Un attacco Adversary-in-the-Middle (AitM) usa un proxy criminale tra un utente e un servizio legittimo per inoltrare il traffico di accesso in tempo reale. Invece di rubare solo una password, l'attaccante intercetta la sessione di autenticazione, cattura token o cookie di sessione e, a volte, può continuare ad agire come la vittima dopo il completamento dell'accesso.
AitM è importante perché aggira molte difese tradizionali che si concentrano su password e codici monouso. Negli attacchi cloud, il proxy può rispecchiare il browser della vittima, inoltrare le richieste MFA e raccogliere lo stato autenticato dalla sessione. I difensori cercano schemi di proxy insoliti, percorsi di accesso impossibili, uso sospetto dei token e segni che un flusso di accesso sia stato inoltrato anziché completato direttamente. Controlli di accesso condizionale robusti, MFA resistente al phishing e un attento monitoraggio delle sessioni aiutano a ridurre il rischio.