I cybercriminali sfruttano l'autenticazione per dispositivi per compromettere gli account Microsoft. La tecnica, sempre più diffusa, aggira la verifica a due fattori e colpisce soprattutto le aziende.
Il nuovo trucco dei phisher per rubare account Microsoft: come funziona e come proteggersi
Un attacco di phishing sempre più sofisticato sta prendendo di mira gli utenti Microsoft in tutto il mondo. Non ruba password nel senso tradizionale, non intercetta codici di verifica: invece, sfrutta un meccanismo di autenticazione legittimo per ottenere l'accesso completo agli account. Kaspersky ha descritto questa tecnica, chiamata Device Code Phishing, e gli esperti di sicurezza avvertono che il fenomeno sta crescendo a ritmi allarmanti.
Chi sta dietro agli attacchi
Secondo le ricerche di sicurezza, dietro questi attacchi operano diversi gruppi di minacce. Alcuni sono spie russe che prendono di mira organizzazioni governative e non governative, come documentato da Volexity e Microsoft. Altri sono criminali finanziari che sfruttano kit di phishing-as-a-service come Tycoon2FA, una piattaforma che è stata smantellata dalle forze dell'ordine internazionali a marzo ma è rapidamente ritornata operativa su nuova infrastruttura. Il gruppo ShinyHunters è stato collegato a campagne che combinano device code phishing e voice phishing (vishing) per compromettere account Microsoft Entra.
Come funziona il Device Code Phishing
Per capire l'attacco, bisogna prima comprendere il device code flow, un meccanismo di autenticazione OAuth 2.0 pensato per dispositivi che non hanno un browser accessibile: stampanti, smart TV, lettori multimediali. Questi dispositivi non possono inserire username e password, quindi il sistema funziona così:
- Il dispositivo genera un codice alfanumerico e lo mostra insieme a un link.
- L'utente apre il link su un computer o smartphone e inserisce il codice.
- Il server invia un token di accesso al dispositivo, che si autentica.
I phisher sfruttano questo flusso legittimo in modo subdolo. Inviano un'email che sembra provenire da un collega di fiducia o da un superiore, spesso tramite WhatsApp, Signal o Microsoft Teams. Nel messaggio chiedono di "verificare l'accesso" o di "autorizzare un nuovo dispositivo", e forniscono un codice. La vittima, credendo di stare usando la pagina di login ufficiale di Microsoft, inserisce il codice su microsoft.com/devicelogin (un sito reale). Quello che non sa è che il codice è stato generato da un'applicazione controllata dall'attaccante. Una volta inserito, il cybercriminale riceve un token OAuth valido che gli consente di accedere all'account Microsoft 365 della vittima.
Perché è più pericoloso del phishing tradizionale
Questo attacco è particolarmente insidioso per tre ragioni. Primo, non richiede di rubare la password o intercettare un codice di verifica a due fattori. Il token OAuth è una credenziale diversa, più difficile da monitorare. Secondo, il flusso di autenticazione è completamente legittimo: il codice viene inserito sul sito ufficiale di Microsoft, quindi i sistemi di sicurezza faticano a riconoscere il problema. Terzo, una volta ottenuto l'accesso, l'attaccante può registrare un dispositivo rogue sull'account, mantenendo l'accesso anche se la vittima cambia la password.
Secondo Push Security, gli attacchi di device code phishing sono aumentati di 37 volte nel 2024. Barracuda ha rilevato 7 milioni di attacchi in quattro settimane. Almeno dieci piattaforme di phishing-as-a-service e kit privati supportano questa tecnica, rendendo gli attacchi accessibili anche a criminali meno sofisticati.
Una volta dentro l'account, gli attaccanti possono accedere a email, calendario, OneDrive e a tutte le applicazioni collegate tramite SSO (Single Sign-On), come Salesforce, Google Workspace, Dropbox, Adobe, Slack e Zendesk. Per le aziende, significa potenziale furto di dati sensibili, spionaggio industriale e compromissione di catene di fornitura.
Cosa aspettarsi nei prossimi mesi
Gli indicatori da osservare sono chiari. Primo, il volume degli attacchi continuerà a crescere finché le difese non miglioreranno. Kaspersky, Proofpoint e altri vendor di sicurezza stanno aggiornando i loro sistemi di rilevamento, ma il lag tra scoperta e protezione rimane significativo. Secondo, Microsoft sta sviluppando contromisure, ma non ha ancora comunicato dettagli pubblici. Terzo, gli strumenti di phishing come SquarePhish2 (che automatizza il flusso OAuth tramite codici QR) continueranno a evolversi e a diffondersi.
Per gli utenti aziendali, le raccomandazioni sono semplici ma critiche: diffidare di richieste inaspettate di autorizzazione, verificare direttamente con il collega prima di inserire codici, e monitorare i dispositivi registrati sull'account Microsoft (sezione "Dispositivi" nelle impostazioni). Per le organizzazioni, implementare il Conditional Access di Azure AD, abilitare notifiche per nuovi accessi e limitare le autorizzazioni OAuth sono passi essenziali. Microsoft ha anche consigliato di disabilitare il device code flow dove non è necessario.
L'attacco è un promemoria che la sicurezza non è una feature, ma un processo continuo di adattamento tra difensori e minacce.
📰 Fonti
- Punto Informatico — Furto degli account Microsoft con Device Code Phishing
- bleepingcomputer.com — Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing
- bleepingcomputer.com — Hackers target Microsoft Entra accounts in device code vishing attacks
- arstechnica.com — What is device code phishing, and why are Russian spies so successful at it?
- itwire.com — Device codes are the new frontier for phishing as Barracuda detects 7 million attacks in four weeks
- infosecurity-magazine.com — OAuth Device Code Phishing Campaigns Surge Targets Microsoft 365