🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
All posts

O que é um ataque AiTM (Adversary-in-the-Middle)?

Um ataque AiTM é uma ameaça baseada em identidade em que os invasores interceptam sessões de autenticação para sequestrar o acesso, mesmo quando a MFA está ativada.
Written by
CloudSEK Editorial
Published on
Friday, February 27, 2026
Updated on
February 26, 2026

Principais conclusões:

  • Um ataque Adversary-in-the-Middle (AiTM) é um ataque cibernético com foco na identidade, no qual um invasor intercepta secretamente o processo de autenticação em tempo real para assumir uma sessão de usuário válida, mesmo após o login bem-sucedido e a verificação de MFA.
  • Em vez de quebrar a criptografia ou a segurança da rede, os ataques do AiTM operam na camada de autenticação e sessão, visando como os aplicativos modernos da web e da nuvem estabelecem a confiança do usuário.
  • Para conseguir isso, os invasores geralmente usam o phishing de proxy reverso, que permite que o tráfego criptografado passe por um intermediário malicioso enquanto os cookies de sessão e os tokens de acesso são capturados de forma invisível.
  • Como o ataque ocorre após a conclusão da autenticação, os métodos tradicionais de MFA, como códigos SMS ou aprovações push, geralmente são ineficazes, tornando os ataques AiTM especialmente perigosos para serviços em nuvem, ambientes de SSO e arquiteturas Zero Trust.

O que é um ataque AiTM?

Um ataque Adversary-in-the-Middle (AiTM) representa uma classe de ameaças cibernéticas focadas em abusar da identidade autenticada do usuário em vez de comprometer a infraestrutura de rede. Os sistemas de autenticação modernos tornam a confiança na sessão um alvo principal, o que coloca os ataques AiTM firmemente no cenário de ameaças à identidade.

Os ataques do AiTM se alinham estreitamente aos ambientes que priorizam a nuvem, onde navegadores, provedores de identidade e controle de acesso baseado em tokens dominam o design de autenticação. As plataformas de login único e os aplicativos da web estão especialmente expostos devido à dependência de sessões de login persistentes.

A operação dentro de fluxos de autenticação legítimos separa os ataques do AiTM das técnicas de interceptação mais antigas. A clareza conceitual nesse nível torna mais fácil distinguir os ataques AiTM dos ataques Man-in-the-Middle tradicionais, que visam a transmissão de dados em vez da confiança na identidade.

Como um ataque AiTM é diferente de um ataque Man-in-the-Middle (MiTM)?

Ambos os ataques envolvem interceptação, mas o ataque Adversary-in-the-Middle (AiTM) e o ataque Man-in-the-Middle (MiTM) diferem em sua superfície de ataque, contexto de execução e impacto nos sistemas de autenticação modernos.

Comparison Aspect Man-in-the-Middle (MitM) Attack Adversary-in-the-Middle (AitM) Attack
Primary Target Data in transit across a network User identity and authenticated sessions
Attack Surface Network connections and communication paths Authentication flows and session trust
Operational Layer Network and transport layers Application and identity layer
Dependence on Encryption Weakness Often relies on weak or absent encryption Operates without breaking encryption
Effectiveness Against HTTPS/TLS Largely mitigated by encrypted traffic Remains effective in fully encrypted sessions
Authentication Interaction Intercepts or alters transmitted data Abuses session tokens issued after login
MFA Resistance MFA usually prevents account compromise MFA can be bypassed through token theft
Typical Environments Public Wi-Fi, compromised networks Cloud apps, SSO platforms, web portals
User Visibility Errors or warnings may appear Login experience appears normal
Modern Threat Relevance Declining with widespread encryption Increasing with identity-first architectures

Como um ataque AiTM funciona passo a passo?

