Con il termine sniffing si fa riferimento ad una truffa che consiste, in sostanza, nell’intercettazione delle coordinate di pagamento utilizzate dal titolare della carta di credito durante una transazione online, per poi servirsene a proprio vantaggio. A livello pratico, quindi, questo potrebbe succedere durante un acquisto online su un sito che non fa uso di HTTPS (si riconosce dal lucchetto verde abilitato vicino al nome del sito, per esserne sicuri), rischio accentuato dal fare l’acquisto su una connessione Wi-Fi non adeguatamente protetta – o su cui la password siano nota a più persone (ad esempio in ufficio).
Esempio di sniffing su un sito web che fa uso di pagamenti online e carte di credito
Lo sniffing è una tecnica utilizzata dagli hacker per intercettare e catturare dati sensibili che transitano in rete. Nel contesto di un sito web di carte di credito, lo sniffing potrebbe essere utilizzato per rubare informazioni come numeri di carte di credito, date di scadenza e codici di sicurezza CVV.
Scenario
Un utente visita un sito web di commercio elettronico per acquistare un prodotto. Durante il processo di pagamento, l’utente inserisce i dati della sua carta di credito.
Fasi di uno sniffing
- Posizionamento dell’attaccante: L’attaccante deve essere in grado di intercettare il traffico tra l’utente e il sito web. Questo può avvenire in diversi modi:
- Man-in-the-Middle (MitM): L’attaccante si posiziona tra l’utente e il server del sito web.
- Rete Wi-Fi compromessa: L’attaccante controlla un punto di accesso Wi-Fi pubblico o compromesso.
- Software malevolo: L’attaccante installa un software di sniffing sul dispositivo dell’utente.
- Intercettazione del traffico: L’attaccante utilizza strumenti di sniffing come Wireshark per catturare i pacchetti di dati che vengono scambiati tra l’utente e il sito web.
- Analisi del traffico: Una volta intercettati i pacchetti, l’attaccante analizza i dati per estrarre le informazioni sensibili. Se il sito web non utilizza un’adeguata crittografia (HTTPS), le informazioni della carta di credito possono essere visibili in chiaro nei pacchetti catturati.
Strumenti comunemente utilizzati
- Wireshark: Uno dei più popolari strumenti di analisi del traffico di rete. Può catturare e visualizzare i pacchetti in transito in una rete.
- tcpdump: Uno strumento a riga di comando per la cattura del traffico di rete.
- Ettercap: Uno strumento per eseguire attacchi di tipo Man-in-the-Middle.
Esempio di sessione con Wireshark
- Cattura del traffico:
- L’attaccante avvia Wireshark e inizia a catturare il traffico sulla rete locale.
- Filtro del traffico:
- L’attaccante applica filtri per isolare il traffico HTTP o HTTPS, ad esempio utilizzando filtri come
http
ossl
.
- L’attaccante applica filtri per isolare il traffico HTTP o HTTPS, ad esempio utilizzando filtri come
- Ispezione dei pacchetti:
- L’attaccante individua i pacchetti di interesse e li ispeziona per estrarre le informazioni sensibili. Se il sito utilizza HTTPS, i dati saranno cifrati, ma se il sito è vulnerabile a specifici attacchi (es. SSL Stripping), l’attaccante potrebbe riuscire a decifrare i dati.
Contromisure
Per proteggersi dallo sniffing, è fondamentale adottare alcune buone pratiche:
- Utilizzare HTTPS: Assicurarsi che il sito web utilizzi HTTPS per cifrare i dati in transito.
- Aggiornare regolarmente i certificati SSL/TLS: Utilizzare certificati aggiornati e sicuri.
- Implementare HSTS: La Strict Transport Security (HSTS) forza i browser a utilizzare solo connessioni HTTPS.
- Utilizzare reti sicure: Evitare l’uso di reti Wi-Fi pubbliche per transazioni sensibili.
- Software di sicurezza aggiornato: Mantenere aggiornati i software antivirus e antimalware sui dispositivi degli utenti.
Lo sniffing rappresenta una seria minaccia per la sicurezza dei dati, ma con le giuste precauzioni è possibile ridurre significativamente il rischio di intercettazione delle informazioni sensibili.