Lo spoofing è un tipo di attacco che impiega in varie maniere la falsificazione dell’identità (spoof). Negli ultimi tempi si sono susseguiti una serie di attacchi di tipo spoofing che sfruttano le vulnerabilità della barra degli indirizzi di un paio di browser Web. Ma cosa c’è dietro a questa vulnerabilità e come è possibile prevenire questi attacchi che spesso coinvolgono i dipendenti di un’azienda quando digitano un indirizzo Web? A queste domande rispondono gli esperti, che spiegano da dove nasce questa vulnerabilità e come prevenire gli attacchi che la sfruttano.
Come agiscono gli attacchi spoofing
La funzione setInterval del linguaggio JavaScript presente nell’oggetto HTML DOM Window si occupa di eseguire il codice di una determinata funzione in maniera continua. Ad esempio, alcuni ricercatori, hanno scoperto che diverse aziende utilizzano la funzione setInterval per far sì che la propria pagina web si ricarichi ogni dieci millisecondi. Questo potrebbe portare un utente malintenzionato a mostrare nella barra degli indirizzi un l’URL associato a un sito web richiesto, ma in realtà il browser mostrerebbe il contenuto della pagina web malevola creata appositamente dall’hacker, che di norma, in tutto e per tutto, assomiglia a quella originale richiesta dall’utente. C’è un proof of concept che in alcuni casi opera su un browser (Safari su iPad è un esempio) che può essere utilizzato come parte di un attacco di tipo phishing. Il codice JavaScript utilizzato per questo tipo di attacco è molto semplice: si ricarica costantemente una pagina web creata dall’hacker prima che il browser riesca a mostrare la pagina richiesta in origine cliccando su un link. Il risultato è che l’utente visualizza la pagina creata dall’hacker, ma con l’URL, visibile nella barra degli indirizzi, che corrisponde alla perfezione alla pagina richiesta. C’è quindi la possibilità che un utente possa credere di navigare su un sito web legittimo, quando invece si trova su un sito controllato da un pirata informatico.
Chiaramente l’abuso della funzione setInterval, ovvero la rapida e costante ricarica di una pagina web ogni centesimo di secondo, può causare, nella maggior parte dei dispositivi, il blocco della pagina web e diventare quindi inutilizzabile dall’hacker per i suoi scopi truffaldini. Una vulnerabilità legata alla barra degli indirizzi che potrebbe essere sfruttata per attacchi spoofing, è presente nel browser di default offerto con i sistemi basati su Android (Android Stock Browser). Questo browser non è in grado di gestire la risposta dell’errore 204 No Content quando viene combinato con l’evento window.open. Ricevere risposta di errore 204 No Content significa che il server ha elaborato la richiesta, ma non restituisce alcun contenuto. In questo caso si potrebbe verificare un proof of concept dove viene mostrato l’URL di un sito legittimo, ma il contenuto è ospitato su un dominio diverso. l team di sicurezza di Android già rilasciato una patch, ma spetta a ciascun operatore di telefonia mobile il compito di distribuirlo e l’augurio è questo avvenga molto in fretta.
Come difendersi dagli attacchi spoofing
La barra degli indirizzi del browser web è uno degli indicatori chiave che hanno gli utenti per capire che sono sul sito web che hanno chiesto. Se gli attaccanti possono controllare ciò che viene visualizzato, questa le probabilità di successo degli attacchi di phishing sono molto alte. Gli amministratori di siti web non hanno molte armi a loro disposizione per fermare gli attacchi spoofing che sfruttano le vulnerabilità della barra degli indirizzi e che cercano di ingannare gli utenti nel divulgare dati sensibili. visto che tale vulnerabilità risiede nel browser dell’utente, e non sul sito web. A dire il vero lo sfruttamento di queste vulnerabilità da parte dei pirati informatici sono abbastanza improbabili, ma questa minaccia dovrebbe ricordare ad ogni utente (e ad ogni team IT in azienda) di tenere sempre aggiornato il browser in uso.
Allo stesso tempo il team di sicurezza dell’azienda dovrebbe creare sessioni di sensibilizzazione alla sicurezza destinate agli utenti, dove vengono fornite informazioni sulle tecniche usate dagli hacker per manomettere la barra degli indirizzi e sfruttarla per attacchi phishing. Ad esempio, l’uso di sottodomini o URL contenenti errori ortografici (typosquatting) sono trucchi comunemente utilizzati per attacchi phishing, così come lo sono gli homograph spoofing, ovvero URL a siti creati con caratteri logici diversi che vengono poi utilizzati per leggere esattamente un dominio legittimo. Alcuni attacchi phishing, infine, utilizzano un codice JavaScript per inserire addirittura un’immagine di un URL legittimo nella barra degli indirizzi, mentre a insaputa dell’utente questo si collega a un sito malevolo da dispositivo fisso o da dispositivo mobile.
Per evitare che i dipendenti vengano coinvolti in attacchi phishing che sfruttano le vulnerabilità della barra degli indirizzi, essi dovrebbero partecipare a corsi di formazione sulla sicurezza che trattano in maniera completa questi tipi di attacco. La partecipazione a questi corsi di sicurezza informatica potrebbe prevenire la cattiva abitudine di molti utenti che facilmente, e senza pensarci molto, cliccano su link provenienti da fonti sconosciute.