AiTM e Phishing: Come gli Account Compromessi

THREAT BRIEF

Nel primo trimestre 2026, circa il 43% degli account compromessi attraverso tecniche AiTM (Adversary-in-the-Middle) non è stato utilizzato per rubare dati sensibili. Invece, è diventato una piattaforma di lancio per campagne spam massive.

Chi: Gruppi cybercriminali organizzati, spesso operanti tramite modelli Phishing-as-a-Service (PhaaS) come "Caffeine" o "Robin Banks", che noleggano kit AiTM anche a operatori poco esperti.

Cosa: Attacchi che intercettano token di sessione e cookie di autenticazione, bypassando completamente l'MFA tradizionale, seguiti dall'uso fraudolento dell'account come "nodo di transito" per distribuire spam.

Quando: Trend in accelerazione costante dal quarto trimestre 2025, con picco registrato tra gennaio e marzo 2026. I report di settore indicano un aumento del 300% di questa specifica tipologia di abuse rispetto al 2024.

Come: Utilizzo di proxy phishing (reverse proxy) che si frappongono tra la vittima e il servizio email legittimo (Microsoft 365, Google Workspace), catturando in tempo reale le credenziali e i cookie di sessione post-MFA.

Perché: Doppia monetizzazione. Prima la vendita dell'accesso compromesso su forum underground, poi l'utilizzo dell'infrastruttura reputazionale "pulita" dell'azienda vittima per far passare filtri antispam e raggiungere nuove vittime con payload malevoli.

ANALISI DELLA MINACCIA

L'evoluzione del phishing ha superato da tempo la semplice raccolta di password. I kit AiTM moderni non clonano più le pagine di login: le inoltrano. Quando clicchi su un link malevolo, il tuo browser non vede una copia finta di Office 365. Vede il vero server Microsoft, passato attraverso un proxy controllato dall'attaccante.

Il meccanismo del proxy

L'attaccante configura un server intermedio (spesso su infrastrutture cloud compromesse o servizi di hosting bulletproof). Quando inserisci le credenziali e completi l'MFA (sia esso un codice SMS, una notifica push o un token hardware), il proxy cattura non solo username e password, ma soprattutto il cookie di sessione. Questo cookie è la "chiave digitale" che il tuo browser usa per dimostrare a Microsoft o Google che sei già autenticato.

Una volta in possesso di questo cookie, l'attaccante può importarlo nel proprio browser e accedere alla tua casella email, ai tuoi documenti OneDrive, ai tuoi contatti, senza dover mai reinserire la password o affrontare un secondo fattore di autenticazione. Dal punto di vista dei sistemi aziendali, l'accesso appare legittimo: proviene da un browser riconosciuto, con un token valido, spesso dalla stessa area geografica della vittima se il proxy è configurato con attenzione.

MITRE ATT&CK Mapping

Questa catena di attacco mappa su diverse tecniche del framework MITRE ATT&CK:

• T1557 (Man-in-the-Middle): L'intercettazione della comunicazione tra client e server.
• T1539 (Steal Web Session Cookie): L'esfiltrazione del cookie di sessione post-autenticazione.
• T1078 (Valid Accounts): L'uso dell'account compromesso come accesso validato per muoversi lateralmente o, nel nostro caso, per inviare comunicazioni.
• T1114 (Email Collection): La raccolta di indirizzi email dai contatti della vittima per targeting successivo.

Il pivot critico: dall'accesso allo spam

Ecco dove la minaccia si distingue dalle campagne tradizionali. Invece di scaricare immediatamente i dati o chiedere un riscatto, l'attaccante spesso configura regole di inoltro nascoste (auto-forwarding) o inizia a inviare email di spam direttamente dalla casella compromessa. Perché? Perché i filtri antispam dei destinatari vedono arrivare una mail da un dominio aziendale consolidato, con storico di reputazione positiva, spesso con comunicazioni precedenti legittime. Questo "trust hijacking" permette ai payload di arrivare in posta in arrivo invece che nello spam.

I kit Phishing-as-a-Service hanno reso questa tecnica accessibile anche a criminali con scarse competenze tecniche. Con poche centinaia di dollari, un operatore può acquistare accesso a pannelli point-and-click che configurano automaticamente i proxy, raccolgono i cookie e persino organizzano l'invio massivo di email verso le liste di contatti rubate.

IMPATTO E PORTATA

La minaccia colpisce indistintamente organizzazioni di ogni dimensione, ma con modalità e impatti diversi. Le PMI risultano particolarmente vulnerabili non per mancanza di dati preziosi, ma per la scarsa visibilità sui log di autenticazione e sulla gestione delle sessioni attive.

Settori a rischio elevato

Il settore sanitario e quello dell'istruzione registrano picchi di compromissione. Le strutture sanitarie mantengono liste contatti estese (pazienti, fornitori, enti assicurativi) che diventano bersagli prelibati per campagne di spear-phishing successive. Le università, con account studenti e docenti spesso poco controllati, offrono ampie superfici di attacco.

Le aziende di servizi professionali (commercialisti, avvocati, consulenti) subiscono danni reputazionali enormi: quando i loro clienti ricevono spam dal dominio del professionista, la fiducia si incrina immediatamente.

Classificazione del rischio per tipologia organizzativa

La geografia mostra concentrazione in Europa e Nord America, dove la penetrazione di Microsoft 365 e Google Workspace è massiccia e dove i domini aziendali godono di alta reputazione, rendendo il "reputation abuse" particolarmente efficace.

ANALISI COMPARATIVA

Per comprendere l'evoluzione, è utile confrontare l'attuale ondata AiTM con le tecniche precedenti.

