Attacco Man in the Middle: come funziona e come difendersi

Attacco Man in the Middle: Cos’è e Come Difendersi

Il termine Man in the Middle (MitM) significa letteralmente “uomo nel mezzo” e descrive una delle tecniche di attacco più pericolose nel mondo della cybersecurity. Questo tipo di attacco si verifica quando un hacker si inserisce in una comunicazione tra due soggetti senza che essi se ne accorgano, intercettando e manipolando il traffico dati.

Come funziona un attacco Man in the Middle?

Durante un attacco MitM, il cybercriminale si posiziona tra due dispositivi che stanno comunicando tra loro, ad esempio:

• Tra un utente e un sito web (es. home banking, social network, e-commerce).
• Tra un computer e un server aziendale.
• Tra due dispositivi connessi alla stessa rete Wi-Fi.

In questo modo l’attaccante può:
✅ Intercettare i dati trasmessi, come credenziali, password e informazioni bancarie.
✅ Modificare i messaggi prima che arrivino al destinatario.
✅ Fingersi una delle due parti, ottenendo accesso a informazioni riservate.

Attacchi MITM: ecco i casi più comuni

Il tipo di attacco MITM più diffuso è quello all’interno di una rete Wi-Fi pubblica non crittografata, come ad esempio quelle che troviamo degli aeroporti, oppure all’interno di esercizi commerciali. Un utente malintenzionato, utilizzando uno strumento gratuito come Wireshark, o altri software con funzionalità di sniffer di rete, può infiltrarsi nella rete, registrare e leggere tutti i pacchetti di dati scambiati a livello rete e cercare elementi come i cookie di sessione, che potrebbe poi utilizzare per effettuare un autenticazione spacciandosi per l’utente a cui il cookie apparteneva. 

In alternativa gli attaccanti possono creare un access point fake wifi (chiamato “evil twin”) che simula un legittimo access point, al fine di ingannare gli utenti ed attrarre le loro connessioni.

L’insieme delle tecniche di attacco informatico di tipo Man in the middle, vengono spesso abbreviate come MITM o MIM e comprendono molti tipi di attacchi diverse tipologie di attacco. I più diffusi e pericolosi sono:

L’attacco MITM è molto efficace nel momento in cui si utilizza il protocollo HTTP. La debolezza principale del protocollo HTTP consiste nel far transitare tutto il traffico di rete relativo a quella comunicazione in chiaro;  questo permette agli attccanti di catturare i cookie di una sessione o leggere gli header http.

L’attacco MITM può essere fatto anche su connessioni cifrate HTTPS, con l’accorgimento di stabilire 2 sessioni https indipendenti, una per ogni connessione TCP. In questo scenario Il browser configura una connessione SSL con l’attaccante, e l’attaccante stabilisce una connessione SSL con il web server. Se l’attaccante è in possesso di un certificato digitale valido, durante questo tipo di attacco non verranno date evidenze di sicurezza all’utente all’interno del browser.

In tutti questi casi, il criminale utilizza diverse strategie e software per intercettare, alterare e ritrasmettere la comunicazione tra due parti che credono di comunicare tra loro.

Altre tipologie di attacco Man in the middle

Esistono diverse tipologie di attacco Man in the middle, ma le più significative ed utilizzano risultano essere le seguenti:

• Man in the browser
• DNS Cache Poisoning
• Spoofing ARP
• Spoofing IP

Attacco Man in the Browser: Cos’è e Come Difendersi

L’attacco Man in the Browser (MitB) è una delle minacce più insidiose nel mondo della cybersecurity. Si tratta di un attacco che avviene direttamente sul PC della vittima, prima ancora che i dati raggiungano il web server.

Come funziona?

Un malware installato sul computer prende il controllo del browser, alterando le comunicazioni tra l’utente e il sito web. Questo permette agli hacker di:

• Intercettare dati sensibili, come credenziali di accesso o informazioni bancarie.
• Modificare le transazioni online, ad esempio cambiando l’IBAN del destinatario di un bonifico.
• Alterare il comportamento del browser, senza che l’utente se ne accorga.

🔴 Esempio pratico: un hacker potrebbe compromettere il browser di un utente e alterare le informazioni inviate a un servizio di home banking, modificando l’IBAN del beneficiario di un bonifico senza che la vittima lo noti.

Come proteggersi?

• Evita di scaricare software da fonti non affidabili.
• Utilizza antivirus e anti-malware aggiornati.
• Attiva l’autenticazione a due fattori (2FA) sui tuoi account.
• Controlla sempre i dettagli delle transazioni prima di confermarle.

DNS Cache Poisoning: L’Attacco che Inganna il Tuo Browser

Il DNS Cache Poisoning, noto anche come DNS Spoofing, è un attacco Man in the Middle che manipola la cache dei server DNS per reindirizzare gli utenti verso siti web falsi.

Come funziona?

Gli hacker inseriscono dati falsi nella cache DNS, facendo sì che quando un utente cerca di visitare un sito legittimo, venga invece inviato a un sito malevolo senza accorgersene.

🔴 Esempio pratico: pensi di accedere al sito ufficiale della tua banca, ma in realtà vieni indirizzato a una pagina identica, gestita da criminali informatici, che rubano le tue credenziali.

Come proteggersi?

• Evita reti Wi-Fi pubbliche non protette.
• Usa una VPN per crittografare il traffico di rete.
• Verifica sempre l’URL del sito web prima di inserire dati sensibili.
• Utilizza DNS sicuri, come quelli offerti da Google o Cloudflare.

ARP Spoofing: Come Funziona e Perché è Pericoloso

L’ARP Spoofing è una tecnica di attacco che manipola il protocollo Address Resolution Protocol (ARP) per intercettare il traffico di rete tra due dispositivi in una rete locale.

Come funziona?

Un hacker si inserisce nella rete e invia pacchetti ARP falsificati, facendo credere ai dispositivi che lui sia il router o un altro nodo affidabile. Di conseguenza, tutto il traffico destinato a Internet passa attraverso l’attaccante, che può:

• Intercettare dati sensibili, come credenziali e informazioni bancarie.
• Modificare i dati in transito, conducendo attacchi più avanzati.
• Reindirizzare il traffico verso siti malevoli per rubare informazioni.

🔴 Esempio pratico: un hacker potrebbe fingersi il default gateway della rete aziendale, intercettando tutte le comunicazioni degli utenti con Internet.

Come proteggersi?

• Utilizza connessioni crittografate (HTTPS, VPN).
• Abilita la protezione ARP su router e switch avanzati.
• Usa software di monitoraggio della rete per rilevare pacchetti ARP anomali.
• Evita di connetterti a reti Wi-Fi pubbliche non protette.

IP Spoofing: L’Attacco Man in the Middle per Eccellenza

L’IP Spoofing è un attacco informatico in cui un hacker falsifica il proprio indirizzo IP per fingersi un dispositivo legittimo all’interno di una rete. Questo tipo di attacco è spesso utilizzato per intercettare dati, aggirare sistemi di sicurezza o lanciare attacchi Man in the Middle (MitM).

Come funziona?

Un hacker utilizza uno sniffer di rete per captare pacchetti TCP/IP e, sfruttando lo spoofing IP, modifica il proprio indirizzo per impersonare un dispositivo autorizzato. Questo gli permette di:

• Intercettare il traffico e rubare dati sensibili.
• Aggirare firewall e sistemi di sicurezza che filtrano gli accessi in base all’IP.
• Manipolare le comunicazioni tra due dispositivi.

🔴 Esempio pratico: un attaccante può entrare in una rete aziendale fingendo di essere un server di fiducia, intercettando e alterando i dati in transito.

Come proteggersi?

• Utilizza firewall avanzati con rilevamento IP Spoofing.
• Configura VPN per cifrare il traffico di rete.
• Abilita l’autenticazione a più fattori (MFA) per gli accessi.
• Implementa filtri e regole di sicurezza nei router aziendali.

Come proteggersi da un attacco Man in the Middle

È molto difficile distinguere un indirizzo IP genuino da uno falso: l’unico modo per proteggersi da questo tipo di attacco è quello di impedire che possa essere messo in atto, tramite qualche accorgimento, sia di tipo tecnico sia con maggiore consapevolezza rispetto alle tematiche legate alla sicurezza informatica.

WPA2/WPA3 Encryption sugli Access Point

Una forte autenticazione a livello Access Point impedisce agli utenti indesiderati di unirsi alla tua rete semplicemente stando nelle vicinanze. Un meccanismo di crittografia debole può consentire a un utente malintenzionato di penetrare con la forza bruta in una rete e iniziare un attacco man-in-the-middle. Più forte è l’implementazione della crittografia, più sicura sarà la tua rete.

Protezione delle credenziali sul router con password complesse 

È essenziale assicurarsi che le credenziali di default di amministrazione sul router siano state cambiate. Se un utente malintenzionato trova le credenziali di accesso del tuo router, può cambiare i tuoi server DNS con i suoi server dannosi.

Virtual Private Network

Le VPN possono essere utilizzate per creare un ambiente sicuro per le informazioni sensibili all’interno di una rete locale. Usano la crittografia basata su chiave per creare una sottorete per la comunicazione sicura. In questo modo, anche se un utente malintenzionato dovesse accedere a una rete condivisa, non sarà in grado di decifrare il traffico nella VPN.

Forzare il protocollo HTTPS

Il protocollo HTTPS dovrebbe sempre essere utilizzato per le comunicazioni WEB, tramite  lo scambio di chiavi pubbliche e privato. Ciò impedisce a un utente malintenzionato di utilizzare i dati che potrebbe rilevare. I siti web dovrebbero utilizzare solo HTTPS e non fornire alternative HTTP. Gli utenti possono installare alcuni plug-in del browser per applicare sempre l’utilizzo di HTTPS sulle richieste.

Vuoi approfondire le tematiche inerenti questo ed altri tipi di attacco informatico? Iscriviti al nostro corso di formazione in ambito Ethical Hacking.