Gli attacchi Browser-in-the-Middle (BitM) rappresentano una delle minacce più insidiose e sofisticate nel panorama della sicurezza informatica moderna. Questi attacchi permettono ai criminali di prendere il controllo della comunicazione tra l’utente e i servizi online, bypassando anche le difese più avanzate come l’autenticazione a più fattori (MFA).

Caratteristiche degli attacchi Browser-in-the-Middle

A differenza dei classici Man-in-the-Middle, che richiedono l’installazione di un malware sul dispositivo della vittima e operano tramite un proxy tra browser e destinazione, il Browser-in-the-Middle utilizza un browser remoto trasparente. In pratica, l’utente crede di utilizzare il proprio browser per accedere a servizi come online banking, ma in realtà sta interagendo con un browser controllato dall’attaccante, che può così registrare e manipolare tutte le informazioni scambiate.

Fasi di un attacco BitM

Il processo di un attacco BitM si articola generalmente in tre fasi:

• Phishing: la vittima viene indotta a cliccare su un link malevolo che la collega al server dell’attaccante.
• Browser falso: uno script dannoso stabilisce la connessione tra la vittima e il browser remoto trasparente, spesso potenziato da keylogger e altri strumenti di raccolta dati.
• Furto delle credenziali: l’utente accede ai suoi servizi, fornendo inconsapevolmente le proprie credenziali e token di sessione ai cybercriminali.

Sottrazione dei token di sessione

Il vero punto di forza di questi attacchi è la sottrazione dei token di sessione. Anche se la vittima supera con successo la MFA, una volta autenticata il token viene memorizzato nel browser e può essere rubato. In questo modo, l’attaccante può accedere ai servizi senza bisogno di conoscere le credenziali o ripetere l’autenticazione a più fattori.

Strategie di difesa

Per difendersi da questi attacchi è fondamentale adottare strategie multilivello. Si consiglia di:

• Gestire le estensioni del browser tramite whitelist e blacklist aziendali.
• Implementare token di sessione a breve durata e con scadenza variabile.
• Abilitare politiche di Content Security Policy (CSP) robuste.
• Monitorare il comportamento del browser tramite strumenti SIEM.
• Utilizzare soluzioni di browser isolation.
• Effettuare esercitazioni periodiche di red teaming per rivelare vulnerabilità latenti.

Ruolo di password e MFA

Nonostante la crescente sofisticazione degli attacchi BitM, password robuste e MFA rimangono elementi cruciali nella difesa, soprattutto se i token di sessione non vengono immediatamente compromessi. È importante rinforzare le policy di gestione delle password e mantenere alta l’attenzione su possibili tentativi di phishing e session hijacking.