Il nome sembra il titolo di un film o di un’appassionante serie televisiva. E invece si tratta di uno degli attacchi informatici più diffusi al mondo e che prevede la presenza di un “uomo nel mezzo” pronto a intercettare (in alcuni casi a impedire e in altri anche a manipolare) le comunicazioni online tra due utenti (fisici o informatici). E quando ci si pone la domanda “Man-in-the-middle cos’è?” occorre mettere in guardia tutti i frequentatori del web, perché si tratta di una delle offensive cyber più subdole della storia di internet che parte da un’attività che potremmo definire “di spionaggio” e può arrivare anche al furto di dati sensibili (ma anche bancari o informazioni sui pagamenti).
LEGGI ANCHE > Cos’è il phishing, il tentativo di truffa digitale primordiale (ma tuttora in voga)
Di cosa stiamo esattamente parlando? Proviamo a spiegarlo utilizzando le parole usate dal dipartimento della Polizia Postale italiana nel suo avviso ai cittadini: «Qualcuno si frappone tra due soggetti assumendo l’identità di uno di essi, ed intrattiene rapporti fraudolenti con l’ignaro interlocutore, finalizzati alla realizzazione di un successivo risultato illecito (acquisizione di informazioni riservate; distrazione di bonifici e pagamenti vari). La modalità più frequente di attuazione della condotta criminosa è quella dell’accesso abusivo informatico a caselle di posta elettronica ed altri account in uso alla vittima. L’hacker è così in grado di osservare e intercettare, gestendo in prima persona attraverso “Protocollo IMAP” il “Client di posta”, ovvero di incanalare verso una cartella nascosta, sotto il suo diretto controllo, le mail provenienti dal soggetto interessato consentendogli, all’insaputa delle parti, di leggere, alterare o modificare il contenuto della corrispondenza».
La stessa Polizia Postale, spiegava – già nel 2020 – come la tecnica principale per portare a compimento l’attacco “Man-in-the-middle” fossero le mail. Non è un caso, infatti, che uno dei fenomeni correlati a questo tipo di offensiva sia stato denominato Man-in-the-mail, l’uomo nella mail. Di fatto, dunque, un hacker riesce a intromettersi nelle comunicazioni tra un punto-utente A e un punto-utente B e carpire informazioni. Ma non c’è solamente questo.
Spesso e volentieri, infatti, il furto di dati è solo l’epilogo di uno dei tanti aspetti di questo fenomeno. Sono tanti i casi in cui avviene un vero e proprio furto d’identità. L’uomo nel mezzo si intromette nelle comunicazioni e sostituisce, nelle risposte (sia in fase di input che di output), uno dei due punti della catena comunicativa. E non stiamo parlando solamente di comunicazione tra due utenti, ma anche tra un utente e una “connessione”, un’azienda, un server. Insomma, per questo motivo il “Man-in-the-middle” attack è subdolo. Proviamo a spiegarlo in parole povere.
L’utente A sta comunicando (parliamo di invio dati di qualsiasi tipo) con l’utente B (fisico o informatico). Durante questa fase, l’hacker – l’uomo nel mezzo – si inserisce e spia i movimenti e le comunicazioni. In questa fase può carpire dati, ma anche veicolare messaggi differenti: l’utente A invia un qualcosa all’utente B, ma quel qualcosa passa nelle “mani” dell’uomo nel mezzo che può manipolarle. Questo vuol dire che l’utente B potrebbe ricevere informazioni non originale e manipolate.
Ma questo non è sufficiente per rispondere alla domanda “man-in-the-middle cos’è?”. Perché l’esempio delle comunicazioni intercettate tra due utenti è puramente simbolico. La maggior parte degli attacchi con la tecnica de “l’uomo nel mezzo”, infatti, prevedono l’inserimento di una figura terza (un hacker) soprattutto nelle connessioni tra un cliente (l’utente) e i server, ma anche le connessioni WiFi non crittografate. Insomma, l’uomo nel mezzo si pone al centro della rete in cui avviene lo scambio di dati e questo rende non sicura la connessione, soprattutto nelle zone in cui il WiFi è pubblico (e per evitare di incappare in questo attacco, è sempre necessario collegarsi a portali con protocollo HTTPS e non HTTP. Questo non consente di essere sicuri al 100%, ma rende più difficile il tentativo della cyber-offensiva.
E proprio rimanendo nell’ambito delle connessioni, una delle tecniche più diffuse per condurre l’attacco “man-in-the-middle” è rappresentata dalla creazione di falsi access point. Il pirata informatico crea una rete – in realtà è un ponte e non una connessione diretta – con un nome simile al punto di accesso a internet utilizzato. In questo modo, la vittima non si accorge di navigare attraverso un ponte perpendicolare alla sua rete e l’hacker vede passare all’interno di quel ponte creato tutti i dati (anche quelli sensibili) inseriti durante la permanenza in Internet dell’utente. Ma c’è ancora un aspetto da evidenziare: parliamo dei malware.
Perché alla domanda “man-in-the-middle cos’è?” se ne aggiunge un’altra: esistono strumenti esterni per portare avanti questo attacco informatico? La risposta è sì. Nei mesi scorsi, infatti, abbiamo parlato di un sistema che ricalca le dinamiche dell’uomo nel mezzo: il Browser-in-the-middle, in grado anche di bucare il principio di sicurezza dietro l’autenticazione a due fattori. Come funziona? Lo hanno spiegato tre ricercatori dell’Università del Salento: «L’idea alla base di BitM è quella di interporre un browser trasparente dannoso tra il browser della vittima e il server web a cui la vittima accede per ottenere un servizio (es. un servizio bancario, un social network, ecc.). Lo scopo dell’interposizione è quello di intercettare, registrare e manipolare qualsiasi scambio di dati tra la vittima e il prestatore di servizi». Si inseriscono dati su quello che pensiamo sia il nostro browser. In realtà, c’è un altro browser nel mezzo che carpisce quei dati.
Questo è il quadro della soluzione. Ma come difendersi da tutto ciò? Riprendiamo quanto consigliato dalla Polizia Postale italiana:
Ma, soprattutto, per evitare di incappare in furti di dati bancari, è meglio evitare di effettuare pagamenti, bonifici et similia quando si è collegati a reti internet pubbliche e non crittografate.