Durante anos, a recomendação mais repetida em segurança da informação foi: “habilite o MFA que você estará protegido”. O problema é que os criminosos não ficaram parados.
Hoje, uma técnica conhecida como Adversary-in-the-Middle (AiTM), capaz de roubar não só sua senha, mas também sua sessão autenticada, mostra que até mesmo o MFA tradicional pode ser contornado, transformando o que parecia uma barreira sólida em uma porta aberta.
Como funciona o ataque?
O AiTM é um ataque baseado em proxy. O usuário acessa o que parece ser a página legítima de login (como o Outlook Web ou o Gmail corporativo), insere usuário, senha e até o código MFA enviado por SMS ou app autenticador.
Tudo parece normal. Mas, na prática, ele está interagindo com um site intermediário controlado pelo invasor.
Esse proxy age como um canal transparente: as credenciais são repassadas em tempo real para o site verdadeiro, que devolve um cookie de sessão válido. Esse cookie é interceptado e entregue ao criminoso. O resultado é devastador. O atacante não precisa mais da senha nem do MFA. Ele passa a acessar a conta como se fosse o usuário legítimo, sem levantar alertas imediatos.
A gravidade do AiTM no cenário corporativo
Segundo a Microsoft, esse modelo de ataque já é amplamente usado em campanhas de Business Email Compromise (BEC), em que criminosos assumem contas corporativas para manipular transações financeiras ou fraudar comunicações internas.
O risco está justamente na furtividade: a vítima acredita ter acessado normalmente sua conta, enquanto o atacante já está operando em paralelo.
Mais preocupante é o fato de que kits prontos de AiTM, como EvilProxy, Tycoon 2FA e NakedPages, estão disponíveis como serviços (Phishing-as-a-Service), democratizando o acesso a essa técnica.
Linha do tempo de um AiTM
- Minutos após o clique: o invasor entra na conta usando o cookie válido.
- Primeira hora: cria regras de encaminhamento, esconde alertas e monitora conversas em andamento.
- Horas seguintes: responde e-mails legítimos de pagamento, altera dados bancários e manipula arquivos no OneDrive ou Google Drive.
- Dias depois: o acesso pode ser vendido em fóruns clandestinos ou usado para lançar ataques de ransomware.
3 sinais de que sua conta pode ter sido vítima de um ataque AiTM
- Regras de e-mail estranhas: mensagens com termos como segurança, fraude ou alerta não chegam, ou novas regras aparecem sem explicação.
- Sessões ativas em locais desconhecidos: logins simultâneos em países diferentes ou de dispositivos não reconhecidos.
- Atividades inesperadas em nuvem/colaboração: arquivos compartilhados sem sua ação ou contatos recebendo mensagens que você não enviou.
Se notar algum desses sinais, altere sua senha imediatamente, encerre todas as sessões ativas e acione o time de TI/Security.
Como se defender do golpe
O primeiro ponto crucial é entender que “ter MFA” não basta. É preciso evoluir para MFA resistente a phishing.
As chaves físicas FIDO2/WebAuthn, por exemplo, validam não apenas o usuário, mas também o domínio acessado. Isso significa que, mesmo diante de um proxy malicioso, a autenticação falha porque o domínio não corresponde ao site real.
Outro pilar é a implementação de políticas de acesso condicional. Bloquear logins de geolocalizações suspeitas, dispositivos não gerenciados ou padrões anômalos reduz a janela de sucesso dos atacantes.
Além disso, monitoramento contínuo é indispensável: criação de regras suspeitas em caixas de e-mail, logins simultâneos em locais diferentes e anomalias de sessão devem acionar alertas automáticos. Ferramentas de EDR e governança de identidade podem detectar e interromper sessões comprometidas em tempo real.
O papel da defesa em camadas
Aqui na Danresa, reforçamos que o clique em phishing sempre pode acontecer. É por isso que a proteção contra AiTM exige uma abordagem em camadas:
- Treinamento e conscientização dos colaboradores para identificar sinais antes do clique.
- Tecnologias preventivas, como FortiMail, para filtrar links maliciosos.
- Soluções de resposta, como FortiEDR, para isolar máquinas comprometidas.
- Autenticação moderna, como FIDO2, para fechar a brecha no ponto mais crítico: a validação de identidade.
O Adversary-in-the-Middle é a prova de que os criminosos evoluem junto com a tecnologia. Se antes bastava não clicar, hoje até quem usa MFA pode ser enganado.
O caminho não está apenas em mais camadas de autenticação, mas em adotar modelos resistentes a phishing, revisar políticas de acesso e monitorar continuamente os sinais de invasão.
Últimos Posts
0 comentário