Attacco AiTM: perché le credenziali non bastano più
L’attacco AiTM sta cambiando in profondità il modo in cui pensiamo alla protezione degli accessi online. Controllare la password o inserire un semplice codice sul telefono non è più sufficiente.
Questa forma di phishing avanzato introduce un proxy inverso tra l’utente e il servizio legittimo, come Microsoft 365 o Google Workspace. L’aggressore non si limita a carpire username e password, ma intercetta anche l’autenticazione a più fattori e, soprattutto, il token di sessione generato dopo il login.
In pratica, il cyber-criminale si sostituisce a voi in tempo reale nei confronti del servizio, sfruttando quel token come se fosse il vostro browser. Questo rende l’MFA tradizionale molto meno rassicurante di quanto appaia e mette in discussione molte abitudini consolidate.
Comprendere come funziona un attacco AiTM diventa quindi essenziale per chi gestisce account aziendali, dati sensibili o infrastrutture critiche.
Le campagne recenti mostrano che quasi tutte le truffe evolute puntano su questo meccanismo di intercettazione, con una forte crescita di frodi economiche e violazioni di caselle email.
In questo articolo vedremo la dinamica tecnica dell’attacco, l’ecosistema criminale che lo sostiene, gli impatti concreti sulle organizzazioni e le contromisure davvero efficaci, dalle tecnologie MFA resistenti al phishing alle strategie di monitoraggio continuo.
Come funziona tecnicamente un attacco AitM
Al centro di un attacco AiTM c’è un’infrastruttura apparentemente semplice: un sito di phishing che funge da proxy inverso e inoltra ogni richiesta tra la vittima e il servizio legittimo, senza destare sospetti.
Quando inserite credenziali e codice MFA sulla pagina fasulla, il traffico passa dal server dell’attaccante prima di raggiungere, per esempio, Microsoft 365 o un portale bancario.
Il servizio autentico vede una normale autenticazione, con username, password e One-Time Password corretti, e non nota nulla di anomalo.
In risposta, il sistema genera un token di sessione valido, che viene inoltrato sia al browser della vittima sia al criminale. A quel punto, l’aggressore può riutilizzare quel token e accedere all’account senza ripetere l’intero processo di login o conoscere il codice MFA.
In sostanza, l’attacco AiTM non “indovina” nulla: sfrutta il vostro comportamento legittimo e lo riflette verso il servizio. Per riuscirci, le pagine contraffatte sono copie quasi perfette dei portali reali, compreso un URL molto simile a quello ufficiale.
Una volta dentro, il criminale informatico può creare regole di posta, scaricare dati, generare nuove sessioni e, soprattutto, preparare ulteriori frodi verso contatti interni ed esterni, ampliando la portata della compromissione iniziale.
Kit, servizi criminali e numeri dell’ecosistema AitM
L’attacco AiTM non è più una tecnica artigianale riservata a pochi specialisti.
Esiste ormai un mercato strutturato di kit phishing e piattaforme phishing-as-a-service che automatizzano ogni passaggio, dall’invio delle email alla gestione del proxy.
Tra gennaio e aprile 2025, analisi indipendenti hanno documentato servizi come Tycoon 2FA, EvilProxy, NakedPages, Storm‑1167 ed Evilginx. Queste piattaforme vengono affittate a criminali meno tecnici con abbonamenti compresi tra 100 e 1 000 dollari al mese, riducendo drasticamente le barriere d’ingresso.
L’infrastruttura AitM diventa così un servizio gestito a tutti gli effetti, con pannelli di controllo, statistiche di conversione, moduli per campagne mirate e aggiornamenti continui per eludere filtri e strumenti di difesa.
Secondo dati del 2025, Microsoft Defender for Office 365 blocca oltre 13 milioni di email malevole legate a campagne Tycoon 2FA in un solo mese. Numeri che fotografano la scala industriale raggiunta da questo modello.
Entro agosto 2024, quasi il 100% delle campagne analizzate è passato dal semplice furto di credenziali all’intercettazione tramite proxy. Il 91% di queste operazioni ha portato a casi di Business Email Compromise, confermando come l’attacco aitm sia ormai il motore delle truffe aziendali più redditizie.
Dai portali cloud al settore energetico: impatti reali
L’attacco AitM non colpisce soltanto singoli utenti distratti.
I bersagli privilegiati sono ambienti come Microsoft 365, Google Workspace, SharePoint, OneDrive, Teams e portali bancari, dove una sola compromissione può aprire molte porte laterali.
Microsoft descrive, per esempio, una campagna mirata al settore energetico che sfrutta documenti SharePoint per diffondere link di phishing.
Le email, con oggetti del tipo “NEW PROPOSAL – NDA”, appaiono come normali comunicazioni commerciali, spesso inserite in conversazioni già esistenti.
