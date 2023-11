A differenza degli attacchi Man-in-the-middle con cui gli attaccanti intercettano e manipolano il traffico internet, nei Man-in-the-broeser-attack (MitB) viene impiegato un trojan per intercettare e manipolare le chiamate tra un’eseguibile (tipicamente un browser) e i suoi elementi di sicurezza. Concetto un po’ fumoso che approfondiamo più avanti.

Non è una minaccia nuova, nella letteratura di riferimento più recente si trovano esempi che risalgono al 2006 ma, con il passare degli anni, è diventata più fine e più subdola: iniettando il trojan nel browser, i cyber criminali riescono a gestire le comunicazioni tra dispositivo e siti web.

L’obiettivo è quello di manipolare le transazioni online e impossessarsi di dati sensibili senza mostrare tracce evidenti e quindi passando spesso inosservato.

Gli accorgimenti da adottare sono sempre i medesimi. Ciò che fa la differenza è la consapevolezza dell’utente.

Man-in-the-browser-attack

Un attacco in cui un malware, un trojan, inoculato in un browser e si pone tra questo e l’utente intercettando e modificano in tempo reale transazioni e pagine web. L’esempio classico di Man-in-the-browser è quello delle transazioni bancarie online: l’utente accede al proprio conto corrente per fare un bonifico e, in modo del tutto invisibile agli occhi degli utenti, modifica l’importo della transazione e anche il conto corrente del destinatario.

Questo, però, è solo l’esempio più spendibile per dare una dimensione del fenomeno che, in realtà, è ben più complesso e potenzialmente pericoloso perché passa inosservato. Non ci sono elementi che inducano a rilevare la presenza di qualcosa di anomalo. Non ci sono rallentamenti del dispositivo o rallentamenti nella navigazione, tutto funziona in modo inappuntabile e, inoltre, il trojan può essere spento dall’attaccante e riattivato quando ritenuto necessario.

Perché è temibile

Le minacce di tipo Man-in-the-browser-attack sono temibili per diversi motivi. Il fatto che siano irrilevabili alla percezione dell’utente è uno di questi ma, ancora più rilevante, è il fatto che occorre un’elevata consapevolezza delle minacce in quanto tali per adottare comportamenti e profilassi capaci di porre al riparo dai rischi e, senza dubbio, questa è la difficoltà più difficile da colmare.

La genesi e l’eziologia delle minacce MitB la dicono lunga su quanto siano pericolose: il trojan infetta un software, un’app o il sistema operativo e installa un’estensione del browser che viene avviata all’apertura del browser stesso e inficia sulle attività normalmente svolte dall’utente.

Quando l’utente conferma l’operazione svolta online premendo invio o cliccando su appositi pulsanti della pagina web (bonifici, ordinazioni, moduli di lavoro, eccetera) l’estensione estrae i dati digitati e memorizza i valori salvo poi modificarli prima che questi vengano inviati al server di riferimento.

La pagina web di riepilogo (la distinta del bonifico, l’esposizione riassuntiva dell’ordine effettuato o la revisione dei dati inseriti in un software o in un database aziendale) viene ripopolata con i dati effettivamente inseriti dall’utente, affinché questo non noti alcuna differenza con i dati effettivamente inviati al server.

Tutti questi singoli passi avviano dei processi in background resi possibili mediante l’uso di API, a loro volta elementi fragili delle comunicazioni tra client, applicazioni e server.

Il funzionamento degli attacchi Man-in-the-browser evidenzia delle vulnerabilità di diverso tipo, ovvero:

E, a queste, si aggiunge anche una scrittura di codice HTML perfettibile grazie a tecniche di encoding che, anche queste da anni, sono note per essere utili nel ridurre l’esposizione a diverse minacce.

Prevenire Man-in-the-browser-attack

Gli accorgimenti da prendere per non prestare il fianco sono, in definitiva, sempre i medesimi a partire dalla necessità di aggiornare i browser, cosa che peraltro avviene in modo automatico e quindi senza che l’utente debba intervenire. Inoltre:

le tracce virali degli antivirus devono essere aggiornate verifica supplementare delle transazioni. Nel caso di un bonifico controllare il saldo della relazione bancaria dopo averlo effettuato, oppure chiedere conferma dell’ordine inviato consapevolezza. La tecnica di difesa più ostica: conoscere le minacce, quali mezzi usano per diffondersi e come agiscono i cyber criminali è la difesa migliore.

Poiché i malware devono essere installati sui dispositivi, è bene sapere riconoscere le email sospette, le pagine web rischiose che, per esempio, offrono aggiornamenti di software noti. Tali aggiornamenti sono erogati da chi produce i software e non c’è ragione di prelevarli da siti che non siano ufficiali.

