Oltre la MFA tradizionale: l’intercettazione delle sessioni tramite attacchi AiTM 

3 Giugno 2026

Nel panorama della cybersecurity attuale, l’adozione della Multi-Factor Authentication (MFA) è considerata un requisito minimo. Tuttavia, è tecnicamente errato considerare ogni forma di autenticazione a due fattori come una protezione assoluta. Esiste una vulnerabilità critica che permette di aggirare i metodi di autenticazione standard: l’attacco AiTM (Adversary-in-the-Middle). 

Analisi del vettore di attacco: Adversary-in-the-Middle 

A differenza del phishing convenzionale, che mira esclusivamente alla sottrazione delle credenziali statiche, l’attacco AiTM agisce a livello di protocollo tra l’utente e l’Identity Provider (IdP). 

L’attaccante posiziona un server proxy tra la vittima e il servizio legittimo (ad esempio Microsoft 365). Quando l’utente interagisce con la pagina contraffatta, il server proxy inoltra le richieste in tempo reale al vero servizio di login. Una volta che l’utente completa correttamente la sfida MFA (codice OTP, SMS o notifica push), l’attaccante intercetta il session cookie (session token) risultante. 

Poiché il token rappresenta l’avvenuta autenticazione, l’attaccante può iniettarlo nel proprio browser per ottenere l’accesso completo all’account, bypassando la necessità di conoscere la password o di ripetere la MFA. 

Limiti tecnici dei fattori di autenticazione deboli 

MFA phishing resistant

I metodi MFA non vincolati al dominio di origine o all’hardware non sono, per definizione, phishing-resistant. 

  • SMS e Voice Call: vulnerabili a SIM swapping e intercettazione dei protocolli di segnalazione. 
  • OTP (One-Time Password): facilmente soggetti a relay in tempo reale tramite proxy. 
  • Push Notifications standard: esposti a fenomeni di “MFA fatigue” e, appunto, all’intercettazione del token di sessione durante il transito tramite proxy AiTM. 

Hardening dell’infrastruttura di identità 

Per neutralizzare questa tipologia di attacchi, è necessario implementare soluzioni che garantiscano il legame crittografico tra il processo di autenticazione e il sito legittimo. I controlli tecnici prioritari includono: 

  1. Standard FIDO2 e WebAuthn: l’utilizzo di security key fisiche o passkey che impediscono il relay delle credenziali su domini non verificati. 
  1. Passwordless Authentication: autenticazione vincolata al dispositivo tramite certificati o chiavi crittografiche hardware. 
  1. Conditional Access Policy evolute: configurazione di filtri granulari basati sullo stato di conformità del dispositivo (Compliant/Hybrid Join) e sulla provenienza del traffico. 
  1. Dismissione dei protocolli Legacy: blocco dei protocolli di autenticazione che non supportano le sfide MFA moderne. 

Quanto è sicuro il tuo attuale metodo di autenticazione? 

Se non hai ancora adottato metodi di autenticazione a più fattori, è il momento di farlo. Se invece, stai già adottando soluzioni MFA, è opportuno verificare che siano ancora attuali e non siano già vulnerabili. 

Contattaci per un’analisi tecnica dei tuoi metodi di accesso, identificheremo i vettori di rischio e costruiremo assieme a te il miglior percorso di protezione delle identità digitali. 

Articolo a cura di Simone Glerean (Clicca qui per collegarti su Linkedin