Il Man-in-the-Middle (MitM) è uno degli attacchi più conosciuti nel mondo nel campo della sicurezza informatica, ed è tra le maggiori preoccupazioni per i professionisti del settore.
L’obiettivo principale di MitM è quello di compromettere la riservatezza, l’integrità e la disponibilità dei dati che scorrono tra origine e destinazione.
Ma con il tempo questo modello si è evoluto in un nuovo metodo di attacco, denominato Browser-in-the-Middle (BitM) che, nonostante le somiglianze con MitM nel modo in cui controlla il flusso di dati tra un client e il servizio a cui accede, bypassa alcune delle carenze tipiche del MitM.
Si è visto subito come BitM abbia ampliato il raggio delle possibili azioni dell’attaccante, rendendole allo stesso tempo più facili da implementare. Tra le sue caratteristiche, da sottolineare l’assenza della necessità di installare malware di qualsiasi tipo sulla macchina della vittima e il controllo totale che consente all’attaccante.
Come funziona l’attacco
Uno scenario tipico per questo tipo di attacco prevede: due endpoint (le vittime), una terza parte (l’attaccante) e un canale di comunicazione. L’attaccante può accedere al canale di comunicazione e può intercettare e manipolare i messaggi inviati o ricevuti da entrambi gli endpoint.
Pur appartenendo alla stessa categoria, Browser-in-the-Middle (BitM) è relativamente facile da implementare e scalabile attraverso tecniche di phishing. Consente inoltre il monitoraggio in tempo reale del comportamento delle vittime durante la navigazione web e la manomissione dei dati scambiati.
In sostanza, si persegue sostituendo il browser della vittima con un browser dannoso, ospitato sulla piattaforma di attacco, che l’attaccante è in grado di controllare, lasciando la vittima totalmente indifesa. Alla base c’è un uso attento di RFB, il protocollo alla base delle più note applicazioni VNC (Virtual Network Control).