Adversary in the Middle (AitM), una minaccia evoluta che bypassa anche l’autenticazione multi fattore (MFA): il caso studio

Negli ultimi anni il phishing è diventato sempre più sofisticato, ma oggi assistiamo a un’evoluzione ancora più insidiosa: gli attacchi Adversary in the Middle (AitM). Non si tratta di semplici email fraudolente, ma di una tecnica in cui un attore malevolo si frappone tra due soggetti intercettando credenziali e sessioni di autenticazione, aggirando persino i meccanismi di Multi-Factor Authentication (MFA).

Per le aziende, questo significa che non basta più “attivare l’MFA” per sentirsi al sicuro. Gli attaccanti hanno imparato a sfruttare le debolezze dei processi e delle architetture, soprattutto quando la sicurezza è frammentata in silos tecnologici che non comunicano tra loro.

Cos’è un attacco AitM e perché è diverso dal phishing tradizionale

Un attacco AitM si basa su un concetto semplice ma devastante: creare un proxy malevolo (un “intermediario”) tra l’utente e il servizio legittimo. Quando la vittima clicca su un link di phishing, non viene indirizzata direttamente al sito falso, ma al proxy che inoltra le richieste al sito reale.

In questo modo, l’utente vede la pagina autentica, inserisce le credenziali e completa l’autenticazione MFA… ma il proxy cattura tutto, inclusi i token di sessione.

Con questi token, l’attaccante può accedere all’account senza bisogno di password o autenticazione multi fattore (MFA), sfruttando la sessione già validata. È un salto di qualità rispetto al phishing classico, perché non si limita a rubare credenziali: prende il controllo della sessione attiva.

Come avviene un attacco AitM

Per capire meglio, ecco le fasi tipiche di un AitM:
1. Email di phishing sofisticato con link malevolo.
2. Proxy malevolo che si interpone tra utente e servizio legittimo.
3. L’utente inserisce credenziali e MFA sul sito reale (tramite proxy).
4. Il proxy cattura token di sessione e li consegna all’attaccante.
5. L’attaccante accede all’account come se fosse l’utente, senza ulteriori autenticazioni.

Questo meccanismo rende inefficace la protezione MFA se non è accompagnata da controlli aggiuntivi come il monitoraggio delle sessioni e l’analisi comportamentale.

AitM: il caso reale gestito dal SOC Axitea

Qualche mese fa, il Security Operation Center (SOC) Axitea ha intercettato un attacco AitM ai danni di un’azienda italiana del settore manifatturiero.

Tutto è iniziato con un alert anomalo: un accesso da un Paese insolito, subito dopo un login legittimo da parte di un dipendente.

Il cliente aveva investito nelle migliori tecnologie di mercato. Tuttavia, analizzati singolarmente, gli strumenti avevano generato dei ”Falsi Negativi“.

Dove la tecnologia vede eventi isolati, il Soc di Axitea “ha visto una storia”. Non si è limitato a raccogliere log, ma ha fatto correlazioni per identificare pattern di attacco complessi.

Ecco come il Security Operation Center ha unito i puntini che i singoli vendor avevano mancato:

1. L’indizio: il SOC Axitea nota che l’email proveniva da un mittente esterno con cui il CEO non aveva mai interagito prima (segnale debole).
2. Il contesto: pochi secondi dopo la ricezione, il firewall registra una connessione in uscita verso un dominio a bassa reputazione (appena registrato), anche se non bloccato (segnale medio).
3. L’anomalia: avviene un login di successo, ma da un indirizzo IP geolocalizzato in un paese diverso rispetto all’ultimo check-in del dispositivo mobile del CEO.
4. La “prova schiacciante” (analisi comportamentale Axitea): meno di un minuto dopo il login viene rilevata l’aggiunta di un nuovo metodo di autenticazione sull’account del CEO.

La Deduzione dell’Cyber Analyst di Axitea:

“Login IP anomalo + Traffico web sospetto + Modifica immediata delle impostazioni di sicurezza = Account Takeover in corso.”

Il SOC: risposta immediata e remediation

Mentre i sistemi automatici consideravano l’operatività “normale”, il Security Operation Center Axitea ha attivato il protocollo di emergenza C-Level:

• Isolamento dell’identità: blocco immediato dell’account Microsoft del CEO.
• Revoca delle sessioni: revoca forzata di tutti i token di accesso attivi (per espellere l’attaccante).
• Bonifica: rimozione del dispositivo MFA aggiunto dall’hacker.
• Contatto: chiamata di verifica al referente del cliente.

Cosa ci insegna questo caso reale?

Ci sono tre lezioni fondamentali che ogni azienda dovrebbe tenere a mente:

• L’autenticazione multi fattore non è sufficiente: gli attacchi AitM dimostrano che serve una protezione multilivello.
• I silos tecnologici sono un rischio: se i sistemi di sicurezza non comunicano tra loro, gli attaccanti trovano varchi. Serve un approccio integrato.
• Il monitoraggio proattivo è vitale: senza un Security Operation Center che analizzi comportamenti e contesti, gli attacchi evoluti passano inosservati.

La cyber security non è un prodotto, ma un processo continuo che richiede visibilità, correlazione e risposta rapida.

Come difendersi dagli attacchi AitM

Per ridurre il rischio AitM, le aziende dovrebbero adottare alcune best practice:

• Avvalersi di un SOC proattivo: un Security Operation Center che monitori costantemente gli eventi, correli i dati e intervenga rapidamente è essenziale per individuare segnali nascosti e bloccare gli attacchi prima che diventino incidenti gravi.
• Protezione delle identità: implementare controlli avanzati come il rilevamento di anomalie nelle sessioni e la gestione sicura dei token.
• Zero Trust: non fidarsi mai di un accesso solo perché è autenticato; verificare continuamente il contesto e il comportamento.
• Formazione degli utenti: il phishing resta il punto di ingresso più comune, quindi la consapevolezza è fondamentale.
• Integrazione dei sistemi: evitare silos tecnologici, favorendo piattaforme che condividano informazioni di sicurezza.