01 ·
Protezione comportamentale
Agisce sul comportamento della pagina di destinazione, non sul canale di consegna. Efficace anche quando il messaggio supera SEG, sandbox e filtri DNS.
Il phishing moderno bypassa l'MFA. L'Interceptor no.
Gli attacchi AiTM non rubano solo le credenziali: catturano il token di sessione dopo l'autenticazione, rendendo inutile l'MFA. Fortgale blocca l'attacco prima che l'utente interagisca con il proxy malevolo.
Fortgale · Interceptor
Allerta attiva
Attacco AiTM rilevato
Questa pagina utilizza un proxy per intercettare le tue credenziali e il token MFA. Non inserire dati.
hxxps://m1cr0s0ft-login[.]verify-token[.]net/aitm/...
Conformità · email security
NIS2 ready
DORA
ISO 27001
GDPR
Compatibilità
Microsoft 365
Google Workspace
Entra ID
FIDO2 / TOTP
Perché funziona contro AiTM
Agisce sulla pagina, non sulla mail.
Le soluzioni anti-phishing classiche intervengono prima della consegna. Fortgale opera dove i filtri tradizionali falliscono: nell'istante in cui l'utente sta per cedere le credenziali.
02 ·
MFA-proof by design
Progettato per gli AiTM che bypassano l'MFA: interviene prima che il token venga generato in contesto fraudolento, rendendo il furto strutturalmente impossibile.
03 ·
Zero modifiche infrastrutturali
Nessuna modifica a DNS, server di posta o tenant M365. Onboarding guidato in poche ore. Compatibile con FIDO2, TOTP, hardware key e tutti i provider MFA.
Proof · settori reali
Quattro settori su cui Fortgale è già operativa.
Banking
Campagne AiTM
su portali M365 finanziari
su portali M365 finanziari
Shipping
BEC + AiTM
verso operatori logistica
verso operatori logistica
Manifatturiero
Spear-phishing
di filiera su M365 ibridi
di filiera su M365 ibridi
Critical infra
Operatori NIS2
con reportistica auditabile
con reportistica auditabile
Anatomia di un attacco AiTM
Cinque passi · l'Interceptor lo blocca prima del primo.
Il proxy AiTM rende l'MFA inutile. La sola difesa è intervenire sulla pagina di destinazione, prima che l'utente digiti.
01 · Email
Email phishing recapitata
L'email phishing supera SEG, sandbox e filtri DNS. Contiene un link a un proxy AiTM in apparenza legittimo.
02 · Proxy
Proxy AiTM attivato
L'utente clicca. Il proxy trasparente (Evilginx, Modlishka, Muraena) gira il traffico verso il portale M365 reale.
03 · Credenziali
Credenziali + MFA catturati
L'utente inserisce credenziali e secondo fattore. Il proxy cattura tutto, password e codice MFA.
04 · Token
Session token rubato
Microsoft rilascia il session token. Il proxy lo intercetta e lo riusa autonomamente, bypassando l'MFA.
05 · Block
Fortgale Interceptor
L'Interceptor rileva il proxy e blocca l'utente prima del passo 1. Nessun dato viene mai trasmesso.
Cosa include il servizio
Sei pilastri della protezione AiTM.
01
Protezione comportamentale
Agisce sul comportamento della pagina di destinazione, non sul canale di consegna. Efficace anche quando il messaggio supera SEG, sandbox e filtri DNS.
02
MFA-proof by design
Progettato per gli AiTM che bypassano l'MFA: interviene prima che il token venga generato in contesto fraudolento, rendendo il furto strutturalmente impossibile.
03
Zero modifiche infrastrutturali
Nessuna modifica a DNS, server di posta o tenant M365. Onboarding guidato in poche ore, senza impatto sulla produttività degli utenti.
04
Copertura M365 + Google Workspace
Protezione sia per Microsoft 365 (Exchange Online, SharePoint, Teams) sia per Google Workspace (Gmail, Drive, Meet).
05
Intelligence aggiornata real-time
Alimentato dal Feed di Intelligence Fortgale: nuove infrastrutture AiTM, kit phishing emergenti, dominii lookalike rilevati e bloccati in tempo reale.
06
Visibilità & reporting
Dashboard centralizzata degli attacchi intercettati, utenti coinvolti, settori target. Reporting per CISO con metriche MTTD/MTTR e trend mensili.
Difesa integrata
L'Interceptor previene. Gli altri servizi completano la copertura.
Post-compromise
ITDR · Protezione Identità
Sicurezza identità a 360° dall'AD on-premise a Entra ID e Cloud. Detection & response su credenziali compromesse.
Scopri ITDR →Detection & Response
Managed Detection & Response
EDR/XDR governato dal SOC italiano. Triage in <15 min, contenimento ~11 min.
Scopri MDR →Intelligence
Feed di Intelligence
34k+ IOC settimanali · domini phishing AiTM, kit Evilginx/Modlishka, infrastrutture C2 distribuiti via STIX/TAXII.
Scopri il Feed →FAQ
Tutto quello che serve sapere prima di attivare l'Interceptor.
Cos'è un attacco phishing AiTM?
Adversary-in-The-Middle: un proxy trasparente tra utente e sito legittimo (M365). Cattura credenziali e token MFA, bypassando l'autenticazione. Tecnica dominante nelle campagne avanzate europee. Framework: Evilginx, Modlishka, Muraena.
Come funziona il Fortgale Interceptor contro AiTM?
Rileva in tempo reale segnali caratteristici delle pagine proxy AiTM e mostra un avviso prima dell'inserimento credenziali. Analizza comportamento di pagina e sessione, non il canale email.
Perché l'MFA non basta contro AiTM?
L'MFA protegge le credenziali statiche (username/password) ma non il session token rilasciato dopo l'autenticazione. Il proxy AiTM riceve il token valido — anche dopo il secondo fattore — e lo riusa autonomamente. L'Interceptor interviene prima.
Funziona anche con Google Workspace?
Sì. Le campagne AiTM contro Google sono in crescita in manifatturiero, logistica e servizi professionali. Logica identica: avviso prima dell'inserimento.
Quanto richiede l'attivazione?
Onboarding rapido e non invasivo. Nessuna modifica a infrastruttura, server di posta, DNS, tenant M365. Attivazione in poche ore. Risposta team entro 24 ore lavorative.
Ricerca · phishing kit AITM
Fortgale traccia i kit di phishing che bypassano l'MFA.
Il team CTI analizza i phishing kit AITM in circolazione — infrastruttura reverse-proxy, token hijack, kit reusable. Operation Storming Tide e Phishing Kits Bypass MFA sono solo due esempi della ricerca che alimenta le detection M365.
Phishing Kits Bypass MFA and Hijack companies's accounts in minutes
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Leggi articolo →
Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Leggi articolo →
Operation Storming Tide: A massive multi-stage intrusion campaign
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Leggi articolo →
Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Leggi articolo →
Espionage activities targeting European businesses
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Leggi articolo →
Nebula Broker: offensive operations made in Italy
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Leggi articolo →
Inizia adesso — è gratuito
Il prossimo attacco AiTM è già in preparazione.
Il Fortgale M365 Phishing Interceptor blocca il phishing AiTM prima che le credenziali vengano inserite — e prima che il token di sessione venga rubato. Attivazione gratuita, nessuna modifica infrastrutturale, operativo in poche ore.