Barracuda full logo

Oltre MITM: il crescente pericolo degli attacchi Adversary-in-the-Middle

Argomenti:
2 ott 2025
|
Tony Burgess

È quasi certo che abbiate sentito parlare degli attacchi man-in-the-middle (MITM). Ma recentemente è emerso un nuovo tipo di attacco simile, ma più avanzato e pericoloso: l'adversary-in-the-middle (AITM).

I due tipi di attacco sono strutturalmente simili. Ma la loro meccanica, sofisticazione e capacità sono decisamente diverse. Per gli amministratori IT, comprendere questa distinzione e come opera ciascun tipo di attacco è fondamentale per mantenere i sistemi e i dati sicuri.

Cos'è un attacco man-in-the-middle?

Gli attacchi MITM sono una tecnica di lunga data per intercettare informazioni preziose in transito. In questo scenario, un attore dannoso trasmette segretamente e possibilmente altera la comunicazione tra due parti che credono di comunicare direttamente tra loro. Pensatelo come qualcuno che ascolta di nascosto una conversazione privata e di tanto in tanto interviene con informazioni fuorvianti.

Gli attacchi MITM sfruttano tipicamente reti non sicure o scarsamente protette, come il Wi-Fi pubblico. Possono anche fare affidamento su DNS spoofing, ARP poisoning o SSL stripping per intercettare il traffico. L'hacker potrebbe catturare credenziali di accesso, cookie di sessione o dati sensibili in transito. Tuttavia, la maggior parte dei servizi web moderni utilizza HTTPS e altri protocolli di crittografia che rendono gli attacchi MITM tradizionali sempre più difficili da eseguire con successo.

Cos'è un attacco adversary-in-the-middle?

Gli attacchi AITM sono la prossima evoluzione delle tattiche MITM: più sofisticati, più mirati e più pericolosi. In un attacco AITM, l'avversario non si limita a intercettare passivamente il traffico. Invece, manipola attivamente il processo di autenticazione, rendendolo capace di bypassare gli schemi di autenticazione multifattore (MFA).

Gli attacchi AITM coinvolgono tipicamente campagne di phishing che indirizzano gli utenti a un server proxy controllato dall'attaccante. Questo proxy si trova tra l'utente e il servizio legittimo (ad esempio, Microsoft 365 o Google Workspace), catturando credenziali e token di sessione in tempo reale. Poiché l'attaccante sta trasmettendo la sessione in diretta, può bypassare l'MFA catturando il token dopo che l'utente ha completato il secondo passaggio di autenticazione.

Differenze chiave tra MITM e AITM

Perché AITM è più pericoloso

Gli attacchi AITM sono particolarmente pericolosi perché sfruttano la fiducia a livello dell'applicazione. Anche se la tua organizzazione applica l'MFA, l'AITM può renderlo inefficace. Una volta che un hacker ha un token di sessione valido, può impersonare l'utente senza dover riautenticarsi.

Inoltre, gli attacchi AITM sono più difficili da rilevare. Poiché l'attaccante sta trasmettendo traffico legittimo, gli strumenti tradizionali di monitoraggio della rete potrebbero non segnalare l'attività come sospetta. L'utente vede una pagina di login familiare, completa l'MFA e prosegue, ignaro che la sua sessione sia stata dirottata.

Esempi del mondo reale

Gli attacchi AITM non sono teorici: stanno accadendo proprio ora.

  • Nel 2024, Microsoft 365 è stato preso di mira da attaccanti che utilizzavano un toolkit phishing-as-a-service (PhaaS) chiamato Rockstar 2FA. Un dipendente Microsoft è stato ingannato ad autenticarsi tramite un sito falso, consegnando il proprio token di sessione nel processo.
  • Storm-0485, un noto attore di minacce, ha utilizzato tecniche AITM per raccogliere credenziali su larga scala. Le loro campagne utilizzano spesso false e-mail di verifica di LinkedIn e URL offuscati per indurre gli utenti a cedere l'accesso.

La frequenza degli attacchi AITM sta aumentando rapidamente a causa della loro capacità di bypassare i controlli di accesso tradizionali come MFA e i protocolli di crittografia come HTTPS.

Come difendersi dagli AITM

Una moderna piattaforma di sicurezza informatica multilivello come BarracudaONE fornisce la migliore difesa contro AITM e altri attacchi sofisticati. Una forte protezione dell'e-mail come Barracuda Email Protection consente di individuare e bloccare i tentativi iniziali di phishing, mentre una potente sicurezza di rete come Barracuda Network Protection offre avanzati controlli di accesso alla rete a fiducia zero che vanno oltre l'MFA per identificare e bloccare l'accesso non autorizzato alle risorse, anche quando vengono presentate credenziali legittime.

Scopri di più sulla Protezione della rete Barracuda
Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Post correlati:
December webinars: Combating identity compromise and account takeover
December webinars: Combating identity compromise and account takeover
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
 Previsioni sulla sicurezza di Frontline 2026: Le tecniche di phishing per cui prepararsi
Previsioni sulla sicurezza di Frontline 2026: Le tecniche di phishing per cui prepararsi
La tua guida alle nuove funzionalità e capacità di Barracuda
La tua guida alle nuove funzionalità e capacità di Barracuda
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.