Atak AiTM – jak hakerzy kradną sesje i omijają MFA w firmach

Czym jest AiTM i jak różni się od klasycznego phishingu

Klasyczny phishing ma prosty cel: nakłonić pracownika do wpisania hasła na fałszywej stronie. Gdy firma wdroży MFA, sama kradzież hasła przestaje wystarczać – atakujący potrzebuje jeszcze drugiego składnika uwierzytelniania. Dlatego cyberprzestępcy sięgnęli po technikę Adversary-in-the-Middle (AiTM), która omija to zabezpieczenie w zupełnie inny sposób.

W odróżnieniu od klasycznego Man-in-the-Middle (MITM), AiTM nie wymaga dostępu do infrastruktury sieciowej. Zamiast tego atakujący uruchamia odwrotny serwer proxy (reverse proxy), który staje się pośrednikiem między ofiarą a prawdziwym serwisem – np. Microsoft 365 czy Google Workspace. Użytkownik widzi autentyczną stronę logowania, bo proxy przekazuje jej zawartość w czasie rzeczywistym. Haker widzi jednak wszystko, co przepływa przez jego serwer.

Cel ataku AiTM to nie hasło – to token sesji (session cookie): plik cookie wystawiany po pomyślnym zalogowaniu, który potwierdza tożsamość użytkownika przez całą sesję. Przejmując ten token, haker uzyskuje dostęp do konta bez żadnych dodatkowych składników uwierzytelniania.

Jak działa atak AiTM krok po kroku

Zrozumienie mechanizmu ataku pomaga lepiej ocenić ryzyko i dobrać właściwe zabezpieczenia. Typowy scenariusz przebiega w następujących etapach:

1. Przygotowanie infrastruktury: Atakujący konfiguruje serwer proxy z gotowym frameworkiem (np. Evilginx2, Modlishka lub Muraena) i rejestruje domenę imitującą zaufany serwis logowania.
2. Wysłanie wiadomości phishingowej: Pracownik otrzymuje e-mail z linkiem do fałszywej strony – np. login.microsoft365-secure.com zamiast login.microsoftonline.com. Strona wygląda identycznie jak oryginał.
3. Pośredniczenie w logowaniu: Ofiara wpisuje dane logowania i zatwierdza MFA. Proxy na bieżąco przekazuje wszystko do prawdziwego serwisu – logowanie przebiega pomyślnie, użytkownik nie widzi nic podejrzanego.
4. Przechwycenie tokenu sesji: Po pomyślnym uwierzytelnieniu serwis wystawia ciasteczko sesji. Proxy przechwytuje je, zanim dotrze do przeglądarki ofiary.
5. Przejęcie konta: Atakujący importuje skradzione ciasteczko do własnej przeglądarki i uzyskuje pełny dostęp do konta – bez hasła, bez MFA, bez żadnego alarmu w systemie.
6. Działania po przejęciu: Haker przeszukuje skrzynkę pocztową, wysyła maile BEC, pobiera pliki z SharePoint, tworzy reguły przekierowania poczty lub przygotowuje grunt pod atak ransomware.

Cały proces – od kliknięcia linku do przejęcia konta – może trwać dosłownie kilkanaście sekund. W standardowych logach widnieje tylko jedno pomyślne logowanie z MFA, bez żadnego sygnału alarmowego.

Skala zagrożenia – grupy hakerskie i narzędzia w 2026 roku

Ataki AiTM przestały być niszową techniką zarezerwowaną dla zaawansowanych grup APT. W latach 2023–2026 Microsoft udokumentował tysiące kampanii wymierzonych w organizacje korzystające z Microsoft 365, prowadzonych przez grupy takie jak Storm-0867, Storm-1167 i Scattered Spider (znana też jako UNC3944), która odpowiadała m.in. za głośne włamania do MGM Resorts i Caesars Entertainment.

Gotowe frameworki dostępne w darknecie sprawiają, że atak AiTM może przeprowadzić każdy – nawet bez zaawansowanej wiedzy technicznej. Narzędzia takie jak Evilginx2 czy Modlishka są publicznie dostępne, dobrze udokumentowane i wymagają jedynie serwera VPS oraz kilku godzin konfiguracji. To właśnie demokratyzacja narzędzi ataku sprawia, że zagrożenie rośnie wykładniczo.

Szczególnie narażone są firmy korzystające z:

• Microsoft 365 i Entra ID – najpopularniejszy cel ze względu na liczbę użytkowników i wartość danych
• Google Workspace – analogiczne techniki stosowane wobec kont Google
• Firmowych aplikacji webowych z SSO – jeden skradziony token daje dostęp do wielu systemów
• Serwisów finansowych i bankowości online – atrakcyjny cel z bezpośrednim dostępem do środków

Dla MŚP konsekwencje mogą być poważne: wyciek danych klientów, kradzież środków przez oszustwo BEC, atak ransomware lub odpowiedzialność prawna z tytułu RODO. Według raportu IBM Cost of Data Breach 2024, phishing i kradzież danych uwierzytelniających to dwa najkosztowniejsze wektory ataku – średni koszt naruszenia przekraczał 4,8 mln USD.

