A differenza degli attacchi Man-in-the-middle con cui gli attaccanti intercettano e manipolano il traffico internet, nei Man-in-the-broeser-attack (MitB) viene impiegato un trojan per intercettare e manipolare le chiamate tra un’eseguibile (tipicamente un browser) e i suoi elementi di sicurezza. Concetto un po’ fumoso che approfondiamo più avanti.
Non è una minaccia nuova, nella letteratura di riferimento più recente si trovano esempi che risalgono al 2006 ma, con il passare degli anni, è diventata più fine e più subdola: iniettando il trojan nel browser, i cyber criminali riescono a gestire le comunicazioni tra dispositivo e siti web.
L’obiettivo è quello di manipolare le transazioni online e impossessarsi di dati sensibili senza mostrare tracce evidenti e quindi passando spesso inosservato.
Gli accorgimenti da adottare sono sempre i medesimi. Ciò che fa la differenza è la consapevolezza dell’utente.
Indice degli argomenti
Man-in-the-browser-attack
Un attacco in cui un malware, un trojan, inoculato in un browser e si pone tra questo e l’utente intercettando e modificano in tempo reale transazioni e pagine web. L’esempio classico di Man-in-the-browser è quello delle transazioni bancarie online: l’utente accede al proprio conto corrente per fare un bonifico e, in modo del tutto invisibile agli occhi degli utenti, modifica l’importo della transazione e anche il conto corrente del destinatario.
Questo, però, è solo l’esempio più spendibile per dare una dimensione del fenomeno che, in realtà, è ben più complesso e potenzialmente pericoloso perché passa inosservato. Non ci sono elementi che inducano a rilevare la presenza di qualcosa di anomalo. Non ci sono rallentamenti del dispositivo o rallentamenti nella navigazione, tutto funziona in modo inappuntabile e, inoltre, il trojan può essere spento dall’attaccante e riattivato quando ritenuto necessario.
Perché è temibile
Le minacce di tipo Man-in-the-browser-attack sono temibili per diversi motivi. Il fatto che siano irrilevabili alla percezione dell’utente è uno di questi ma, ancora più rilevante, è il fatto che occorre un’elevata consapevolezza delle minacce in quanto tali per adottare comportamenti e profilassi capaci di porre al riparo dai rischi e, senza dubbio, questa è la difficoltà più difficile da colmare.
La genesi e l’eziologia delle minacce MitB la dicono lunga su quanto siano pericolose: il trojan infetta un software, un’app o il sistema operativo e installa un’estensione del browser che viene avviata all’apertura del browser stesso e inficia sulle attività normalmente svolte dall’utente.
Quando l’utente conferma l’operazione svolta online premendo invio o cliccando su appositi pulsanti della pagina web (bonifici, ordinazioni, moduli di lavoro, eccetera) l’estensione estrae i dati digitati e memorizza i valori salvo poi modificarli prima che questi vengano inviati al server di riferimento.
La pagina web di riepilogo (la distinta del bonifico, l’esposizione riassuntiva dell’ordine effettuato o la revisione dei dati inseriti in un software o in un database aziendale) viene ripopolata con i dati effettivamente inseriti dall’utente, affinché questo non noti alcuna differenza con i dati effettivamente inviati al server.
Tutti questi singoli passi avviano dei processi in background resi possibili mediante l’uso di API, a loro volta elementi fragili delle comunicazioni tra client, applicazioni e server.
Il funzionamento degli attacchi Man-in-the-browser evidenzia delle vulnerabilità di diverso tipo, ovvero:
- vulnerabilità nell’autenticazione
- vulnerabilità nella validazione dell’input
- vulnerabilità nella gestione delle sessioni
E, a queste, si aggiunge anche una scrittura di codice HTML perfettibile grazie a tecniche di encoding che, anche queste da anni, sono note per essere utili nel ridurre l’esposizione a diverse minacce.
Prevenire Man-in-the-browser-attack
Gli accorgimenti da prendere per non prestare il fianco sono, in definitiva, sempre i medesimi a partire dalla necessità di aggiornare i browser, cosa che peraltro avviene in modo automatico e quindi senza che l’utente debba intervenire. Inoltre:
- le tracce virali degli antivirus devono essere aggiornate
- verifica supplementare delle transazioni. Nel caso di un bonifico controllare il saldo della relazione bancaria dopo averlo effettuato, oppure chiedere conferma dell’ordine inviato
- consapevolezza. La tecnica di difesa più ostica: conoscere le minacce, quali mezzi usano per diffondersi e come agiscono i cyber criminali è la difesa migliore.
Poiché i malware devono essere installati sui dispositivi, è bene sapere riconoscere le email sospette, le pagine web rischiose che, per esempio, offrono aggiornamenti di software noti. Tali aggiornamenti sono erogati da chi produce i software e non c’è ragione di prelevarli da siti che non siano ufficiali.
