Protezione comportamentale
Agisce sul comportamento della pagina di destinazione, non sul canale di consegna. Efficace anche quando il messaggio supera SEG, sandbox e filtri DNS.
Gli attacchi AiTM non rubano solo le credenziali: catturano il token di sessione dopo l'autenticazione, rendendo inutile l'MFA. Fortgale blocca l'attacco prima che l'utente interagisca con il proxy malevolo.
Le soluzioni anti-phishing classiche intervengono prima della consegna. Fortgale opera dove i filtri tradizionali falliscono: nell'istante in cui l'utente sta per cedere le credenziali.
Agisce sul comportamento della pagina di destinazione, non sul canale di consegna. Efficace anche quando il messaggio supera SEG, sandbox e filtri DNS.
Progettato per gli AiTM che bypassano l'MFA: interviene prima che il token venga generato in contesto fraudolento, rendendo il furto strutturalmente impossibile.
Nessuna modifica a DNS, server di posta o tenant M365. Onboarding guidato in poche ore. Compatibile con FIDO2, TOTP, hardware key e tutti i provider MFA.
Il proxy AiTM rende l'MFA inutile. La sola difesa è intervenire sulla pagina di destinazione, prima che l'utente digiti.
L'email phishing supera SEG, sandbox e filtri DNS. Contiene un link a un proxy AiTM in apparenza legittimo.
L'utente clicca. Il proxy trasparente (Evilginx, Modlishka, Muraena) gira il traffico verso il portale M365 reale.
L'utente inserisce credenziali e secondo fattore. Il proxy cattura tutto, password e codice MFA.
Microsoft rilascia il session token. Il proxy lo intercetta e lo riusa autonomamente, bypassando l'MFA.
L'Interceptor rileva il proxy e blocca l'utente prima del passo 1. Nessun dato viene mai trasmesso.
Agisce sul comportamento della pagina di destinazione, non sul canale di consegna. Efficace anche quando il messaggio supera SEG, sandbox e filtri DNS.
Progettato per gli AiTM che bypassano l'MFA: interviene prima che il token venga generato in contesto fraudolento, rendendo il furto strutturalmente impossibile.
Nessuna modifica a DNS, server di posta o tenant M365. Onboarding guidato in poche ore, senza impatto sulla produttività degli utenti.
Protezione sia per Microsoft 365 (Exchange Online, SharePoint, Teams) sia per Google Workspace (Gmail, Drive, Meet).
Alimentato dal Feed di Intelligence Fortgale: nuove infrastrutture AiTM, kit phishing emergenti, dominii lookalike rilevati e bloccati in tempo reale.
Dashboard centralizzata degli attacchi intercettati, utenti coinvolti, settori target. Reporting per CISO con metriche MTTD/MTTR e trend mensili.
Il programma completo: prevenzione con l'Interceptor, ITDR post-compromise su AD e cloud, monitoraggio SOC. L'AiTM è un capitolo, questo è il libro.
Vai al programma →EDR/XDR governato dal SOC italiano. Triage in <15 min, contenimento <30 min.
Scopri MDR →34k+ IOC settimanali · domini phishing AiTM, kit Evilginx/Modlishka, infrastrutture C2 distribuiti via STIX/TAXII.
Scopri il Feed →Adversary-in-The-Middle: un proxy trasparente tra utente e sito legittimo (M365). Cattura credenziali e token MFA, bypassando l'autenticazione. Tecnica dominante nelle campagne avanzate europee. Framework: Evilginx, Modlishka, Muraena.
Rileva in tempo reale segnali caratteristici delle pagine proxy AiTM e mostra un avviso prima dell'inserimento credenziali. Analizza comportamento di pagina e sessione, non il canale email.
L'MFA protegge le credenziali statiche (username/password) ma non il session token rilasciato dopo l'autenticazione. Il proxy AiTM riceve il token valido, anche dopo il secondo fattore, e lo riusa autonomamente. L'Interceptor interviene prima.
Sì. Le campagne AiTM contro Google sono in crescita in manifatturiero, logistica e servizi professionali. Logica identica: avviso prima dell'inserimento.
Onboarding rapido e non invasivo. Nessuna modifica a infrastruttura, server di posta, DNS, tenant M365. Attivazione in poche ore. Risposta team entro 24 ore lavorative.
Il team CTI analizza i phishing kit AITM in circolazione, infrastruttura reverse-proxy, token hijack, kit reusable. il Supercar Phishing Kit e Phishing Kits Bypass MFA sono solo due esempi della ricerca che alimenta le detection M365.

ABSTRACT The FBI recently issued an advisory on Kali365, a Phishing-as-a-Service platform that abuses legitimate Microsoft OAuth flows to bypass multi-factor authentication. Kali…
Leggi articolo →
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced traditional defenses. M…
Leggi articolo →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Leggi articolo →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Leggi articolo →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Leggi articolo →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Leggi articolo →Analisi di 800 domini della piattaforma PhaaS Kali365 (abuso dell'OAuth Device Code Flow): l'85,8% su Cloudflare Workers.
Leggi l'analisi →9 kit di phishing AiTM profilati in un trimestre. Solo FIDO2 e passkey resistono: OTP, SMS e push no.
Leggi il report →Attacco AiTM contro figure apicali durante un round d'investimento, intercettato prima della compromissione. Nessun accesso ottenuto.
Leggi il caso →Oltre 100 analisi pubblicate. Attribuzioni corroborate da terze parti come Mandiant (Google), Amazon, SentinelOne e Huntress. SOC 24·7·365, Milano.
Il Fortgale M365 Phishing Interceptor blocca il phishing AiTM prima che le credenziali vengano inserite, e prima che il token di sessione venga rubato. Attivazione gratuita, nessuna modifica infrastrutturale, operativo in poche ore.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.