Um ataque Adversary-in-the-Middle (AiTM) funciona colocando um intermediário oculto dentro do fluxo de autenticação para que as sessões ativas do usuário possam ser invadidas sem interromper o processo de login.

aitm authentication hijack process

Entrada de phishing

A execução do ataque começa atraindo o usuário para uma página de login falsificada, projetada para espelhar um serviço legítimo. A familiaridade visual e o comportamento esperado de login incentivam os usuários a se autenticarem normalmente.

Relé proxy

O tráfego entre o usuário e o aplicativo real é encaminhado por meio de um proxy reverso malicioso em tempo real. A comunicação criptografada permanece intacta, o que evita avisos visíveis ou falhas na funcionalidade.

Troca de Autenticação

As credenciais de login e as respostas da MFA atravessam o proxy durante a autenticação. Os cookies de sessão ou tokens de acesso emitidos após a verificação ficam expostos nesta fase.

Captura de token

Os artefatos de sessão capturados representam confiança autenticada em vez de credenciais brutas. A posse desses tokens permite que os invasores se façam passar por usuários sem repetir a autenticação.

Abuso de sessão

Os tokens roubados são reutilizados para estabelecer uma sessão autenticada independente controlada pelo atacante. O acesso continua até que a sessão expire ou seja explicitamente revogada.

Sequestro de confiança

A confiança do aplicativo permanece vinculada à sessão roubada até a expiração ou a revogação manual. O transporte criptografado e a validação de MFA permanecem intactos enquanto o controle sobre a sessão é transferido silenciosamente para o atacante.

Como os ataques AiTM ignoram a autenticação multifator (MFA)?

O desvio de MFA em cenários de AiTM ocorre após a autenticação ser bem-sucedida, quando a confiança da sessão é reutilizada sem verificação contínua de identidade.

  • Limite de autenticação: A MFA protege o evento de login, não as decisões de autorização contínuas tomadas após a concessão do acesso.
  • Confiança da sessão: Os sistemas de autenticação emitem cookies de sessão ou tokens de acesso que representam um estado de usuário verificado quando a MFA é bem-sucedida.
  • Controle de token: A posse de um token de sessão válido é tratada como prova de identidade suficiente, independentemente de quem controla a sessão.
  • Relé ao vivo: A interceptação em tempo real permite que os invasores capturem os tokens imediatamente após a emissão, sem acionar desafios secundários.
  • Herança fiduciária: Os aplicativos que dependem do SSO aceitam decisões de autenticação inicial sem revalidar a presença ou a intenção do usuário.
  • Ausência vinculativa: Os tokens de sessão raramente são vinculados a um dispositivo, instância de navegador ou canal TLS específico, permitindo a reprodução de outro ambiente.

Quais tipos de tokens de autenticação são direcionados aos ataques do AiTM?

A segmentação de tokens em ataques do AiTM se concentra em artefatos de sessão que representam confiança autenticada em vez de credenciais usadas durante o login.

aitm authentication token targets

Cookies de sessão

Os cookies de sessão mantêm um estado de login em um navegador após a autenticação ser bem-sucedida. O controle desses cookies permite que os invasores se façam passar por usuários instantaneamente sem acionar a reautenticação.

Tokens de acesso

Os tokens de acesso concedem permissões de escopo para aplicativos e APIs em nome de um usuário. O roubo permite a interação direta com recursos protegidos usando a identidade e os privilégios da vítima.

Atualizar tokens

Os tokens de atualização estendem a duração da sessão emitindo novos tokens de acesso sem o envolvimento do usuário. O comprometimento aumenta a persistência e permite que os invasores mantenham o acesso por muito tempo após o login inicial.

Tokens SSO

Os tokens de login único permitem o acesso a vários aplicativos por meio de um único evento de autenticação. O abuso cria amplo acesso lateral entre serviços vinculados ao mesmo provedor de identidade.

Subsídios do OAuth

O OAuth autoriza o acesso delegado entre os serviços quando o consentimento do usuário é estabelecido. O uso indevido permite que os invasores operem em aplicativos conectados sem repetidas verificações de identidade.

Quais são os riscos e impactos de um ataque AiTM?

