À medida que as empresas implementam a Autenticação de Múltiplos Fatores (MFA) para proteger contas corporativas, os criminosos evoluem suas táticas. O ataque Attacker-in-the-Middle (AitM) é a principal metodologia moderna utilizada para desviar o MFA e sequestrar sessões ativas de usuários.
O Limite do Phishing Tradicional
O phishing tradicional baseava-se em duplicar telas de login estáticas para capturar o usuário e a senha da vítima. No entanto, se o alvo possui MFA (como envio de SMS, chaves de autenticação no app ou senhas temporárias TOTP), o atacante é bloqueado, pois esses fatores dinâmicos expiram rapidamente e são gerados no momento do acesso.
Para superar esse controle defensivo, os atacantes passaram a implantar servidores de Proxy Reverso, atuando como intermediários de tráfego em tempo real entre a vítima e o portal de identidade legítimo (como Microsoft Entra ID ou Google Workspace).
Como funciona o Fluxo de Ataque AitM?
Diferente do phishing estático, no AitM o tráfego é retransmitido dinamicamente entre os servidores do provedor e a vítima:
- Acesso à URL Maliciosa: A vítima clica em um link de phishing que a direciona ao domínio do atacante (ex:
portal-seguro-login.com), configurado sob o proxy reverso. - Carregamento em Tempo Real: O proxy do atacante faz uma requisição em tempo real para a página de login legítima da empresa (ex:
login.microsoftonline.com) e retorna exatamente o mesmo conteúdo para o navegador da vítima. - Autenticação do Usuário: O usuário digita suas credenciais e responde ao desafio do MFA (seja por código no celular ou clique de aprovação) no domínio malicioso. O proxy retransmite essas informações ao portal real, que valida o acesso de forma bem-sucedida.
- Sequestro do Cookie de Sessão: O portal real emite o token e o cookie de sessão autenticado (Session Cookie). O proxy reverso captura esse cookie no tráfego HTTP, o armazena no servidor do atacante e redireciona o usuário para o sistema original.
O impacto é crítico: o atacante agora possui um cookie de sessão válido. Ele pode injetar este cookie em seu próprio navegador de internet e obter acesso direto ao ecossistema corporativo da vítima, contornando a necessidade de login e burlar o MFA, pois a sessão é reconhecida pelos servidores do provedor como legítima e autenticada.
Ferramentas do Universo Ofensivo
A automação desse tipo de ataque se tornou amplamente acessível através de frameworks de código aberto voltados a hacking ético e testes de intrusão, como o Evilginx2 e o Muraena. Estas ferramentas gerenciam automaticamente a captura dos cookies de sessão e a configuração de certificados SSL válidos, permitindo a execução rápida de campanhas táticas sob domínios semelhantes (*typosquatting*).
Estratégias Defensivas de Mitigação
Para anular o risco de ataques baseados em proxy reverso (AitM), os times de arquitetura e defesa cibernética devem adotar as seguintes contramedidas estruturais:
1. MFA Resistente a Phishing (Phishing-Resistant MFA)
Substitua SMS e aplicativos de autenticação baseados em aprovação numérica simples por métodos baseados no padrão FIDO2 / WebAuthn (como chaves físicas de segurança USB e biometria nativa - Windows Hello / Touch ID). O protocolo vincula a assinatura criptográfica diretamente ao domínio do navegador. Se o usuário tentar se autenticar no domínio malicioso do atacante, o navegador detecta a divergência e se recusa a emitir o token criptográfico.
2. Políticas de Acesso Condicional Baseadas em Dispositivos
Configure regras de Acesso Condicional para restringir logins estritamente a computadores e celulares registrados no MDM da empresa (Dispositivos Compatíveis / Compliant Devices). Mesmo que o atacante capture o cookie de sessão via AitM, ele será impedido de acessar os recursos pois sua máquina de ataque não atende aos requisitos corporativos de hardware e identidade do dispositivo.
Conclusão
A evolução contínua das técnicas ofensivas exige uma postura defensiva adaptativa. O MFA tradicional não é mais uma barreira intransponível. A equipe da ByteAbyss auxilia organizações na arquitetura de políticas de Acesso Condicional e na execução de simulações de campanhas de phishing e AitM personalizadas para auditar e fortalecer a imunidade técnica da sua empresa.