Il dirottamente del browser si verifica quando malware e script dannosi presentì in plug-in ed estensioni riescono a deviare la navigazione web verso pagine fraudolente.
In questo articolo, impareremo a distinguere sintomi e manifestazioni della minaccia, nonché ad adottare efficaci misure per fronteggiarla.
- Browser hijacker: da cosa è causato il dirottamento del browser
- Conseguenze e motivazioni di un attacco di dirottamento del browser
- Differenze tra browser hijacking e dirottamento TCP/IP
- Misure preventive contro il dirottamento del browser
- Cosa fare in caso di avvenuta infezione
Browser hijacker: da cosa è causato il dirottamento del browser
Il dirottamento del browser, noto anche come browser hijacking, è una tecnica di attacco informatico ad opera dei PUP (Potentially Unwanted Program) presenti in plug-in ed estensioni installate sul browser.
Com’è noto, un PUP è un programma malizioso presente nei pacchetti di download di app e programmi scarsamente attendibili. e della cui presenza spesso l’utente è del tutto ignaro.
Nel caso specifico del dirottamento del browser, questi script malevoli prendono il nome di browser hijacker, poiché sono quelli che materialmente
- prendono il controllo del motore di ricerca
- reindirizzano le ricerche su specifici siti web contraffatti
- aprono finestre di pop-up indesiderate
- iniettano annunci pubblicitari infetti sulle pagine web
- intercettano informazioni personali della vittima, come esperienza di ricerca e cookie di navigazione
Non solo. Vengono compromesse anche le impostazioni di:
- browser
- motore di ricerca predefinito
Il che può portare a visualizzare schermate di home e nuove schede diverse da quelle abituali, nonché a utilizzare servizi di navigazione non richiesti.
Vengono solitamente scaricati assieme a componenti aggiuntivi e plug-in fintamente attendibili, come:
- AdBlock Pro: poiché il plug-in AdBlock è solitamente impiegato per bloccare la visualizzazione di annunci pubblicitari, la versione Pro sfrutta la notorietà dell’estensione legittima per sovrascrivere le inserzioni originali con pubblicità indesiderata e adware
- Hola VPN: questo plug-in promette di fornire una connessione VPN gratuita, ma nella pratica sfrutta la connessione Internet della vittima per fornire accesso non autorizzato ad altri utenti. Inoltre, può essere utilizzata per eseguire attacchi di tipo man-in-the-middle e per intercettare le informazioni di navigazione
- Search Encrypt: spacciata come estensione per proteggere la privacy durante le ricerche online, in realtà raccoglie i dati di ricerca e li invia a Terzi senza alcun consenso da parte dell’utente, oltre a modificare da sé impostazioni ed esperienza di ricerca
Conseguenze e motivazioni di un attacco di dirottamento del browser
Dopo aver compreso quali rischi comporta un attacco di dirottamento del browser, analizziamo quali possono essere i sintomi reali dell’infezione.
Tra le principali manifestazioni che potrebbero indurre al sospetto, possiamo elencare:
- modifica anomala del browser e dei motori di ricerca: se non si ha memoria di aver cambiato le impostazioni del browser o del motore di ricerca predefinito, sarà meglio controllare se le estensioni installate siano effettivamente attendibili
- presenza di barre degli strumenti e plug-in sconosciuti: se il browser presenta funzionalità che l’utente non ha mai impostato di persona, potrebbe trattarsi di un chiaro segnale di browser hijacking
- rallentamento della navigazione: questo è un chiaro indice che l’attività dell’hijacker ha la meglio ed è primaria rispetto a quella dell’utente legittimo
- comparsa improvvisa di finestre di pop-up sospette: se durante la navigazione cominciano a comparire finestre anomale e di natura sospetta, potrebbe trattarsi di adware derivanti dall’hijacking
- esecuzione di processi sconosciuti, visibili dal Task Manager, e attribuibili all’esecuzione in background di codici maliziosi
Differenze tra browser hijacking e dirottamento TCP/IP
In un approfondimento di qualche tempo fa, avevamo trattato il dirottamento TCP/IP.
In questa sede, invece, ci occupiamo di chiarire le differenze tra due concetti, ovvero: dirottamento del browser e dirottamento TCP/IP, che potrebbero essere facilmente confusi.
