Cos’è un attacco Adversary-in-the-Middle?

Negli attacchi adversary-in-the-middle (AiTM attack) un utente malintenzionato intercetta i dati in transito dal mittente al destinatario e viceversa. Il nome “adversary-in-the-middle”, il cui significato letterale sarebbe “uomo nel mezzo”, trae la sua origine proprio dal fatto che il dispositivo dell’attaccante si intromette in maniera silente nella conversazione tra il mittente e il destinatario inoltrando i messaggi da una parte e dall’altra, senza che nessuna delle parti si accorga dell’intercettazione. Chi compie un attacco adversary-in-the-middle si trova generalmente sulla stessa rete dell’utente preso di mira, ma l’intercettazione può essere eseguita anche su una rete remota, fintanto che i dati attraversano il percorso in cui si trova l’aggressore. Tramite un attacco AiTM, un utente malintenzionato può entrare in possesso di password, dati di identificazione personale (PII), proprietà intellettuale, messaggi privati e segreti commerciali. Negli attacchi più avanzati, i cybercriminali possono arrivare anche ad installare malware sul dispositivo della vittima.

Ogni attacco che consente ad un soggetto terzo di leggere la comunicazione tra due parti è considerato un attacco Adversary in the Middle o abbreviato AiTM attack. Per poter portare avanti la sua opera di intercettazione, per l’attaccante è fondamentale non essere rilevato. Per questo motivo i criminali spesso violano una rete o un account personale per leggere le informazioni scambiate tra due parti mentre comunicano, evitando però di compiere qualsiasi attività che possa insospettire le vittime e rivelare loro la propria presenza. Chi sferra un AiTM attack, se è abbastanza abile a rimanere celato e non dare nell’occhio, può andare avanti a leggere le comunicazioni tra due parti anche per diversi mesi prima di essere scoperto.

ARP poisoning nei AiTM attack

Il metodo più comune è il cosiddetto ARP poisoning, letteralmente avvelenamento ARP, che avviene solitamente su una rete Wi-Fi pubblica. Mentre si trova sulla stessa rete della vittima, chi lancia il AiTM attack invia un messaggio ARP falsificato al dispositivo preso di mira, dicendogli in sostanza di utilizzare il dispositivo dell’attaccante come gateway predefinito. A quel punto, l’attaccante invia un messaggio ARP falsificato al gateway predefinito (di solito il router Wi-Fi) dicendogli in sostanza che l’indirizzo IP dell’utente preso di mira deve essere associato al dispositivo dell’attaccante anziché al dispositivo dell’utente stesso. Ciò pone il dispositivo del cybercriminale nel mezzo della comunicazione tra la vittima e il gateway predefinito, permettendogli di intercettare i dati. In altre parole, il dispositivo dell’attaccante funziona come un proxy server.

Se viaggiano in chiaro (senza alcuna connessione HTTPS), tutti i dati trasmessi tra le due parti sono visibili a chi compie l’attacco. Ad esempio, se un utente effettua l’autenticazione su un’applicazione utilizzando il protocollo HTTP, il nome utente e la password sarebbero visibili all’attaccante.

Nemmeno le connessioni HTTPS sono del tutto sicure contro gli attacchi AiTM. Se il server accetta connessioni crittografiche obsolete infatti, utilizzando librerie come TLS 1.0, i dati intercettati, nonostante siano crittografati potrebbero essere vulnerabili agli attacchi brute force, tramite cui i cybercriminali potrebbero riuscire a decifrarli. In questo modo, l’attaccante invia messaggi di ARP spoofing al server del mittente e del destinatario, ma effettua il downgrade della connessione HTTPS a una libreria non sicura inducendo il dispositivo dell’utente a eseguire lo stesso downgrade dell’algoritmo di crittografia. Questa operazione sarà invisibile alla vittima, che non avrà la minima idea del fatto che la connessione HTTPS non è sicura, e allo stesso tempo consentirà a chi lancia l’attacco adversary-in-the-middle di decifrare e leggere le comunicazioni.

Sebbene l’ARP poisoning sia uno dei AiTM attack più noti, esistono anche altre forme di intercettazione dati che consentono ai cybercriminali di leggere le comunicazioni tra due parti.

Le cinque categorie principali di attacchi adversary-in-the-middle sono:

• Email hijacking: i messaggi di posta elettronica inviati in chiaro sono ovviamente esposti all’intercettazione, ma un utente malintenzionato può leggere i messaggi anche ottenendo il nome utente e la password della posta elettronica della vittima. In questo modo, l’attaccante si metterà silenziosamente a leggere tutte le comunicazioni, in attesa di informazioni sensibili. Quando si troverà di fronte ad un’email relativa magari ad una transazione finanziaria da concludere, il criminale entrerà in gioco inviando un messaggio dall’account della vittima, in cui richiede che il trasferimento bancario venga effettuato su un conto nella sua disponibilità.
• Intercettazione Wi-Fi: una rete Wi-Fi scarsamente protetta potrebbe essere soggetta a un attacco AiTM tramite il metodo dell’ARP poisoning visto in precedenza. Il dispositivo dell’aggressore viene utilizzato come gateway predefinito tra la vittima e il router Wi-Fi, consentendogli di intercettare e leggere i dati trasmessi. I cybercriminali possono anche creare degli hotspot malevoli a cui far collegare le proprie vittime, come nel caso degli attacchi Evil Twin.
• Session hijacking: quando gli utenti si collegano a un server, viene creata una sessione univoca che identifica l’utente sul server. Entrando in possesso del token di sessione, i criminali possono impersonare l’utente e leggere i dati su un’applicazione Web.
• IP spoofing: utilizzando un indirizzo IP falsificato, chi attacca può reindirizzare il traffico da un sito ufficiale a un server controllato dall’aggressore.
• DNS spoofing: simile all’IP spoofing, il DNS spoofing altera il record A (o Address record) dell’indirizzo di un sito Web per deviare il traffico verso un server controllato dai cybercriminali. Qualsiasi informazione inviata a questo server viene intercettata dall’attaccante all’insaputa delle vittime.

Con un numero sempre maggiore di utenti che accedono a Internet da mobile, gli attacchi adversary-in-the-middle spesso prendono di mira i sistemi iOS e Android. I cybercriminali possono inserire codice malevolo in un’applicazione, utilizzare apposite app per intercettare i dati o installare un proxy per leggere i dati tra il dispositivo e un’API remota. Ad esempio, i proxy malevoli potrebbero essere utilizzati per leggere i messaggi su Tinder o Twitter. Il meccanismo del certificate pinning è stato implementato proprio per fermare questo problema, ma i criminali continuano ad intercettare comunicazioni private servendosi di app malevole che consentono loro di leggere i dati prima che venga stabilita una connessione remota e prima che i dati vengano crittografati.

Il trojan bancario Retefe è stato creato per intercettare i dati tra il mittente e i server finanziari, interessando i principali browser come Chrome, Firefox e Internet Explorer utilizzati dalla maggior parte degli utenti in tutto il mondo. Dopo aver installato un falso certificato, il malware indirizza il traffico su un server controllato dai cybercriminali, utilizzato come proxy predefinito nelle impostazioni del browser. In questo modo, i dati dell’utente vengono raccolti sul server malevolo e decifrati. Il malware Retefe è stato utilizzato come vettore di attacco per le transazioni bancarie in molte delle principali istituzioni finanziarie, con particolare interesse per le banche di paesi come il Giappone, la Svizzera, il Regno Unito e la Svezia.

La pericolosità dei AiTM attack è data dal fatto che avvengono in modo subdolo e invisibile. Perciò è essenziale che gli utenti siano ben informati dei rischi e prendano le giuste precauzioni per prevenirli. Sarà inoltre responsabilità degli sviluppatori di software garantire che le proprie applicazioni non siano vulnerabili agli attacchi AiTM. L’attenzione dell’utente non sempre è sufficiente, soprattutto se l’applicazione che utilizza nasconde vulnerabilità in grado di permettere a soggetti esterni di intercettare le proprie comunicazioni.

Ecco alcuni metodi per evitare di finire vittima di un attacco adversary-in-the-middle:

• Utilizzare l’autenticazione a due fattori sugli account di posta elettronica. Anche ammettendo che un utente malintenzionato riuscisse ad ottenere le credenziali della tua casella di posta, non potrebbe completare l’autenticazione senza accesso al codice di autenticazione.
• Utilizzare gli strumenti di analisi del traffico di rete. Questi strumenti aiutano gli amministratori a rilevare il traffico sospetto e forniscono dettagli sulle porte e i protocolli utilizzati tra utenti e dispositivi.
• Utilizzare il certificate pinning sulle app. Il pinning dei certificati mette in safelist le certificazioni approvate, impedendo che sulle app vengano utilizzati certificati falsi in capo ai cybercriminali. Questo meccanismo deve essere predisposto dagli sviluppatori delle app.
• Utilizzare una VPN su reti Wi-Fi pubbliche. In questo modo, anche riuscendo ad intercettare i dati, un utente malintenzionato non sarebbe in grado né di leggerli né di eseguire il downgrade a un protocollo di crittografia più debole, dato che la VPN utilizza il proprio algoritmo crittografico per impacchettare i dati e trasferirli sulla rete.
• Addestrare i propri dipendenti a riconoscere i tentativi di phishing. Spesso gli attacchi malware e AiTM iniziano proprio con un attacco phishing andato a segno. Fornisci una formazione efficace e costante ai tuoi dipendenti, affinché non installino malware e non divulghino le proprie credenziali ai cybercriminali.
• Mettere in sicurezza le email. I filtri delle email sono in grado di rilevare molte delle email di phishing e dei messaggi contenenti allegati dannosi, mettendoli in quarantena per la successiva analisi da parte degli amministratori.
• Non collegarsi mai ad hotspot Wi-Fi sconosciuti. Negli attacchi Evil Twin, i cybercriminali, creano hotspot malevoli con nomi simili a reti conosciute ed affidabili. Prima di collegarsi a qualsiasi Wi-Fi è necessario verificare che la rete sia affidabile e appartenga al legittimo proprietario.