Phishing tradizionale (2018-2022)

Il modello classico prevedeva la clonazione di pagine di login statiche. L'attaccante raccoglieva username e password, poi tentava di usarle. L'introduzione diffusa dell'MFA ha reso questa tecnica largamente inefficace: anche con la password rubata, senza il secondo fattore l'accesso era bloccato. Il mercato underground si è quindi spostato verso la vendita di "combo" (email+password) per credential stuffing, con margini decrescenti.

Pass-the-Cookie e token theft (2022-2024)

L'evoluzione ha visto l'emergere di malware info-stealer (RedLine, Raccoon) capaci di rubare cookie direttamente dai browser infetti. Tuttavia, questo richiedeva l'esecuzione di codice malevolo sul endpoint, un passo complesso e rilevabile. L'AiTM moderno elimina questa necessità: il cookie viene rubato durante una sessione di phishing legittima, senza mai toccare il disco del computer della vittima.

L'abuso dell'infrastruttura: la novità del 2026

La svolta qualitativa degli ultimi mesi è l'utilizzo sistematico degli account compromessi come "infrastructure-as-a-service" per il spam. Precedentemente, un account rubato veniva "consumato" rapidamente: accesso, esfiltrazione dati, eventuale ransomware. Oggi, l'attaccante lo "noleggia" o lo usa direttamente per settimane come piattaforma di invio, sfruttando la "reputazione del mittente" (sender reputation) che i sistemi di posta assegnano ai domini storici.

Questo crea un effetto valanga: ogni account compromesso diventa un moltiplicatore di nuove compromissioni, rendendo la minaccia auto-sostenente e particolarmente difficile da eradicare con il semplice reset della password.

RACCOMANDAZIONE OPERATIVE

La difesa contro gli AiTM richiede uno spostamento di paradigma: non basta più proteggere la porta d'ingresso (la password), ma è necessario monitorare il comportamento delle sessioni attive e limitare ciò che una sessione compromessa può fare.

Priorità Immediata (0-7 giorni)

1. Audit delle sessioni attive: Accedi ai pannelli di amministrazione di Microsoft 365 o Google Workspace e forza la disconnessione di tutte le sessioni attive. Cerca sessioni da browser o località insolite.
2. Rivoca dei token: Oltre al cambio password (necessario ma non sufficiente), assicurati di revocare tutti i token di refresh e i cookie di sessione emessi. Su Entra ID, usa la funzione "Revoke user sessions".
3. Verifica regole di inoltro: Controlla che non siano state create regole di forwarding automatico nascoste (spesso configurate per inoltrare tutta la posta a indirizzi esterni).

Breve Termine (1-4 settimane)

1. Deploy di MFA phishing-resistant: Sostituisci SMS e app authenticator con chiavi hardware FIDO2 (YubiKey, Titan Security Key) o Windows Hello for Business. Queste tecnologie legano la crittografia al dominio legittimo, rendendo impossibile per un proxy AiTM catturare un token valido.
2. Conditional Access Policies: Configura policy che bloccano l'accesso se la richiesta proviene da IP non catalogati, da paesi non utilizzati dall'azienda, o se il client non risulta compliant (device management).
3. Riduzione della durata delle sessioni: Abbassa il tempo di vita dei token di sessione. Preferisci autenticazioni frequenti a sessioni aperte per giorni.

Medio Termine (1-6 mesi)

1. Analisi comportamentale: Implementa strumenti che rilevino anomalie nel comportamento email: invio di 500 messaggi in un'ora da un utente che di solito ne invia 10, accessi fuori orario lavorativo, o apertura simultanea di caselle da più paesi.
2. Segmentazione e Zero Trust: Limita ciò che un account email può fare. Blocca l'accesso a risorse critiche solo da dispositivi gestiti. Segmenta la rete in modo che anche con un account compromesso, il movimento laterale sia difficile.
3. Formazione avanzata: Aggiorna i programmi di awareness. I dipendenti devono sapere che anche una pagina con il dominio corretto (login.microsoftonline.com) può essere pericolosa se l'URL inizia con un subdominio sospetto o se il certificato SSL non è perfettamente allineato.

Strumenti suggeriti

Oltre alle funzionalità native di Microsoft e Google, considera l'uso di strumenti di Cloud Access Security Broker (CASB) per monitorare le sessioni, e soluzioni di email security che analizzino il comportamento del mittente, non solo il contenuto del messaggio. Per la protezione inbound e outbound delle comunicazioni, valuta piattaforme come MailSniper che integrano analisi semantica AI e sandboxing per rilevare account compromessi attraverso pattern di invio anomali.

OUTLOOK

Nei prossimi tre mesi, prevediamo l'automazione completa di questa catena di attacco. Gli strumenti di intelligenza artificiale generativa permetteranno di creare landing page AiTM specifiche per settore verticale (finte pagine di login di banche, ospedali, università specifiche) in pochi minuti, rendendo il phishing più convincente che mai.

Parallelamente, l'uso degli account compromessi evolverà dal semplice spam verso il Business Email Compromise (BEC) interno: richieste di pagamento urgenti inviate dal "collega" fidato il cui account è stato silenziosamente compromesso da settimane. La linea di difesa si sposterà inevitabilmente dalla prevenzione dell'accesso alla validazione continua della sessione: il "never trust, always verify" applicato ogni singolo minuto a ogni singola email inviata.

Il rischio non è più solo perdere i dati. È diventare inconsapevolmente complici di attacchi verso altri, con conseguenze legali e reputazionali che possono superare di gran lunga il costo di un semplice furto di credenziali.