Qualcuno si mette 'in mezzo' alle tue comunicazioni email, leggendo e modificando i messaggi senza che tu lo sappia. Ecco come funziona e come difendersi.
Un attacco Man-in-the-Middle (MITM), letteralmente "uomo nel mezzo", si verifica quando un attaccante si interpone segretamente tra due parti che comunicano — ad esempio tra il tuo server email e quello del destinatario. L'attaccante può leggere, copiare e persino modificare i messaggi in transito, senza che né il mittente né il destinatario se ne accorgano.
Immagina di parlare al telefono con un collega, ma qualcuno ha inserito una derivazione sulla linea: ascolta tutto, e può persino sostituire le tue parole con le sue. È esattamente ciò che accade con un MITM sulle email non protette da TLS.
L'attacco più sottile
A differenza del phishing o del malware, un attacco MITM non richiede che la vittima faccia nulla di sbagliato — nessun click, nessun allegato. Basta che le comunicazioni email non siano cifrate.
L'attaccante si posiziona sulla rete tra i due server email. Può sfruttare una rete Wi-Fi compromessa, un router hackerato, un ISP corrotto o un access point finto in un hotel o aeroporto.
Se le email viaggiano senza TLS (in chiaro), l'attaccante può leggere tutto il contenuto: testo, allegati, credenziali, dati sensibili.
Anche con STARTTLS, l'attaccante può forzare un 'downgrade': intercetta la negoziazione TLS e dice ai server che la cifratura non è supportata. La connessione prosegue in chiaro.
L'attaccante può alterare il contenuto dell'email in transito: ad esempio, cambiare l'IBAN in una fattura. Il destinatario riceve l'email modificata senza sospettare nulla.
Un fornitore invia una fattura legittima via email. L'attaccante, posizionato tra i due server, intercetta l'email e sostituisce l'IBAN con il proprio. Il cliente paga la fattura all'IBAN sbagliato. Nessuno dei due sospetta nulla fino alla scadenza del pagamento.
Un dirigente controlla la posta aziendale dalla lounge dell'aeroporto. L'attaccante gestisce un access point con un nome simile ("Airport_Free_WiFi"). Tutte le email non cifrate passano attraverso il suo dispositivo: credenziali, dati riservati, comunicazioni strategiche.
Il MITM è particolarmente legato alla crittografia email: senza cifratura, le comunicazioni sono esposte.
MailSniper implementa diverse contromisure per rendere gli attacchi MITM inefficaci:
Tutte le connessioni email attraverso MailSniper usano TLS. Puoi configurare il rifiuto delle email da server che non lo supportano.
Le versioni obsolete del protocollo (TLS 1.0, 1.1) vengono rifiutate, eliminando le vulnerabilità note.
MailSniper verifica la validità dei certificati TLS dei server con cui comunica, rendendo il MITM molto più difficile.
La firma DKIM garantisce che il contenuto dell'email non sia stato alterato in transito — il MITM non può modificare nulla senza rompere la firma.