TunnelVision, la tecnica di attacco contro le VPN che espone indirizzo IP e traffico

sicurezza applicativa
Android è l'unico sistema operativo che immunizza completamente le app VPN da TunnelVision, mentre per tutti gli altri sistemi operativi non esistono correzioni complete.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Lizzie Moratti e Dani Cronce, due ricercatori di Leviathan Security, hanno scoperto un attacco chiamato TunnelVision che può compromettere quasi tutte le applicazioni di VPN, forzandole a inviare e ricevere parte o tutto il traffico al di fuori del tunnel crittografato progettato per la protezione contro intercettazioni e manomissioni.

TunnelVision annulla essenzialmente lo scopo principale delle VPN, ovvero incapsulare il traffico Internet in un tunnel crittografato e mascherare l’indirizzo IP dell’utente. Gli attacchi sembrano colpire tutte le app VPN quando sono connesse a una rete ostile, tranne quando la VPN dell’utente è in esecuzione su Linux o Android. Questa tecnica di attacco potrebbe già essere stata scoperta e sfruttata in the wild.

TunnelVision funziona manipolando il server DHCP che assegna gli indirizzi IP ai dispositivi che tentano di connettersi alla rete locale. Un’impostazione nota come opzione 121 consente al server DHCP di sovrascrivere le regole di routing predefinite che inviano il traffico VPN attraverso un indirizzo IP locale che avvia il tunnel crittografato.

Utilizzando l’opzione 121 per instradare il traffico VPN attraverso il server DHCP stesso, l’attacco devia i dati al server DHCP. Questo fa sì che il traffico non venga mai crittografato dall’interfaccia virtuale della VPN, ma venga invece trasmesso dall’interfaccia di rete che comunica con il server DHCP.

L’attacco può essere eseguito più efficacemente da un utente che ha il controllo amministrativo sulla rete a cui si connette l’obiettivo, configurando il server DHCP per utilizzare l’opzione 121.

how-to-fix-nordvpn-connection-issues

TunnelVision consente che parte o tutto il traffico venga instradato attraverso il tunnel non crittografato, anche se l’app VPN continuerà a segnalare che tutti i dati vengono inviati attraverso una connessione protetta. Il traffico dirottato non sarà crittografato dalla VPN e l’indirizzo IP Internet visibile dall’utente remoto apparterrà alla rete a cui è connesso l’utente VPN, anziché a quello designato dall’app VPN.

Android, come già accennato, è l’unico sistema operativo che immunizza completamente le app VPN da questo attacco poiché non implementa l’opzione 121. Per tutti gli altri sistemi operativi non esistono correzioni complete. Le contromisure più efficaci consistono nell’eseguire la VPN all’interno di una macchina virtuale la cui scheda di rete non è in modalità bridged o connettere la VPN a Internet attraverso la rete Wi-Fi di un dispositivo cellulare.

Androidattacco hackerVPN
// Data pubblicazione: 08.05.2024
Condividi:
 

L’IA ha fatto aumentare del 60% gli attacchi di phishing

ia phishing
Un nuovo report di Zscaler ha rilevato un aumento di quasi il 60% degli attacchi di phishing a livello globale nel 2023, alimentato in parte dalla proliferazione dell'IA.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Il nuovo report Zscaler ThreatLabz 2024 Phishing, che ha analizzato 2 miliardi di transazioni di phishing bloccate dalla piattaforma Zscaler Zero Trust Exchange nel periodo compreso tra gennaio e dicembre 2023, ha rilevato un aumento di quasi il 60% degli attacchi di phishing a livello globale, alimentato in parte dalla proliferazione di schemi generativi guidati dall’IA come il phishing vocale (vishing) e il deepfake phishing.

Nel 2023, Stati Uniti (55,9%), Regno Unito (5,6%) e India (3,9%) sono risultati i principali Paesi presi di mira dalle truffe di phishing. L’elevata percentuale di attacchi negli Stati Uniti è attribuibile alla sua avanzata infrastruttura digitale, al grande numero di utenti connessi a Internet e all’ampio uso delle transazioni finanziarie online. Canada (2,9%) e Germania (2,8%) completano la “top five” dei Paesi che hanno subito il maggior numero di tentativi di phishing. La maggior parte di questi attacchi ha avuto origine negli Stati Uniti, nel Regno Unito e in Russia, mentre l’Australia è entrata nella top 10 grazie a un’impennata del 479% del volume di contenuti di phishing ospitati nel Paese rispetto all’anno precedente.

phishing

Il settore finanziario e assicurativo ha registrato il maggior numero di tentativi di phishing, con un aumento del 393% degli attacchi rispetto all’anno precedente. La dipendenza dalle piattaforme finanziarie digitali offre ampie opportunità ai criminali informatici di condurre campagne di phishing e di sfruttare le vulnerabilità di questo settore.

Anche il settore manifatturiero ha registrato un aumento significativo (31%) degli attacchi di phishing dal 2022 al 2023 e, con l’aumento della dipendenza dei processi produttivi dai sistemi digitali e dalle tecnologie interconnesse come quelle IoT/OT, cresce anche il rischio del loro sfruttamento da parte dei “threat actor” alla ricerca di accessi non autorizzati.

I ricercatori di ThreatLabz hanno identificato marchi come Microsoft, OneDrive, Okta, Adobe e SharePoint come quelli più abusati a causa del loro utilizzo diffuso e del valore associato all’acquisizione delle credenziali utente di queste piattaforme. Microsoft (43%) è risultato essere il marchio più abusato nel 2023, con le sue piattaforme OneDrive (12%) e SharePoint (3%) che si posizionano anch’esse tra le prime cinque: si tratta infatti di obiettivi redditizi per i criminali informatici che mirano a sfruttare la vasta base di utenti di Microsoft.

deepfakeia sicurezzaIntelligenza ArtificialePhishing
Aziende:
Zscaler
// Data pubblicazione: 07.05.2024
Condividi: