Session hijacking, o dirottamento di sessione, è emerso come uno dei metodi più recenti con cui gli attaccanti bypassano l'autenticazione a più fattori (MFA). Questo fenomeno è in crescita, come dimostrano i dati: nel 2023, Microsoft ha rilevato 147.000 attacchi di ripetizione di token, un aumento del 111% rispetto all'anno precedente. Inoltre, gli attacchi ai cookie di sessione avvengono ora con la stessa frequenza degli attacchi basati su password, secondo Google. Sebbene il dirottamento di sessione non sia una tecnica nuova, la sua evoluzione ha portato a nuove modalità operative.

Tradizionalmente

Il dirottamento di sessione era associato ad attacchi man-in-the-middle (MitM), dove un attaccante intercettava il traffico di rete non sicuro per catturare credenziali o dettagli finanziari. Oggi, invece, il dirottamento di sessione si concentra su attacchi basati sull'identità attraverso servizi cloud, con l'obiettivo di rubare materiali di sessione validi come cookie e token per riprendere la sessione su un dispositivo dell'attaccante.

Motivazione principale

La motivazione principale per rubare le sessioni è aggirare i controlli di autenticazione come l'MFA. Una sessione rubata permette all'attaccante di evitare il processo di autenticazione, utilizzando direttamente i token di sessione. Anche se teoricamente i token di sessione hanno una durata limitata, in pratica possono rimanere validi per periodi più lunghi, facilitando ulteriormente gli attaccanti.

Tecniche moderne

Le tecniche moderne di dirottamento di sessione includono l'uso di kit di phishing avanzati come AitM (Adversary-in-the-Middle) e BitM (Browser-in-the-Middle), che consentono agli attaccanti di intercettare il materiale di autenticazione durante il processo di phishing. Inoltre, gli infostealers, strumenti che mirano a rubare i dati del browser, rappresentano un'altra minaccia significativa. Questi strumenti non solo puntano ai cookie di sessione, ma anche alle credenziali salvate, aumentando il numero di sessioni potenzialmente compromesse.

Insidiosità degli infostealers

Gli infostealers sono particolarmente insidiosi perché spesso passano inosservati ai controlli di sicurezza come gli EDR (Endpoint Detection and Response), soprattutto quando vengono utilizzati dispositivi non gestiti o personali. Inoltre, la sincronizzazione dei profili del browser tra diversi dispositivi può portare alla compromissione delle credenziali aziendali anche attraverso un'infezione su un dispositivo personale.

Resistenza al phishing

Infine, anche se i passkey offrono una maggiore resistenza al phishing, non possono prevenire gli attacchi degli infostealers, poiché questi ultimi mirano direttamente al dispositivo endpoint. Le strategie di rilevamento degli attacchi di dirottamento di sessione includono l'implementazione di controlli a livello di app e il monitoraggio delle attività sospette nei log degli Identity Provider (IdP), cercando di identificare l'uso di sessioni rubate.