Una volta cliccato il link, la vittima viene reindirizzata a un portale AitM che imita alla perfezione l’area di login aziendale. Dopo l’accesso, gli hacker intercettano il token di sessione, entrano nelle caselle compromesse e inviano oltre 600 email con URL di phishing a contatti interni ed esterni.
In molti scenari, l’attacco AitM è solo la prima fase di una frode BEC su larga scala.
Ottenuto l’accesso alla posta, i criminali informatici modificano le regole di inoltro, cancellano i messaggi sospetti e studiano con attenzione le conversazioni con clienti e fornitori.
Quando il contesto è sufficientemente chiaro, gli hacker sostituiscono coordinate bancarie o allegati nei thread legittimi. Il danno non riguarda solo la perdita economica immediata, ma anche reputazione, obblighi di conformità e fiducia dei partner.
Difendersi da un attacco AitM: strategie tecniche efficaci
Le difese tradizionali basate solo su SMS e codici temporanei non bastano più contro un attacco aitm ben orchestrato. Serve un approccio multilivello che combini tecnologie resistenti al phishing e controlli di contesto sull’accesso.
La misura più solida è adottare MFA resistente al phishing, come standard FIDO2, passkey e chiavi hardware. Questi metodi si legano crittograficamente al dominio reale del servizio e non rilasciano credenziali valide a un proxy intermediario, bloccando la tecnica alla radice.
A questo va affiancato l’accesso condizionato, che limita l’uso degli account a dispositivi registrati, posizioni fidate o device conformi alle policy aziendali.
Il monitoraggio continuo delle attività post‑autenticazione consente poi di cogliere segnali anomali, come nuovi dispositivi, log da paesi inattesi o improvvisa creazione di regole di inoltro.
Ecco i principali elementi da combinare in una strategia difensiva:
- MFA resistente al phishing basata su FIDO2 o chiavi hardware
- Policy di accesso condizionato su utenti, ruoli e applicazioni
- Controllo costante delle attività sospette post‑login
- Estensioni browser dedicate al rilevamento di pagine AitM
In molte campagne documentate, strumenti lato utente, come estensioni capaci di riconoscere pagine proxy prima dell’inserimento delle credenziali, hanno interrotto sul nascere un potenziale attacco aitm, riducendo sensibilmente il rischio di compromissione iniziale.
Riconoscere e gestire un attacco AitM in corso
Anche con difese ben progettate, è possibile che un attacco AitM superi i primi livelli di protezione. In questo scenario, la rapidità di rilevamento fa la differenza tra un incidente gestibile e una crisi prolungata.
Tra i segnali tipici rientrano accessi da geolocalizzazioni improbabili, i cosiddetti eventi di impossible-travel, nuovi dispositivi non registrati e modifiche improvvise alle regole di posta. Se notate queste anomalie, è prudente trattare l’account come potenzialmente compromesso, anche se la password sembra corretta.
Le buone pratiche operative prevedono la revoca immediata dei token di sessione attivi, il reset delle configurazioni MFA e la rimozione di tutte le regole sospette create nella casella. Solo dopo queste azioni ha senso forzare il cambio password, evitando che l’aggressore mantenga accessi residui.
Dal punto di vista procedurale, chi si occupa di sicurezza dovrebbe disporre di playbook specifici per la gestione di un attacco AitM. Questi includono la raccolta rapida dei log, l’analisi delle azioni svolte dall’account e la verifica di eventuali frodi avviate verso clienti e fornitori.
Quando emergono sospetti concreti di violazioni o impatti su dati personali, può risultare necessario coinvolgere l’ufficio legale o il DPO per gli adempimenti regolamentari, incluse eventuali notifiche alle autorità competenti.
Un cambio di paradigma nella protezione degli accessi
L’attacco AitM è un passaggio di fase nella storia della sicurezza degli accessi digitali. Per anni si è ritenuto che aggiungere un codice sul telefono bastasse a chiudere il cerchio, ma la realtà attuale dimostra il contrario.
La combinazione di proxy inversi, automazione criminale e campagne BEC mirate evidenzia che il vero bersaglio non è più la sola password, bensì l’intero contesto dell’autenticazione. Il confine tra sessione legittima e abuso si assottiglia, costringendo aziende e professionisti a ripensare architetture, processi e strumenti.
Sempre più realtà adottano soluzioni di zero trust, che non si basano solo su credenziali statiche ma richiedono una verifica continua dell’identità tramite il monitoraggio di comportamenti anomali. Accettare che un attacco aitm possa bypassare i controlli più diffusi non significa rassegnarsi, ma riconoscere che la sicurezza è un processo dinamico.
La consapevolezza tecnica degli utenti, unita a tecnologie MFA resistenti al phishing e a un monitoraggio intelligente, segna la differenza tra sistemi fragili e sistemi progettati per resistere. In questo scenario, la maturità digitale diventa il vero perimetro di difesa, e investire in formazione continua e aggiornamento tecnologico è essenziale per restare un passo avanti rispetto alle minacce emergenti.