A exposição ao risco de ataques do AiTM decorre do abuso da confiança legítima da sessão, em vez da exploração de vulnerabilidades técnicas.

Aquisição de conta

O roubo de tokens de sessão permite que os invasores assumam o controle total das contas dos usuários sem acionar desafios de autenticação. O acesso legítimo dificulta a distinção entre atividades maliciosas e comportamentos normais.

Escalação de privilégios

As sessões comprometidas podem ser usadas para acessar recursos administrativos ou funções confidenciais concedidas à vítima. Permissões elevadas aumentam o escopo e a gravidade da violação.

Movimento lateral

Sessões únicas autenticadas geralmente fornecem acesso a vários aplicativos e serviços conectados. Os atacantes aproveitam a confiança herdada para percorrer ambientes sem autenticação adicional.

Exposição de dados

O acesso autorizado permite a interação direta com dados confidenciais, sistemas internos e recursos de nuvem. Os controles tradicionais de acesso a dados geralmente falham porque as solicitações parecem legítimas.

Acesso persistente

Os tokens de atualização e as sessões de longa duração permitem que os invasores mantenham o acesso além do comprometimento inicial. A persistência estendida aumenta o tempo de permanência e a probabilidade de ataques secundários.

Impacto na conformidade

O acesso não autorizado a sistemas regulamentados pode resultar em violações dos requisitos de proteção de dados e conformidade de segurança. As trilhas de auditoria geralmente mostram atividades válidas do usuário, complicando os relatórios e investigações de incidentes.

Atraso de detecção

O abuso pós-autenticação reduz a eficácia dos alertas de segurança e das ferramentas de monitoramento tradicionais. A detecção retardada aumenta o tempo de permanência do atacante e amplifica o dano geral.

Como as organizações podem detectar e prevenir ataques de AiTM?

A defesa contra ataques do AiTM exige controles que protejam a confiança da sessão antes, durante e depois da autenticação, em vez de depender apenas das credenciais.

Resistência a phishing

Os métodos de autenticação resistentes a phishing evitam a reprodução de credenciais e tokens, mesmo quando as páginas de login são falsificadas. A autenticação criptográfica e com suporte de hardware remove a capacidade do atacante de reutilizar as sessões capturadas.

Vinculação de sessão

Vincular sessões a um dispositivo, navegador ou contexto criptográfico específico limita a portabilidade do token. Os artefatos de sessão roubados perdem valor quando reproduzidos em um ambiente diferente.

Acesso condicional

As políticas de acesso contextualizadas avaliam a postura, a localização e os sinais de risco do dispositivo antes de conceder ou manter o acesso. O contexto suspeito da sessão pode acionar a reautenticação ou a negação de acesso.

Validação contínua

O monitoramento do comportamento da sessão pós-login detecta anomalias que ocorrem após a autenticação ser bem-sucedida. Padrões de acesso incomuns, mudanças de localização ou uso da API podem indicar abuso na sessão.

Vida útil do token

Os tokens de acesso de curta duração reduzem a janela de oportunidade para os atacantes. A rotação frequente de tokens limita a persistência mesmo quando os artefatos da sessão estão comprometidos.

Visibilidade da identidade

O monitoramento centralizado de identidade fornece informações sobre eventos de autenticação em aplicativos e serviços. A correlação da atividade da sessão melhora a detecção de movimentos laterais e abusos.

Por que os ataques AiTM são uma grande ameaça à confiança zero e à segurança na nuvem?

Os ataques do AiTM minam os modelos de segurança que dependem da identidade como principal ponto de controle, em vez de limites de confiança baseados na rede.

Perímetro de identidade

As arquiteturas Zero Trust tratam a identidade como o novo perímetro para decisões de acesso. Os ataques do AiTM exploram essa mudança abusando de sessões confiáveis em vez de violar a infraestrutura.

Confiança implícita

Os aplicativos em nuvem geralmente herdam as decisões de autenticação dos provedores de identidade sem revalidação contínua. As sessões comprometidas permanecem confiáveis em todos os serviços quando o acesso é concedido.

