Kaspersky ha pubblicato un report su una campagna di phishing in cui gli autori degli attacchi sfruttano il meccanismo di autenticazione di Microsoft. La campagna, condotta dall’inizio di aprile fino alla metà di maggio 2026, si presentava come una comunicazione proveniente da uno studio legale e aveva l’obiettivo di sottrarre le credenziali delle vittime per accedere ai loro dati. In precedenza, Kaspersky aveva già segnalato campagne di phishing che sfruttavano Google Tasks, Google Forms, Bubble e Amazon Simple Email Service.
Il meccanismo di autenticazione di Microsoft, noto come Device Authorization Grant di OAuth 2.0, consente agli utenti di accedere ai propri account Microsoft su dispositivi con funzionalità di input limitate, come le smart TV, inserendo un codice o scansionando un codice QR tramite un altro dispositivo, ad esempio uno smartphone o un PC. Questa funzionalità, se da un lato semplifica l’accesso, dall’altro offre agli hacker l’opportunità di sfruttare il flusso di autenticazione, dirottando potenzialmente gli account e mantenendone il controllo attraverso token di aggiornamento rubati.
Gli autori dell’attacco hanno inviato alle vittime e-mail apparentemente provenienti da uno studio legale, contenenti in allegato un file PDF protetto da password. Dopo aver aperto il documento e inserito la password, alle vittime veniva mostrata una pagina web con un elenco di documenti. Per visualizzarli era necessario cliccare su un link che rimandava a un indirizzo Microsoft legittimo. Tuttavia, i parametri dell’URL erano configurati in modo da reindirizzare l’utente, dopo l’apertura della pagina Microsoft, verso una risorsa di phishing.


La pagina di phishing presentava diversi CAPTCHA, presumibilmente utilizzati per filtrare i bot di sicurezza impiegati per verificare la presenza di minacce sui siti web. Una volta superati i CAPTCHA, l’utente veniva reindirizzato a una pagina finale in cui gli veniva chiesto di copiare un codice monouso. Si trattava dello stesso codice che gli autori dell’attacco avevano già ottenuto avviando autonomamente la procedura di accesso.
Cliccando
sul codice monouso visualizzato, questo veniva automaticamente copiato negli
appunti e, contemporaneamente, l’utente veniva reindirizzato alla pagina
ufficiale e legittima di autenticazione Microsoft, dove gli veniva richiesto di
incollare e inserire il codice.
Dopo che l’utente aveva inserito il codice, il processo di autenticazione a più fattori si concludeva e gli aggressori entravano in possesso dei token della sessione. Ciò consentiva loro di leggere e inviare e-mail dalla casella di posta della vittima, sottrarre file da OneDrive e accedere alle conversazioni su Teams.
“Gli autori delle minacce non ricorrono sempre al furto di credenziali o all’installazione di malware per accedere a dati sensibili: possono infatti sfruttare a fini malevoli strumenti legittimi. Pertanto, gli utenti devono prestare attenzione non solo quando visitano siti sospetti, ma anche quando navigano su piattaforme ufficiali. Consigliamo ai team aziendali di valutare la necessità operativa del Device Code Flow all’interno della propria infrastruttura aziendale. Se questo meccanismo di autenticazione non è necessario per le operazioni quotidiane, dovrebbe essere disabilitato”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.
Maggiori informazioni sono disponibili in un articolo pubblicato su Securelist.
Per garantire una difesa completa contro gli attacchi di phishing basati sul "Device Code", le organizzazioni dovrebbero implementare solide soluzioni di sicurezza per la posta elettronica. Per gli utenti aziendali, Kaspersky Security for Mail Server, grazie ai suoi meccanismi di difesa multilivello basati su algoritmi di machine learning, offre una protezione efficace contro un’ampia gamma di minacce in continua evoluzione, contribuendo a ridurre i rischi informatici. Per gli utenti privati, Kaspersky Premium mette a disposizione funzionalità anti-phishing basate sull’intelligenza artificiale, progettate per aiutare a prevenire gli attacchi di phishing e migliorare la sicurezza informatica complessiva.