Passa al contenuto principale

Kaspersky: una campagna di phishing sfrutta il meccanismo di autenticazione di Microsoft

6 luglio 2026

Kaspersky ha pubblicato un report su una campagna di phishing in cui gli autori degli attacchi sfruttano il meccanismo di autenticazione di Microsoft. La campagna, condotta dall’inizio di aprile fino alla metà di maggio 2026, si presentava come una comunicazione proveniente da uno studio legale e aveva l’obiettivo di sottrarre le credenziali delle vittime per accedere ai loro dati. In precedenza, Kaspersky aveva già segnalato campagne di phishing che sfruttavano Google Tasks, Google Forms, Bubble e Amazon Simple Email Service.

Il meccanismo di autenticazione di Microsoft, noto come Device Authorization Grant di OAuth 2.0, consente agli utenti di accedere ai propri account Microsoft su dispositivi con funzionalità di input limitate, come le smart TV, inserendo un codice o scansionando un codice QR tramite un altro dispositivo, ad esempio uno smartphone o un PC. Questa funzionalità, se da un lato semplifica l’accesso, dall’altro offre agli hacker l’opportunità di sfruttare il flusso di autenticazione, dirottando potenzialmente gli account e mantenendone il controllo attraverso token di aggiornamento rubati.

Gli autori dell’attacco hanno inviato alle vittime e-mail apparentemente provenienti da uno studio legale, contenenti in allegato un file PDF protetto da password. Dopo aver aperto il documento e inserito la password, alle vittime veniva mostrata una pagina web con un elenco di documenti. Per visualizzarli era necessario cliccare su un link che rimandava a un indirizzo Microsoft legittimo. Tuttavia, i parametri dell’URL erano configurati in modo da reindirizzare l’utente, dopo l’apertura della pagina Microsoft, verso una risorsa di phishing.

fg

ch

La pagina di phishing presentava diversi CAPTCHA, presumibilmente utilizzati per filtrare i bot di sicurezza impiegati per verificare la presenza di minacce sui siti web. Una volta superati i CAPTCHA, l’utente veniva reindirizzato a una pagina finale in cui gli veniva chiesto di copiare un codice monouso. Si trattava dello stesso codice che gli autori dell’attacco avevano già ottenuto avviando autonomamente la procedura di accesso.

vbCliccando sul codice monouso visualizzato, questo veniva automaticamente copiato negli appunti e, contemporaneamente, l’utente veniva reindirizzato alla pagina ufficiale e legittima di autenticazione Microsoft, dove gli veniva richiesto di incollare e inserire il codice.

Dopo che l’utente aveva inserito il codice, il processo di autenticazione a più fattori si concludeva e gli aggressori entravano in possesso dei token della sessione. Ciò consentiva loro di leggere e inviare e-mail dalla casella di posta della vittima, sottrarre file da OneDrive e accedere alle conversazioni su Teams.

Gli autori delle minacce non ricorrono sempre al furto di credenziali o all’installazione di malware per accedere a dati sensibili: possono infatti sfruttare a fini malevoli strumenti legittimi. Pertanto, gli utenti devono prestare attenzione non solo quando visitano siti sospetti, ma anche quando navigano su piattaforme ufficiali. Consigliamo ai team aziendali di valutare la necessità operativa del Device Code Flow all’interno della propria infrastruttura aziendale. Se questo meccanismo di autenticazione non è necessario per le operazioni quotidiane, dovrebbe essere disabilitato”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.

Maggiori informazioni sono disponibili in un articolo pubblicato su Securelist.

Per garantire una difesa completa contro gli attacchi di phishing basati sul "Device Code", le organizzazioni dovrebbero implementare solide soluzioni di sicurezza per la posta elettronica. Per gli utenti aziendali, Kaspersky Security for Mail Server, grazie ai suoi meccanismi di difesa multilivello basati su algoritmi di machine learning, offre una protezione efficace contro un’ampia gamma di minacce in continua evoluzione, contribuendo a ridurre i rischi informatici. Per gli utenti privati, Kaspersky Premium mette a disposizione funzionalità anti-phishing basate sull’intelligenza artificiale, progettate per aiutare a prevenire gli attacchi di phishing e migliorare la sicurezza informatica complessiva.

Kaspersky: una campagna di phishing sfrutta il meccanismo di autenticazione di Microsoft

Kaspersky ha pubblicato un report su una campagna di phishing in cui gli autori degli attacchi sfruttano il meccanismo di autenticazione di Microsoft. La campagna, condotta dall’inizio di aprile fino alla metà di maggio 2026, si presentava come una comunicazione proveniente da uno studio legale e aveva l’obiettivo di sottrarre le credenziali delle vittime per accedere ai loro dati. In precedenza, Kaspersky aveva già segnalato campagne di phishing che sfruttavano Google Tasks, Google Forms, Bubble e Amazon Simple Email Service.
Kaspersky logo

Informazioni su Kaspersky

Kaspersky è un'azienda globale di sicurezza informatica e privacy digitale fondata nel 1997. Innovando il settore con un approccio di Cyber Immunity, Kaspersky protegge consumatori, aziende, infrastrutture critiche e governi dalle minacce informatiche, contando oltre un miliardo di dispositivi protetti fino ad oggi.

Kaspersky garantisce Cybersecurity True to Business, concentrandosi sulla fornitura di risultati chiari, sulla protezione dei ricavi, sull'alleggerimento dei carichi di lavoro e sulla prevenzione dei tempi di inattività. La profonda esperienza di Kaspersky nella threat intelligence e nella sicurezza si trasforma costantemente in soluzioni e servizi innovativi per le organizzazioni di ogni dimensione, dalle piccole alle grandi imprese, unendo tecnologie di protezione basate sull'IA comprovate con una gestione semplice e il supporto di esperti.

Riconosciuta in test indipendenti e considerata attendibile da milioni di persone in tutto il mondo e da quasi 200.000 organizzazioni, Kaspersky aiuta a rilevare le minacce prima, rispondere più velocemente e operare con maggiore fiducia e libertà, proteggendo ciò che conta di più per i clienti. Ulteriori informazioni sul sito Web www.kaspersky.it.

Articolo correlato Comunicati Stampa