Confiança na sessão

As plataformas de nuvem modernas dependem muito das sessões do navegador e do acesso baseado em tokens. O controle sobre os artefatos da sessão permite que os invasores ignorem completamente os controles de perímetro.

Acesse Sprawl

As identidades únicas geralmente abrangem vários serviços, ambientes e níveis de privilégio. Os ataques do AiTM exploram essa expansão para expandir o impacto sem eventos adicionais de autenticação.

Lacunas de controle

As implementações do Zero Trust que se concentram apenas no fortalecimento do login deixam a atividade pós-autenticação insuficientemente protegida. O abuso de sessão ocorre depois que a confiança já está estabelecida.

Escala de nuvem

Os ambientes em nuvem amplificam o impacto do comprometimento da sessão devido aos modelos centralizados de identidade e acesso compartilhado. Uma única sessão roubada pode expor grandes partes da superfície digital de uma organização.

Considerações finais

Ataques intermediários destacam uma mudança na forma como ocorre o comprometimento da conta, passando do roubo de senhas para o abuso da confiança autenticada na sessão. A criptografia e a MFA tradicional continuam importantes, mas não são mais suficientes sozinhas.

Os sistemas de autenticação modernos depositam uma confiança significativa nos tokens de sessão emitidos após o login. Depois que essa confiança é transferida, os atacantes podem operar com acesso legítimo, a menos que controles adicionais estejam em vigor.

Reduzir a exposição aos ataques do AiTM exige tratar a integridade da sessão como uma preocupação central de segurança, em vez de um controle secundário. As estratégias de segurança de identidade devem ir além da validação de login para proteger o acesso durante todo o ciclo de vida da sessão.

Perguntas frequentes

Como um ataque AiTM é diferente do phishing tradicional?

O phishing tradicional visa roubar credenciais para reutilização posterior, enquanto os ataques do AiTM interceptam sessões de autenticação ao vivo em tempo real. O acesso é obtido imediatamente após o login, abusando da confiança da sessão em vez das senhas armazenadas.

Os ataques do AiTM podem funcionar mesmo com o HTTPS ativado?

O HTTPS criptografa os dados em trânsito, mas não impede que os invasores retransmitam tráfego por meio de um intermediário mal-intencionado. As sessões criptografadas permanecem vulneráveis quando a confiança na autenticação é estabelecida por meio de um proxy comprometido.

A autenticação multifator interrompe os ataques do AiTM?

A MFA padrão protege o evento de login, mas não protege a sessão após a autenticação ser bem-sucedida. A repetição da sessão continua possível, a menos que a autenticação seja resistente a phishing e esteja vinculada ao dispositivo ou contexto do usuário.

Os ataques do AiTM podem ser detectados após o login?

O monitoramento pós-autenticação pode revelar anomalias, como padrões de acesso incomuns ou mudanças de contexto. A detecção depende da visibilidade do comportamento da sessão e não de falhas de login.

Quem corre maior risco de ataques de AiTM?

Usuários e organizações baseados em nuvem que dependem de SSO e autenticação baseada em navegador enfrentam maior exposição. Uma única identidade comprometida pode fornecer acesso a vários aplicativos e serviços.

Schedule a Demo
Related Posts
What is an Attack Vector? Types & Prevention
An attack vector is a technique attackers use to exploit weaknesses and enter a system to steal data, deploy malware, or compromise networks.
What is Cookie Logging? Meaning, Risks, and Prevention
Cookie logging is a method of stealing authentication cookies from web browsers to gain unauthorized access to online accounts without needing a password.
What is a Kerberoasting Attack? Definition, Risks, and Prevention
A Kerberoasting attack is a credential theft technique that exploits Kerberos service tickets in Microsoft Active Directory to crack service account passwords offline and escalate privileges.

Start your demo now!

Schedule a Demo
Free 7-day trial
No Commitments
100% value guaranteed

Related Knowledge Base Articles

No items found.