La minaccia degli attacchi CSRF: cosa sono e come proteggere il tuo sito
Sul web sono molti i pericoli che si corrono tra cui gli attacchi CSRF (Cross Site Request Forgery). Si tratta di un sistema molto sfruttato dagli hacker in quanto molto difficili da individuare prima che il danno sia fatto. L’attacco avviene durante le sessioni di collegamento da parte di un utente a una piattaforma online dopo che ha effettuato il login.
Il principio di base è sfruttare a sua insaputa la vittima inviando richieste HTTP assumendo la sua identità. L’utente non se ne rende conto prima che sia tardi e l’hacker può così riuscire a controllare le sue azioni. Gli attacchi più gravi si verificano sui siti per l’home banking da dove i criminali possono spostare somme di denaro.
Attacchi CSRF: come funzionano nel dettaglio
Perché vada a buon fine prima di tutto occorre che un utente si autentichi su un sito web che faccia uso di cookie e che abbia una policy debole per quelli SameSite. In particolare se è impostata sulla modalità none la piattaforma o il sito si espongono ad attacchi simili mentre nel caso risulti strict allora gli utenti possono ritenersi protetti.
Un hacker che tenti di fare un’azione CSRF invia un link contraffatto che sembri una richiesta normale da parte del sito e spinga l’utente a cliccarci sopra. In questo modo invia una richiesta a un sito che comprende l’autenticazione cookie e risulta quindi legittima al server. A questo punto il cybercriminale ha il pieno controllo e può eseguire azioni sotto l’identità dell’utente reale.
Il click sul link da solo basta ad avviare il processo già impostato dall’hacker. Tra le azioni che in genere questi attacchi compiono ci sono l’acquisto di un articolo o il cambio delle credenziali di autenticazione. In questo modo l’utente si ritrova senza più la possibilità di accedere al proprio account, e l’unica possibilità è provare a disattivarlo.
Per agire chi effettua l’azione criminale deve sfruttare il momento in cui la potenziale vittima sia collegata in modo da non dover nemmeno scoprire la password. Finché la sessione rimane attiva è possibile agire se il server non verifica la provenienza della richiesta perché i cookie vengono condivisi anche fra siti diversi.
Le tre tipologie
La prima delle varianti per effettuare un attacco CSRF è quella che prevede l’invio di un URL tramite un messaggio di posta elettronica o un secondo sito web. Una volta che l’utente lo apre si invia in contemporanea la richiesta HTTP. Per prevenirlo l’unica accortezza è leggere l’URL e cercare di capire se si tratti o meno di un link attendibile.
Un altro sistema parte direttamente da un virus o un malware preinstallata sul PC o sullo smartphone della vittima. Sono molte le segnalazioni che arrivano dalle società di IT Security che segnalano applicazioni malevole all’interno del Play Store o dell’App Store. Per di più la presenza di questi software espone anche ad altri tentativi di truffe.
Infine gli attacchi come questo possono anche inserirsi all’interno di un altro tipo di azione hacker chiamata Cross-Site Scripting. Si tratta di un sistema con cui si manomette un sito web normale per farlo diventare uno strumento per eseguire truffe. A questo punto sarà il sito stesso a inviare la richiesta malevola e far partire l’azione CSRF.
Gli hacker ricorrono a questo metodo soprattutto per agire sulle piattaforme bancarie ed effettuare operazioni a proprio vantaggio. La richiesta HTTP che andrà a creare infatti sarà basata su quella che corrisponde alla compilazione del modulo per fare un bonifico. La banca esegue l’azione e l’utente nota il trasferimento solo una volta che è già avvenuto.
Come prevenire gli attacchi CSRF
La migliore strategia verso azioni informatiche illecite che sono difficili da individuare è prendere precauzioni. Prima di tutto conviene fare attenzione a quali portali web si accede e terminare sempre le sessioni prima di aprire un secondo sito. Restare collegati a più piattaforme contemporaneamente è da evitare.
Un altro accorgimento per prevenire gli attacchi CSRF riguarda le password, che è meglio non salvare all’interno del browser. Meglio piuttosto ricorrere a un Password Manager che al tempo stesso aiuta a crearne di più sicure che poi saranno mantenute in un database protetto. Si può ottenere scaricando software appositi o con un’estensione del browser.
Chi usa una VPN può invece stare più tranquillo in quanto anche se non protegge al 100% dalle richieste HTTP false aumenta le sicurezza dell’utente. Lo protegge dalla maggior parte dei malware e dei virus evitando di farlo cadere vittima di altre truffe informatiche. Non si tratta di servizi gratuiti ma sono molto affidabili.
Per fortuna i sistemi di autenticazione a due fattori aiutano a individuare questi attacchi in quanto il codice arriva tramite SMS al legittimo proprietario dell’account. Per questo ormai tutti i servizi di home banking prevedono questa procedura, che protegge anche da altre azioni illegali.