Un’analisi approfondita sugli attacchi “Man in the Middle” e “Adversary in the Middle”, metodi sofisticati e diffusi nella criminalità informatica, con suggerimenti per prevenire queste minacce all’era digitale.
Nella moderna guerra cibernetica, l’intercettazione di dati non è più un semplice gioco di nascondino. Il livello di sofisticazione raggiunto dai cyberattacchi ha cambiato le regole del gioco, rendendo le tradizionali tecniche di crittografia meno efficaci. Tra le varianti più insidiose delle minacce informatiche, spiccano due attacchi particolarmente dannosi per le transazioni finanziarie nel settore commerciale: “Man in the Middle” (MitM) e “Adversary in the Middle” (AiTM).
Il MitM è un attacco ormai ben noto al mondo della Cyber security. È caratterizzato da un tentativo malintenzionato dell’attaccante di interporre se stesso tra due parti che comunicano online. Il nemico prende le sembianze di un partner di comunicazione affidabile riuscendo a deviare le transazioni, a manipolare i dati o a sopraffare la vittima in vari modi.
Il AiTM, d’altra parte, è una minaccia informatica più avanzata. In questo caso, l’attaccante utilizza tecniche di phishing o malware per interrompere la comunicazione, utilizzando spesso proxy indiretti. Questi attacchi vanno oltre il modello MitM tradizionale, il che significa che sono più difficili da identificare e contrattaccare.
Metodologia dei recenti attacchi Man in the Middle
L’attacco tipo MitM inizia con un’operazione di spear phishing mirata o lo sfruttamento di una vulnerabilità del software all’interno di un sistema di posta elettronica aziendale. Una volta ottenuto l’accesso, l’attaccante utilizza tecniche avanzate per eludere i filtri anti-spam e anti-malware, creando regole di inoltro segrete o configurando regole automatizzate che reindirizzano le comunicazioni aziendali a server sotto il suo controllo.
Il punto di svolta di questo attacco si verifica quando sono coinvolte transazioni finanziarie. Gli aggressori, ora in possesso di informazioni sensibili dell’azienda, possono creare documenti falsi che sono praticamente indistinguibili da quelli autentici. Alterano l’IBAN nei dettagli di pagamento o nelle fatture, dirottando così i fondi aziendali sui loro conti.
Gli attacchi AiTM con proxy indiretto: una minaccia silenziosa ma devastante
Una delle principali preoccupazioni di questi attacchi è la capacità dei criminali informatici di escludere l’autenticazione a due fattori (2FA), specialmente quella basata sui codici di sicurezza inviati via SMS. Attraverso l’utilizzo di sofisticati kit di phishing disponibili su piattaforme Phishing-as-a-Service (PhaaS), i criminali informatici hanno affinato l’arte di dirigere attacchi mirati con precisione microscopica.
Quest’attacco inizia con l’invio e-mail fraudolente che sembrano provenire da fonti affidabili. Queste e-mail conducono verso siti malevoli che riproducono con precisione le interfacce di accesso ufficiali del fornitore di e-mail. Gli utenti che credono di accedere ai propri account, inseriscono le loro credenziali e il codice 2FA, fornendo ai truffatori il pieno controllo sui loro account.
Per nascondere la pista, i criminali informatici ospitano spesso i siti fraudolenti su servizi cloud per la loro affidabilità e scalability. Solo le strategie offensive come l’uso di reti Fast Flux e Domain Generation Algorithms complicano la scoperta e la chiusura di questi siti.
L’importanza dei Cookie di Sessione nell’attacco AiTM
I cookie di sessione, piccoli file di testo inviati da un sito web al browser dell’utente, svolgono un ruolo critico nell’attacco AiTM con proxy indiretto. Dopo aver ingannato un utente inducendolo a inserire le credenziali in una pagina di phishing, gli attaccanti non solo catturano username e password, ma catturano anche i cookie di sessione. Ciò consente agli aggressori di mantenere l’accesso al servizio facendosi passare per l’utente legittimo, facilitando azioni malevole come il furto di dati, l’accesso non autorizzato a risorse sensibili e la manipolazione di transazioni.
Prevenzione e Buone Pratiche
Data la malignità crescente di questi attacchi, è fondamentale l’adozione di misure di contrasto adeguate:
- Formazione del personale: Educazione del team sulla riconoscimento delle tecniche di phishing e pratiche di sicurezza nelle e-mail.
- Controlli di sicurezza a doppio livello: Utilizzo di canali di comunicazione secondari per confermare l’autenticità delle richieste di pagamento o modifiche importanti nei dettagli della transazione.
- Revisioni periodiche e monitoraggio continuo: Verifica regolare delle regole di inoltro e filtraggio delle e-mail per rilevare anomalie.
- Collaborazione con clienti e fornitori: Stabilimento di protocolli di sicurezza condivisi e standard di verifica con partner commerciali per creare un ecosistema di sicurezza collettivo.
- Metodi di autenticazione avanzata: Utilizzo di MFA più robusti, come le notifiche push e i token hardware.
- Monitoraggio del traffico: Analisi costante del traffico di rete per identificare schemi anomali che potrebbero indicare un attacco in corso.
- Mantenere i sistemi sempre aggiornati.
- Sicurezza dei cookie: Adozione di misure preventive come l’uso di flag di protezione e di connessioni sicure per l’invio di cookie.