Home

Think

Argomenti

Man-in-the-middle

Che cos'è un attacco man-in-the-middle (MITM)?
Scopri le soluzioni di IBM per gli attacchi MITM Registrati per ricevere aggiornamenti sulla sicurezza
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta

Data di pubblicazione: 11 giugno 2024
Autori: Gregg Lindemulder, Matt Kosinski
Che cos'è un attacco man-in-the-middle (MITM)?

Un attacco man-in-the-middle (MITM) è un attacco informatico in cui un hacker ruba informazioni sensibili intercettando le comunicazioni tra due obiettivi online come un utente e un'applicazione web.

Dopo essersi posizionati furtivamente nel mezzo delle comunicazioni tra due parti, gli autori di un attacco MITM intercettano dati sensibili come numeri di carte di credito, informazioni sull'account e credenziali di accesso. Gli hacker utilizzano poi queste informazioni per commettere altri reati informatici, come acquisti non autorizzati, furti di conti finanziari e furti di identità.

Oltre agli scambi tra un utente e un'applicazione, l'autore di un attacco MITM potrebbe anche intercettare comunicazioni private tra due persone. In questo scenario, l'autore di un attacco devia e inoltra i messaggi tra le due persone, a volte alterando o sostituendo i messaggi per controllare la conversazione.

Alcune organizzazioni ed esperti di cybersecurity stanno abbandonando il termine "man-in-the-middle" perché alcuni potrebbero considerare il linguaggio potenzialmente di parte. Il termine potrebbe anche non cogliere i casi in cui l'entità intermedia è un bot, un dispositivo o un malware piuttosto che una persona.

I termini alternativi per questo tipo di attacco informatico includono machine-in-the-middle, on-path attack, adversary-in-the-middle (AITM) e manipulator-in-the-middle.
Report Cost of a Data Breach

Ottieni informazioni essenziali per aiutare i tuoi team di sicurezza e IT a gestire meglio i rischi e limitare le potenziali perdite.

Come funziona un attacco man-in-the-middle?

Le vulnerabilità su reti, browser Web, account e-mail, comportamenti degli utenti e protocolli di sicurezza sono i punti di partenza degli attacchi MITM. I criminali informatici sfruttano questi punti deboli per inserirsi tra gli utenti e le applicazioni affidabili in modo da poter controllare le comunicazioni e intercettare i dati in tempo reale.

Gli attacchi di phishing sono una delle modalità di accesso più comuni per gli autori di un attacco MITM. Facendo clic su un link dannoso in un'e-mail, un utente può inconsapevolmente lanciare un attacco man-in-the-browser. Gli autori di un attacco MITM spesso si affidano a questa tattica per infettare il browser Web di un utente con malware che consente loro di apportare modifiche segrete alle pagine Web, manipolare le transazioni e spiare l'attività dell'utente.

Un'altra fonte comune di attacchi MITM sono gli hotspot wifi pubblici. I router wifi pubblici hanno meno protocolli di sicurezza rispetto ai router wifi di casa o del posto di lavoro. In questo modo è più facile per gli utenti vicini connettersi alla rete. Ma rende anche più facile per gli hacker compromettere il router, in modo da poter spiare il traffico internet e raccogliere i dati degli utenti.

Gli autori di un attacco MITM a volte creano le proprie reti wifi pubbliche dannose per attirare utenti ignari e raccogliere i loro dati personali.

Gli autori di un attacco MITM potrebbero anche creare siti Web falsi che sembrano legittimi ma che in realtà raccolgono dati critici come le credenziali di accesso. Gli hacker possono quindi utilizzare tali credenziali per accedere agli account utente su siti Web autentici. Oppure potrebbero utilizzare il sito Web falso per indurre gli utenti a effettuare pagamenti o a trasferire fondi.
Fasi di un attacco man-in-the-middle

Gli attacchi man-in-the-middle richiedono ai criminali informatici di: 1) intercettare i dati che passano tra i loro due obiettivi e 2) decrittografare tali informazioni.

Intercettazione
Per mettersi in mezzo a due obiettivi che comunicano tra loro, come un utente e un'applicazione web, l'autore di un attacco deve intercettare i dati che viaggiano tra i due obiettivi. L'autore di un attacco trasmette quindi le informazioni deviate tra gli obiettivi come se fossero in corso normali comunicazioni in modo che le vittime non sospettino nulla.

Decrittazione
La maggior parte delle comunicazioni Internet oggi sono crittografate, quindi tutti i dati intercettati dall'autore di un attacco MITM dovranno probabilmente essere decrittografati prima che l'autore dell'attacco possa utilizzarli. Gli autori di un attacco possono decrittografare i dati rubando le chiavi di crittografia, eseguendo attacchi di forza bruta o utilizzando tecniche di attacco MITM specializzate (vedere la sezione successiva).

Tecniche di attacco man-in-the-middle

Gli autori di un attacco utilizzano una serie di tecniche per intercettare e decrittografare i dati durante gli attacchi MITM. Le tecniche più diffuse comprendono:

Spoofing IP: gli indirizzi IP (Internet Protocol) identificano entità online come siti Web, dispositivi e indirizzi e-mail. Gli autori di un attacco MITM alterano o "falsificano" i loro indirizzi IP in modo che sembri che un utente stia comunicando con un host autentico quando è effettivamente connesso a una fonte dannosa.

Spoofing ARP o avvelenamento della cache ARP: l'Address Resolution Protocol (ARP) collega un indirizzo IP con l'indirizzo Media Access Control (MAC) corretto su una rete locale. Eseguendo lo spoofing dell'indirizzo ARP, l'autore di un attacco può instradare questa connessione al proprio indirizzo MAC per estrarre informazioni.

Spoofing DNS: il Domain Name System (DNS) collega i nomi dei domini dei siti Web agli indirizzi IP assegnati. Modificando il nome di un dominio nei record DNS, l'autore di un attacco MITM può allontanare gli utenti da un sito legittimo verso un sito fraudolento.

Spoofing HTTPS: il protocollo Hypertext Transfer Protocol Secure (HTTPS) garantisce comunicazioni sicure crittografando i dati che viaggiano avanti e indietro tra un utente e un sito Web. Gli autori di un attacco MITM indirizzano segretamente gli utenti verso una pagina HTTP standard senza crittografia in modo che possano accedere ai dati non protetti.

Dirottamento SSL: Secure Sockets Layers (SSL) è la tecnologia che fornisce l'autenticazione e la crittografia tra un browser Web e un server Web utilizzando certificati SSL. Gli autori di un attacco MITM utilizzano un falso certificato SSL per dirottare questo processo e intercettare i dati prima che possano essere crittografati.

Stripping SSL: questa tecnica viene eseguita quando un sito Web accetta connessioni HTTP in entrata prima di indirizzare quel traffico verso connessioni HTTPS sicure. Gli autori di un attacco MITM interrompono questo processo di transizione in modo da poter accedere ai dati non crittografati prima che passino su una connessione HTTPS sicura.
Tipi comuni di attacchi man-in-the-middle

Dirottamento delle e-mail
In questi tipi di attacchi, i criminali informatici prendono il controllo degli account e-mail di un'azienda o di un'organizzazione. Gli autori di un attacco MITM spesso prendono di mira istituti finanziari come banche o società di carte di credito per questo tipo di attacco.

Gli hacker monitorano le comunicazioni, raccolgono dati personali e raccolgono informazioni sulle transazioni. In alcuni casi, falsificano un indirizzo e-mail aziendale per convincere i clienti o i partner a effettuare depositi o trasferire fondi su un conto fraudolento.

Dirottamento della sessione
Quando il browser Web di un utente comunica con un sito Web, memorizza temporaneamente
le informazioni su un cookie di sessione. Gli autori di un attacco MITM ottengono l'accesso a questi cookie e li utilizzano per impersonare un utente o rubare le informazioni in essi contenute, che possono includere password, numeri di carte di credito e altre informazioni sull'account.

Poiché il cookie scade quando scade la sessione, gli hacker devono agire rapidamente prima che le informazioni scompaiano.

Intercettazione Wi-Fi
gli autori di un attacco MITM a volte creano reti Wi-Fi pubbliche e hot spot in luoghi pubblici pieni di gente come aeroporti, ristoranti e centri urbani. I nomi di queste reti fraudolente sono spesso simili a quelli di aziende vicine o di altre connessioni Wi-Fi pubbliche affidabili. Gli hacker possono inoltre compromettere gli hot spot Wi-Fi pubblici legittimi utilizzati dal pubblico.

In entrambi i casi, quando gli utenti ignari accedono, gli autori di un attacco raccolgono dati sensibili come numeri di carte di credito, nomi utente e password.

 
Esempi di attacchi man-in-the-middle

Equifax
Nel 2017, l'agenzia di segnalazione del credito Equifax è stata vittima di un attacco man-in-middle a causa di una vulnerabilità senza patch nel suo framework di applicazioni Web. L'attacco ha esposto le informazioni finanziarie di quasi 150 milioni di persone.

Allo stesso tempo, Equifax ha scoperto falle nella sicurezza delle sue app mobili che potrebbero rendere i clienti vulnerabili a ulteriori attacchi MITM. Equifax ha rimosso le app dall'App Store di Apple e da Google Play.

DigiNotar
Utilizzando siti Web falsi per raccogliere password, gli hacker hanno lanciato un attacco MITM contro l'autorità olandese per la sicurezza digitale DigiNotar nel 2011.

La violazione è stata significativa perché ha portato DigiNotar a rilasciare più di 500 certificati di sicurezza compromessi a siti Web importanti tra cui Google, Yahoo! e Microsoft. DigiNotar è stata infine rimossa come fornitore di certificati di sicurezza e ha dichiarato bancarotta.