Dlaczego standardowe MFA nie chroni przed AiTM

Jednym z najczęstszych nieporozumień w cyberbezpieczeństwie MŚP jest przekonanie: mamy MFA, więc jesteśmy bezpieczni. MFA rzeczywiście skutecznie chroni przed kradzieżą hasła – jeśli haker zna hasło, ale nie ma kodu jednorazowego, nie uzyska dostępu. Problem pojawia się jednak po pomyślnym zalogowaniu.

Token sesji (session cookie) to rodzaj cyfrowego paszportu, który serwis wystawia zalogowanemu użytkownikowi. Przeglądarka dołącza go do każdego kolejnego żądania, by serwer nie musiał za każdym razem pytać o hasło i MFA. Token ma ograniczony czas ważności – ale często jest to kilka godzin, a niekiedy nawet kilka dni.

Haker posiadający ważny token sesji jest dla serwera nieodróżnialny od prawdziwego użytkownika. MFA nie jest wywoływane, bo sesja jest już uwierzytelniona. Innymi słowy:

• MFA chroni przed: kradzieżą hasła, atakami brute-force, credential stuffingiem
• MFA nie chroni przed: kradzieżą aktywnego tokenu sesji po pomyślnym logowaniu

To fundamentalna różnica, którą warto zrozumieć – i odpowiednio dobrać uzupełniające warstwy ochrony, które zabezpieczają firmę poza samym momentem logowania.

Jak skutecznie chronić firmę przed atakiem AiTM

Dobra wiadomość: istnieją skuteczne zabezpieczenia przed AiTM, dostępne także dla firm MŚP. Kluczem jest podejście warstwowe i priorytetowe wdrożenie technologii odpornych na phishing:

• Phishing-resistant MFA (FIDO2/WebAuthn): Metody oparte na kluczach kryptograficznych – klucze sprzętowe (np. YubiKey, Google Titan Key), Windows Hello for Business lub Passkeys – są powiązane kryptograficznie z konkretną domeną. Proxy AiTM nie może ich przechwycić, bo klucz prywatny nigdy nie opuszcza urządzenia. To najskuteczniejsza dostępna metoda blokowania AiTM.
• Microsoft Entra ID Protection i Conditional Access: Polityki warunkowego dostępu wykrywają podejrzane sygnały – nieznana lokalizacja, nowe urządzenie, anomalie behawioralne – i mogą wymagać dodatkowej weryfikacji lub całkowicie blokować dostęp nawet dla pozornie ważnej sesji.
• Continuous Access Evaluation (CAE): Funkcja Microsoft 365, która pozwala natychmiastowo unieważnić sesję po wykryciu zagrożenia – zamiast czekać na naturalne wygaśnięcie tokenu.
• Safe Links i polityki anty-phishingowe: Microsoft Defender for Office 365 skanuje linki w czasie rzeczywistym i może zablokować przekierowanie na strony proxy AiTM jeszcze przed załadowaniem.
• Szkolenia Security Awareness: Pracownicy powinni weryfikować domenę w pasku adresu i wiedzieć, że identycznie wyglądająca strona logowania może być pułapką – zwłaszcza gdy link dotarł e-mailem.
• Monitorowanie anomalii sesji (SIEM/Microsoft Sentinel): Wykrywanie logowań z nowych lokalizacji lub urządzeń tuż po normalnej sesji to jeden z kluczowych sygnałów ataku AiTM.

Priorytetem powinno być wdrożenie phishing-resistant MFA przynajmniej dla kont administracyjnych i użytkowników z dostępem do wrażliwych danych – jeden krok, który dramatycznie podnosi poziom bezpieczeństwa całej organizacji.

Co zrobić, gdy podejrzewasz atak AiTM w firmie

Jeśli pracownik zgłasza, że kliknął podejrzany link i logował się na nieznanej stronie, czas reakcji ma kluczowe znaczenie. Oto plan działania krok po kroku:

1. Natychmiast unieważnij sesje konta: W portalu Microsoft Entra ID wybierz konto użytkownika i skorzystaj z opcji Odwołaj wszystkie sesje. Wymusi to ponowne zalogowanie na wszystkich urządzeniach i unieważni skradziony token.
2. Zmień hasło konta: Choć AiTM nie wymaga hasła do przejęcia sesji, atakujący mógł je zarejestrować podczas pracy proxy.
3. Sprawdź logi logowań w Entra ID: Przejrzyj historię aktywności – szukaj wpisów z nieznanych adresów IP, krajów i urządzeń w czasie potencjalnego ataku.
4. Przejrzyj reguły skrzynki pocztowej: Atakujący często tworzą automatyczne reguły przekierowania lub ukrywania wiadomości. Sprawdź ustawienia Outlooka i Exchange Online ofiary.
5. Oceń zakres naruszenia: Jakie dane były dostępne z przejętego konta? Pliki SharePoint, dane klientów, dostęp do systemów finansowych lub kadrowych?
6. Zgłoś naruszenie danych: Jeśli doszło do wycieku danych osobowych, RODO nakłada obowiązek zgłoszenia do UODO w ciągu 72 godzin od wykrycia incydentu – niedopełnienie grozi poważnymi karami.

Każda firma – niezależnie od wielkości – powinna posiadać gotowy plan reagowania na incydenty (Incident Response Plan), by w sytuacji kryzysowej działać sprawnie i bez improwizacji. NovaSys pomaga firmom MŚP opracować i wdrożyć takie procedury, zanim staną się potrzebne.