Un attacco adversary-in-the-middle (AiTM) è un attacco relay in cui un aggressore si pone tra un utente e un servizio legittimo, intercettando e inoltrando il traffico in modo che entrambe le parti credano di comunicare direttamente. A differenza dei classici attacchi man-in-the-middle, che possono modificare i dati in transito, l'AiTM spesso si concentra sulla raccolta di materiale di autenticazione come password, codici monouso o cookie di sessione.
Questo è importante nella sicurezza informatica perché può aggirare forme deboli di autenticazione a due fattori senza violare la crittografia. Gli aggressori usano comunemente pagine di accesso false, proxy inversi o relay in tempo reale per carpire una sessione dopo che la vittima ha effettuato l'accesso. Una volta sottratto un cookie di sessione valido, l'aggressore può spesso accedere all'account senza aver bisogno di nuovo della password. I difensori riducono questo rischio con MFA resistente al phishing, come le passkey FIDO/WebAuthn, un forte vincolo della sessione, controlli del dispositivo e avvisi per comportamenti di accesso sospetti.