Nel contesto della crescente digitalizzazione aziendale, i browser sono diventati il principale punto di accesso alle applicazioni e ai dati sensibili, rappresentando oggi oltre l’80% della superficie d’attacco negli incidenti di sicurezza. Un esempio emblematico di questa evoluzione è il gruppo di cybercriminali Scattered Spider, noto anche come UNC3944 o Octo Tempest. A differenza di altri gruppi, Scattered Spider si distingue per la capacità di colpire direttamente l’identità digitale degli utenti e l’ambiente del browser, sfruttando le informazioni sensibili spesso salvate nelle sessioni di navigazione.

Tecniche di attacco

Le tecniche di attacco del gruppo sono sofisticate e mirate. Tra queste troviamo l’uso di overlay come Browser-in-the-Browser e l’estrazione automatica delle credenziali tramite funzioni di auto-compilazione, in grado di eludere i tradizionali sistemi EDR. Non meno pericoloso è il furto dei token di sessione, che permette di aggirare anche l’autenticazione a più fattori, accedendo a cookie e token direttamente dalla memoria del browser. Inoltre, Scattered Spider sfrutta estensioni malevole e l’iniezione di JavaScript per eseguire codice malevolo all’interno del browser, spesso attraverso installazioni di estensioni fasulle o tecniche drive-by. L’uso delle API web per la ricognizione consente infine di mappare l’infrastruttura interna e identificare asset critici.

Strategie di difesa

Per contrastare queste minacce, è fondamentale adottare una strategia di sicurezza multilivello specifica per il browser. La protezione in tempo reale dei runtime JavaScript permette di bloccare le campagne di phishing avanzate e l’intercettazione delle credenziali. Difendere le sessioni browser, impedendo l’accesso non autorizzato a cookie e token, è altrettanto essenziale. La governance delle estensioni, con l’approvazione preventiva e il blocco di script sospetti, riduce drasticamente il rischio di compromissione. È importante anche limitare le API sensibili e adottare telemetria di navigazione integrata nei sistemi SIEM e SOAR, così da ottenere una visibilità completa e tempestiva sugli incidenti.

Vantaggi e raccomandazioni

L’implementazione di queste misure offre vantaggi concreti: prevenzione del phishing, gestione sicura delle estensioni, protezione dei dati aziendali, sicurezza su dispositivi BYOD, rafforzamento del modello Zero Trust e protezione delle sessioni SaaS senza agenti aggiuntivi. Le raccomandazioni includono la valutazione del rischio browser, la formazione del personale, l’auditing continuo delle estensioni e la caccia alle minacce tramite dati di telemetria.