Tesla
Nel 2024, i ricercatori addetti alla sicurezza hanno riferito che una vulnerabilità consente agli hacker di lanciare un attacco MITM per sbloccare e rubare i veicoli Tesla.1

Utilizzando un hotspot Wi-Fi falsificato presso una stazione di ricarica Tesla, l'autore di un attacco potrebbe raccogliere le credenziali dell'account di un proprietario Tesla. Secondo i ricercatori, l'autore di un attacco potrebbe quindi aggiungere una nuova "chiave del telefono" che sblocca e avvia il veicolo all'insaputa del proprietario del veicolo.
Prevenzione degli attacchi man-in-the-middle

Esistono misure di cybersecurity che organizzazioni e individui possono implementare per proteggersi dagli attacchi man-in-the-middle. Gli esperti raccomandano di concentrarsi su queste strategie:

HTTPS: gli utenti devono visitare solo siti Web con una connessione sicura, indicata da "HTTPS" e con l'icona di un lucchetto nella barra degli indirizzi del browser. Le pagine Web che offrono solo connessioni HTTP non protette dovrebbero essere evitate. Inoltre, i protocolli SSL e Transport Layer Security (TLS) per le applicazioni possono proteggere contro il traffico Web dannoso e prevenire gli attacchi di spoofing.

Sicurezza degli endpoint: gli endpoint come laptop, smartphone, workstation e server sono gli obiettivi principali degli autori di un attacco MITM. La sicurezza degli endpoint, comprese le patch e i software antivirus più recenti, è fondamentale per impedire agli autori di un attacco di installare malware su questi dispositivi.

Reti private virtuali: una VPN offre una difesa solida contro gli attacchi MITM, crittografando il traffico di rete. Anche se si verifica una violazione, gli hacker non saranno in grado di leggere dati sensibili come credenziali di accesso, numeri di carta di credito e informazioni sull'account.

Autenticazione a più fattori (MFA): l'MFA richiede un passaggio aggiuntivo oltre all'inserimento di una password per accedere ad account, dispositivi o servizi di rete. Anche se l'autore di un attacco MITM è in grado di ottenere le credenziali di accesso, l'autenticazione a più fattori può aiutare a impedire all'autore di un attacco di impadronirsi di un account.

Crittografia: la crittografia è un requisito fondamentale per la sicurezza della rete e per la difesa dagli attacchi MITM. Una crittografia end-to-end affidabile su tutto il traffico e le risorse di rete, inclusi i contenuti delle e-mail, i record DNS, le applicazioni di messaggistica e i punti di accesso, può contrastare numerosi attacchi MITM.

Reti Wi-Fi pubbliche: gli utenti dovrebbero evitare reti Wi-Fi pubbliche quando si eseguono transazioni che coinvolgono dati sensibili, come nel caso di acquisti.

Soluzioni correlate
Servizi di ingegneria sociale IBM® X-Force Red

Metti alla prova i tuoi dipendenti con esercizi di phishing, vishing e ingegneria sociale fisica.

 Esplora i servizi di ingegneria sociale di IBM X-Force Red
Servizi di risposta agli incidenti IBM® X-Force

Migliora il programma di risposta agli incidenti della tua organizzazione, riduci al minimo l'impatto delle violazioni e rispondi rapidamente agli incidenti di cybersecurity.

 Esplora i servizi di risposta agli incidenti di IBM X-Force
IBM API Connect

Proteggi, controlla e media l'accesso alle API per proteggerle dall'intensificarsi delle minacce. 

 Esplora IBM API Connect
Risorse X-Force Threat Intelligence Index

Impara dalle sfide e dai successi dei team di sicurezza di tutto il mondo, sulla base delle intuizioni e delle osservazioni ottenute dal monitoraggio di oltre 150 miliardi di eventi di sicurezza al giorno in più di 130 paesi.

 Tipi di minacce informatiche

Previeni, preparati e rispondi agli attacchi informatici in modo più efficace, imparando a conoscere i diversi tipi di minacce informatiche.

 Che cos'è una superficie di attacco?

Una superficie di attacco è la somma delle vulnerabilità, dei percorsi o dei metodi che gli hacker possono utilizzare per eseguire un attacco informatico.
Fai il passo successivo

Poiché i modelli di lavoro flessibile sono diventati la nuova norma, i dipendenti devono rimanere produttivi ovunque lavorino e con qualsiasi dispositivo, in modo protetto. Dalla gestione degli endpoint alla sicurezza nativa, IBM Security MaaS360 offre una soluzione UEM

 Scopri MaaS360 Prenota una demo live
Note a piè di pagina

1 "MiTM phishing attack can let attackers unlock and steal a Tesla" (link esterno a ibm.com), BleepingComputer, 7 marzo 2024.