Gli attacchi di phishing intermediario (AitM) stanno diventando sempre più sofisticati, sfruttando nuovi toolkit di phishing per aggirare i controlli di sicurezza tradizionali come l'autenticazione a più fattori (MFA) e il rilevamento e la risposta agli endpoint (EDR). Questi attacchi non solo rubano le credenziali degli utenti, ma anche le sessioni attive, permettendo agli attaccanti di bypassare le misure di sicurezza esistenti.

Gli attacchi AitM utilizzano strumenti dedicati per fungere da proxy tra la vittima e il portale di login legittimo di un'applicazione. La pagina di login appare autentica agli occhi dell'utente perché si sta effettivamente collegando al sito reale, ma attraverso il dispositivo dell'attaccante. Questo aumenta il livello di autenticità percepita e rende la compromissione meno evidente. L'attaccante può osservare tutte le interazioni e prendere il controllo della sessione autenticata, ottenendo l'accesso all'account dell'utente.

Esistono due principali tecniche per implementare il phishing AitM:

I proxy web inversi sono il metodo più affidabile e scalabile dal punto di vista dell'attaccante, utilizzando strumenti open-source come Modlishka, Muraena e Evilginx. Questi strumenti inoltrano le richieste HTTP tra il browser della vittima e il sito legittimo, permettendo all'attaccante di intercettare le credenziali.

Le tecniche BitM, invece, coinvolgono il controllo remoto del browser dell'attaccante attraverso strumenti come VNC e RDP. Questo approccio permette di raccogliere non solo il nome utente e la password, ma anche tutti gli altri segreti e token associati al login. Un esempio noto di questo tipo di attacco è EvilnoVNC, che utilizza istanze Docker di VNC e registra i tasti premuti e i cookie per facilitare la compromissione degli account.

La crescente sofisticazione degli attacchi di phishing e l'investimento degli attaccanti nello sviluppo di toolkit avanzati indicano chiaramente la gravità della minaccia che queste tecniche rappresentano. Le statistiche mostrano che una grande percentuale degli attacchi odierni coinvolge identità e credenziali compromesse.

Le soluzioni di prevenzione del phishing tradizionali, come il blocco delle email di phishing e delle URL conosciute come malevole, non sono più sufficienti. Gli attaccanti sono in grado di cambiare facilmente questi indicatori, rendendo inefficaci tali misure.

Per costruire controlli migliori, è necessario trovare indicatori più difficili da cambiare per gli attaccanti. Il concetto della "Piramide del Dolore" aiuta i difensori a concentrarsi su parti sempre più generiche di una tecnica di attacco. Ad esempio, impedire agli utenti di inserire le loro credenziali in un sito di phishing può prevenire l'attacco completamente.

L'adozione di controlli di sicurezza basati sul browser offre un vantaggio significativo. Il browser è il nuovo sistema operativo, il gateway verso le applicazioni web che gli utenti utilizzano quotidianamente. È possibile intercettare gli utenti al punto di impatto, fermando l'attacco prima che avvenga effettivamente.

Per approfondire come i controlli basati sul browser possono fermare gli attacchi di identità, è possibile esplorare ulteriormente le risorse disponibili.