Un attacco man-in-the-middle (MitM) è un tipo di attacco informatico in cui gli attori delle minacce intercettano le comunicazioni tra due parti. Come suggerisce il nome, un attacco MitM consente a un criminale informatico di origliare quello che due macchine comunicano l’una all’altra ed eseguire un’azione dannosa. L’esempio più comune è quello di collegarsi a una rete Wi-Fi pubblica e vedersi rubare le credenziali, corrompere i dati o sabotare varie comunicazioni.
Si dice che il MitM sia il più antico tipo di cyberattacco al mondo, con il primo registrato in Francia nel 1834. Naturalmente, da allora la tecnologia si è evoluta molto, dando origine a cyberattacchi più sofisticati. Questo potrebbe essere il motivo per cui molti non considerano più rilevanti gli attacchi MitM oggi, in quanto possono essere “facilmente” evitati con le tecnologie di crittografia e HTTPS, tra le altre cose.
Ma si sbaglierebbero di grosso. La maggior parte dei criminali informatici ha trovato il modo di aggirare queste protezioni e di danneggiare comunque i tuoi dati o la tua rete. Per esempio, utilizzando il MitM, un aggressore potrebbe manipolare il tuo computer per “declassare” la sua connessione e renderla non criptata o reindirizzare con successo il traffico verso siti di phishing.
Per questo motivo, gli attacchi MitM potrebbero essere considerati meno “diretti” ma più maliziosi nei loro tentativi di interrompere la tua esperienza tecnologica. Questi attacchi possono aumentare drasticamente il rischio di minacce tecniche più dannose, con conseguenti gravi interruzioni dell’attività e perdite finanziarie.
Come funzionano gli attacchi MitM?
La forza degli attacchi MitM sta nella loro semplicità. A differenza di altri attacchi informatici che richiedono l’accesso al tuo computer da parte di un malintenzionato, fisicamente o da remoto, i criminali devono semplicemente trovarsi sulla vostra stessa rete.
Questo può avvenire in diversi modi. L’esempio più ovvio è l’utilizzo di una rete Wi-Fi pubblica, ma gli aggressori possono anche utilizzare il poisoning della cache ARP. Questa tecnica consente agli attori delle minacce di associare il loro indirizzo MAC al vostro indirizzo IP. In caso di successo, l’aggressore avrà pieno accesso a tutti i dati destinati all’utente.
Lo spoofing DNS, o poisoning della cache DNS, è un altro modo in cui i criminali possono utilizzare un attacco MitM. Nello spoofing DNS, gli aggressori manipolano, modificano o “spoofano” i record DNS per reindirizzare il traffico verso un sito Web falso. Gli aggressori possono quindi eseguire il dumping delle credenziali, diffondere malware o svolgere altre attività dannose.
Gli aggressori MitM sfruttano la naturale tendenza a fidarsi della maggior parte delle persone. Le persone anziane o con risorse finanziarie limitate possono vedere le parole “Free Wi-Fi” o “Public Wi-Fi” e scegliere di connettersi nonostante il rischio o perché non hanno altra scelta.
Non sorprende che gli smartphone siano i più suscettibili agli attacchi MitM, il che ha spinto gli esperti a sviluppare piani per migliorare la sicurezza mobile contro gli attacchi MitM.
Prevenzione degli attacchi MitM
Prevenire con successo gli attacchi MitM non è così semplice come si pensa. Gli hacker diventano sempre più sofisticati, così come i loro attacchi. Sebbene non sia possibile eliminare questo rischio, esistono alcune strategie per ridurre i rischi di questa minaccia per la tua organizzazione.
- Implementa protocolli di crittografia solidi, tra cui HTTPS e la crittografia end-to-end.
- Assicurati di utilizzare una connessione sicura.
- Imposta una VPN.
- Monitora costantemente la rete.
- Conduci una formazione regolare sulla sicurezza informatica per tutti i membri del team.
- Tieni d’occhio i cambiamenti insoliti nella tua rete IT.
Poiché gli attacchi MitM sono in genere utilizzati come trampolino di lancio per attacchi informatici più dirompenti, come i malware, l’installazione di un RMM completo, come NinjaOne, è altamente raccomandata per monitorare, gestire e proteggere facilmente i dispositivi endpoint.