Microsoft: il browser è il nuovo bersaglio preferito degli hacker

Si passano quasi sette ore al giorno dentro un browser. Eh, già. A volte, anche di più. Si lavora dentro un browser, si comunica dentro un browser, si gestiscono soldi dentro un browser, si guardano video dentro un browser. Il browser è diventato il proprio ufficio, la propria banca, ecc., tutto compresso in una finestra rettangolare sul proprio schermo. E Microsoft ci ricorda che quella finestra è anche la porta d’ingresso preferita degli hacker.

Browser come spazio di lavoro universale: le nuove minacce secondo Microsoft

L’azienda di Redmond ha pubblicato un avvertimento che suona come un campanello d’allarme per chiunque pensi che i browser siano ancora “quella cosa che si usa solo per guardare siti web“. Microsoft definisce il browser lo spazio di lavoro universale dove convergono cloud, intelligenza artificiale e Software-as-a-Service. È il punto di incontro di tutto ciò che rende funzionale il lavoro moderno, e proprio per questo è diventato il bersaglio più succoso per i cybercriminali.

I numeri sono impressionanti. Un’azienda media accede a 106 applicazioni SaaS dal browser. Centosei. Più di cento diverse app che i dipendenti aprono, usano e attraverso cui fanno passare dati sensibili, tutto dentro quella finestra del browser. E gli utenti trascorrono in media 6 ore e 37 minuti al giorno dentro questo software, che è quasi quanto una giornata lavorativa completa se si toglie la pausa pranzo.

Ci sono ragioni valide per questo utilizzo massiccio: indipendenza dall’hardware (funziona su qualsiasi computer), accessibilità universale (basta avere internet), installazione facile (niente download complicati), e l’intelligenza artificiale che agisce come “livello invisibile” rendendo tutto più semplice senza che si debba fare nulla. È comodo, efficiente, e funziona così bene che ci si dimentica che essenzialmente si sta vivendo dentro un programma.

I bersagli più redditizi per i criminali informatici

• Phishing e social engineering 2.0. Non è più solo quella email scritta male. Ora è una copia perfetta di siti legittimi, pop-up che sembrano autentici, deepfake che imitano il proprio capo, codici QR dannosi.
• OAuth dannoso e phishing del consenso. É quella roba sottovalutata dove app OAuth maligne sfruttano flussi di autenticazione legittimi per ottenere accesso illegale.
• Dirottamento di sessione e furto di token. Include tutto lo spettro delle cattive pratiche: password riutilizzate ovunque, autenticazione multifattore debole che serve a poco, ignorare gli avvisi, gestione pessima di cookie e token di sessione. Gli hacker adorano questa roba perché la gente è pigra e prevedibile.
• Zero-day, fuga dalla sandbox, bug del motore: Sono le minacce sofisticate. Malware avanzati che riescono a evadere dalla sandbox del browser e compromettere l’intero sistema.
• Estensioni, plugin e componenti aggiuntivi dannosi. Rubano dati all’insaputa dell’utente. Quella estensione carina che promette di bloccare pubblicità? Potrebbe leggere ogni tasto che si preme e ogni sito che si visita, mandando tutto a qualche server in un paese di cui non si sa nemmeno pronunciare il nome.
• Evasione e riassemblaggio: gli attaccanti sfruttano il divario tra ciò che i sistemi di sicurezza vedono a livello di rete e ciò che appare effettivamente nel browser. Usano tecniche come frammentare i dati, codificarli in modi diversi, creare domini temporanei che spariscono dopo pochi minuti, sfruttare le differenze nel modo in cui browser e filtri interpretano le informazioni.
• Compromissioni persistenti lato client, “Man-in-the-Browser”. Coinvolge keylogger, ladri di credenziali, dirottatori di sessione, furti di cookie, form-grabber. È qualcuno seduto invisibilmente tra sé e i siti web che si usano, che guarda tutto quello che si fa e copia le informazioni importanti.
• Clickjacking e attacchi UI Redress. Usano overlay invisibili che ingannano facendo cliccare su elementi UI dannosi. Magari si pensa di cliccare su “Accetta i cookies” e invece si autorizza un pagamento o si danno permessi ad app maligne.
• Compromissione della catena di fornitura e dei componenti affidabili. Include dipendenze come librerie di terze parti compromesse, pagine web infettate, negozi di estensioni hackerati, certificati usati male.
• Superfici API nuove e ampliate e dati utente: i browser offrono ora API molto potenti in termini di privilegi, accesso alla fotocamera, microfono, posizione, notifiche, storage locale, che possono essere oggetto di sfruttamento se le app maligne riescono a ottenerle.
• Browser integrati con l’intelligenza artificiale. È l’ultima novità. Prompt injection, fuga di contesto, esposizione di dati. È quando si convince l’AI del browser a fare cose che non dovrebbe fare o a rivelare informazioni che dovrebbe tenere private.

Il divario tra uso e protezione

Microsoft ha osservato con preoccupazione che, nonostante l’utilizzo dei browser sia esploso negli ultimi anni, esiste ancora un divario enorme nell’implementazione dei controlli di sicurezza. Le aziende hanno abbracciato il browser come piattaforma universale per tutto, ma molte non hanno aggiornato le loro difese per riflettere questa realtà.

Il mondo aziendale deve prendere atto che il browser non è più un accessorio opzionale ma l’infrastruttura critica su cui si regge l’intera operatività moderna. E come ogni infrastruttura critica, merita investimenti seri in sicurezza, formazione degli utenti e monitoraggio costante. Perché gli hacker hanno già capito dove conviene concentrare gli sforzi, e stanno facendo festa mentre molte aziende sono ancora convinte che la sicurezza significhi avere un buon antivirus e dire ai dipendenti di non cliccare su email sospette.