Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Browser-in-the-Middle: La nuova arma invisibile che supera anche la doppia autenticazione
Gli attacchi Browser-in-the-Middle (BitM) rappresentano una delle minacce più insidiose e sofisticate nel panorama della sicurezza informatica moderna. Questi attacchi permettono ai criminali di prendere il controllo della comunicazione tra l’utente e i servizi online, bypassando anche le difese più avanzate come l’autenticazione a più fattori (MFA).
Caratteristiche degli attacchi Browser-in-the-Middle
A differenza dei classici Man-in-the-Middle, che richiedono l’installazione di un malware sul dispositivo della vittima e operano tramite un proxy tra browser e destinazione, il Browser-in-the-Middle utilizza un browser remoto trasparente. In pratica, l’utente crede di utilizzare il proprio browser per accedere a servizi come online banking, ma in realtà sta interagendo con un browser controllato dall’attaccante, che può così registrare e manipolare tutte le informazioni scambiate.
Fasi di un attacco BitM
Il processo di un attacco BitM si articola generalmente in tre fasi:
- Phishing: la vittima viene indotta a cliccare su un link malevolo che la collega al server dell’attaccante.
- Browser falso: uno script dannoso stabilisce la connessione tra la vittima e il browser remoto trasparente, spesso potenziato da keylogger e altri strumenti di raccolta dati.
- Furto delle credenziali: l’utente accede ai suoi servizi, fornendo inconsapevolmente le proprie credenziali e token di sessione ai cybercriminali.
Sottrazione dei token di sessione
Il vero punto di forza di questi attacchi è la sottrazione dei token di sessione. Anche se la vittima supera con successo la MFA, una volta autenticata il token viene memorizzato nel browser e può essere rubato. In questo modo, l’attaccante può accedere ai servizi senza bisogno di conoscere le credenziali o ripetere l’autenticazione a più fattori.
Strategie di difesa
Per difendersi da questi attacchi è fondamentale adottare strategie multilivello. Si consiglia di:
- Gestire le estensioni del browser tramite whitelist e blacklist aziendali.
- Implementare token di sessione a breve durata e con scadenza variabile.
- Abilitare politiche di Content Security Policy (CSP) robuste.
- Monitorare il comportamento del browser tramite strumenti SIEM.
- Utilizzare soluzioni di browser isolation.
- Effettuare esercitazioni periodiche di red teaming per rivelare vulnerabilità latenti.
Ruolo di password e MFA
Nonostante la crescente sofisticazione degli attacchi BitM, password robuste e MFA rimangono elementi cruciali nella difesa, soprattutto se i token di sessione non vengono immediatamente compromessi. È importante rinforzare le policy di gestione delle password e mantenere alta l’attenzione su possibili tentativi di phishing e session hijacking.