modo sicuro gli hotspot WiFi pubblici.
Utilizza un Password Manager
Un Password Manager è uno strumento che memorizza in modo sicuro tutte le credenziali di accesso e le informazioni sensibili in una cassaforte crittografata. Assicurati che il tuo Password Manager utilizzi la crittografia zero-knowledge per proteggere tutto ciò che memorizzi nella tua cassaforte, nel senso che nessuno può accedere alla tua cassaforte tranne te.
Uno dei modi principali attraverso il quale un Password Manager ti protegge dagli attacchi MITM è che il Password Manager non compila automaticamente le tue credenziali su un sito web falso. Potresti non essere in grado di capire la differenza tra esempio.com ed esemp1o.com, specialmente su un dispositivo mobile, ma il tuo Password Manager può farlo. Un Password Manager ti avviserà se sei su un sito web non protetto quando cerchi di inserire manualmente le credenziali di accesso.
Abilita l’autenticazione a più fattori
L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendoti di fornire un’ulteriore forma di autenticazione prima di poter accedere a un account online. Ad esempio, oltre al tuo nome utente e alla password, devi fornire un codice una tantum o inserire una chiave di sicurezza. Con l’MFA abilitata, anche se le tue credenziali di accesso vengono compromesse in un attacco MITM, queste saranno inutili per i cybercriminali senza il fattore di autenticazione aggiuntivo.
Informati
I cybercriminali sviluppano sempre nuovi modi per rubare le tue informazioni personali. Dovresti informarti sulle minacce informatiche per riconoscerle ed evitarle in futuro. Dovresti anche applicare le migliori pratiche di sicurezza informatica, come l’utilizzo di password forti e la condivisione di informazioni sensibili solo quando è assolutamente necessario.
Evita gli attacchi Man-in-the-Middle con Keeper
Gli attacchi man-in-the-middle rappresentano una seria minaccia perché possono avvenire a tua insaputa, specialmente quando sei in viaggio. Questi attacchi avvengono spesso su reti WiFi pubbliche e siti web sospetti. Il modo migliore per gestire questi tipi di attacchi è proteggerti. Keeper Password Manager offre la crittografia zero-knowledge per proteggere e condividere in modo sicuro le tue informazioni sensibili. Inizia la tua prova gratuita per proteggerti dagli attacchi MITM.