Tipologia d’attacco
In primo luogo, il dirottamento del browser coinvolge l’installazione di un software malevolo sul computer dell’utente, mentre il TCP/IP hijacking modifica i pacchetti di dati trasmessi attraverso il protocollo omonimo
Obiettivo
Il dirottamento del browser è generalmente mirato a reindirizzare l’utente a pagine web indesiderate o pubblicità invasive, intercettandone dati e informazioni sensibili.
Il dirottamento del TCP/IP, invece, punta a captare o modificare i dati trasmessi tra due dispositivi.
Modalità di esecuzione
Il browser hijacking viene eseguito attraverso l’installazione di software malevolo sul computer dell’utente o attraverso tecniche di phishing.
Il dirottamento del TCP/IP, al contrario, comporta la modifica dei pacchetti di dati trasmessi attraverso il protocollo.
Questo tipo di attacco può essere eseguito utilizzando tecniche di intercettazione dei pacchetti, come lo sniffing o l’utilizzo di software di analisi del traffico di rete.
Una volta intercettati i pacchetti, l’attaccante può quindi modificare i dati in modo da intercettare informazioni sensibili o inviare dati falsificati
Impatto sulla sicurezza
Entrambi i tipi di dirottamento possono causare danni alla sicurezza del computer e dei dati dell’utente. Tuttavia, il dirottamento del TCP/IP comporta un rischio relativamente più elevato, poiché può essere utilizzato per intercettare informazioni sensibili e ritrasmetterle in maniera falsificata.
Difficoltà di rilevamento
Se il dirottamento del browser è reso spesso evidente dai cambiamenti nella home page o nel motore di ricerca predefinito, il TCP/IP hijacking non lo è altrettanto.
L’intercettazione dei pacchetti di dati, infatti, avviene generalmente senza che l’utente se ne accorga, rendendo la minaccia molto più insidiosa e difficile da fronteggiare.
Misure preventive contro il dirottamento del browser
Compresa l’entità del rischio, non ci resta che seguire alcune best practice per prevenirlo.
Ecco, quindi, alcuni suggerimenti per evidate di diventare vittime del browser hijacking:
- Aggiorna sempre il browser e le estensioni: così facendo, verranno patchate e corrette tutte le vulnerabilità di sicurezza note
- Disattiva le estensioni non necessarie: bisognerebbe sempre tenere sotto controllo ogni plug-in e funzionalità installata. Infatti, molte estensioni che non si utilizzano regolarmente potrebbero comunque venire eseguite in background e agire come browser hijacker senza che l’utente ne sia consapevole,
- Abilita la funzionalità “click-to-play”: questa consente di impedire ai plug-in e alle estensioni di eseguirsi automaticamente. In questo modo, gli attaccanti non possono sfruttare le vulnerabilità dei plug-in per eseguire attacchi di dirottamento
- Utilizza un’extension di sicurezza: esistono alcune estensioni del browser specifiche per la sicurezza come NoScript, Ghostery e HTTPS Everywhere, implementate appositamente per prevenire il dirottamento del browser
- Utilizza una VPN: utilizzare una VPN (Virtual Private Network) può proteggere la tua navigazione web, impedendo agli attaccanti di intercettare i tuoi dati di esplorazione
- Utilizza un browser sicuro: utilizza un browser che abbia un buon record di sicurezza e riceva regolarmente aggiornamenti, come Google Chrome o Mozilla Firefox.
- Esegui una scansione regolare del tuo sistema, utilizzando appositi software antivirus per rilevare la presenza di eventuali minacce
Cosa fare in caso di avvenuta infezione
Analizziamo, infine, come comportarsi in caso di scaricamento di PUP con funzionalità di hijacker del browser.
Una delle principali caratteristiche di plug-in ed estensioni che causano il dirottamento del browser è che non presentano quasi mai funzionalità di disinstallazione automatica.
Pertanto, quando un utente si rende conto della loro presenza non può far altro che procedere a una rimozione manuale dello script malevolo.
Prima di procedere alla rimozione, però, è necessario localizzare la posizione di archiviazione dell’eseguibile.
Tra le procedure standard, viene indicato di verificare la presenza di applicazioni sospette su:
- Pannello di controllo, alla sezione “App e Funzionalità”, procedendo quindi alla disinstallazione di app e programmi sconosciuti
- Task Manager, per verificare l’esecuzione di processi sospetti e arrestarli
- Elenco delle estensioni del browser, presente nella sezione “Strumenti”, da cui sarà possibile rimuovere componenti aggiuntivi di dubbia natura
- Autore articolo
- Gli ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.