Phishing de adversário no meio (AiTM).

Técnica de phishing que coloca um servidor proxy reverso entre a vítima e a página de início de sessão real para retransmitir credenciais e roubar o cookie de sessão posterior à autenticação, contornando a maioria dos MFA. Pertence à categoria Ataques e ameaças da cibersegurança.

Técnica de phishing que coloca um servidor proxy reverso entre a vítima e a página de início de sessão real para retransmitir credenciais e roubar o cookie de sessão posterior à autenticação, contornando a maioria dos MFA.

O phishing de adversário no meio (AiTM) é uma técnica de roubo de credenciais e de sessões em que o atacante interpõe um servidor proxy reverso entre a vítima e um site legítimo. Em vez de apresentar uma página falsa estática, o proxy obtém a página de início de sessão real em tempo real e retransmite cada pedido e resposta, de modo que a vítima vê o site autêntico, conclui qualquer autenticação multifator e não nota nada de anormal. À medida que o tráfego passa pelo proxy, este captura o nome de utilizador, a palavra-passe e — o mais importante — o cookie de sessão autenticado que o servidor emite após o sucesso do MFA. O atacante reproduz esse cookie para sequestrar a sessão sem voltar a precisar do segundo fator. Por derrotar a maioria dos MFA baseados em códigos de uso único e em notificações push, o AiTM costuma ser distribuído através de kits como Evilginx, EvilProxy e Tycoon 2FA, sendo mitigado sobretudo por MFA resistente a phishing e vinculado à origem, como o FIDO2.

As defesas contra Phishing de adversário no meio (AiTM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Phishing AiTM, Phishing de homem no meio, Phishing de evasão de MFA.