Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
Nel primo trimestre 2026, circa il 43% degli account compromessi attraverso tecniche AiTM (Adversary-in-the-Middle) non è stato utilizzato per rubare dati sensibili. Invece, è diventato una piattaforma di lancio per campagne spam massive.
Chi: Gruppi cybercriminali organizzati, spesso operanti tramite modelli Phishing-as-a-Service (PhaaS) come "Caffeine" o "Robin Banks", che noleggano kit AiTM anche a operatori poco esperti.
Cosa: Attacchi che intercettano token di sessione e cookie di autenticazione, bypassando completamente l'MFA tradizionale, seguiti dall'uso fraudolento dell'account come "nodo di transito" per distribuire spam.
Quando: Trend in accelerazione costante dal quarto trimestre 2025, con picco registrato tra gennaio e marzo 2026. I report di settore indicano un aumento del 300% di questa specifica tipologia di abuse rispetto al 2024.
Come: Utilizzo di proxy phishing (reverse proxy) che si frappongono tra la vittima e il servizio email legittimo (Microsoft 365, Google Workspace), catturando in tempo reale le credenziali e i cookie di sessione post-MFA.
Perché: Doppia monetizzazione. Prima la vendita dell'accesso compromesso su forum underground, poi l'utilizzo dell'infrastruttura reputazionale "pulita" dell'azienda vittima per far passare filtri antispam e raggiungere nuove vittime con payload malevoli.
L'evoluzione del phishing ha superato da tempo la semplice raccolta di password. I kit AiTM moderni non clonano più le pagine di login: le inoltrano. Quando clicchi su un link malevolo, il tuo browser non vede una copia finta di Office 365. Vede il vero server Microsoft, passato attraverso un proxy controllato dall'attaccante.
Il meccanismo del proxy
L'attaccante configura un server intermedio (spesso su infrastrutture cloud compromesse o servizi di hosting bulletproof). Quando inserisci le credenziali e completi l'MFA (sia esso un codice SMS, una notifica push o un token hardware), il proxy cattura non solo username e password, ma soprattutto il cookie di sessione. Questo cookie è la "chiave digitale" che il tuo browser usa per dimostrare a Microsoft o Google che sei già autenticato.
Una volta in possesso di questo cookie, l'attaccante può importarlo nel proprio browser e accedere alla tua casella email, ai tuoi documenti OneDrive, ai tuoi contatti, senza dover mai reinserire la password o affrontare un secondo fattore di autenticazione. Dal punto di vista dei sistemi aziendali, l'accesso appare legittimo: proviene da un browser riconosciuto, con un token valido, spesso dalla stessa area geografica della vittima se il proxy è configurato con attenzione.
MITRE ATT&CK Mapping
Questa catena di attacco mappa su diverse tecniche del framework MITRE ATT&CK:
Il pivot critico: dall'accesso allo spam
Ecco dove la minaccia si distingue dalle campagne tradizionali. Invece di scaricare immediatamente i dati o chiedere un riscatto, l'attaccante spesso configura regole di inoltro nascoste (auto-forwarding) o inizia a inviare email di spam direttamente dalla casella compromessa. Perché? Perché i filtri antispam dei destinatari vedono arrivare una mail da un dominio aziendale consolidato, con storico di reputazione positiva, spesso con comunicazioni precedenti legittime. Questo "trust hijacking" permette ai payload di arrivare in posta in arrivo invece che nello spam.
I kit Phishing-as-a-Service hanno reso questa tecnica accessibile anche a criminali con scarse competenze tecniche. Con poche centinaia di dollari, un operatore può acquistare accesso a pannelli point-and-click che configurano automaticamente i proxy, raccolgono i cookie e persino organizzano l'invio massivo di email verso le liste di contatti rubate.
La minaccia colpisce indistintamente organizzazioni di ogni dimensione, ma con modalità e impatti diversi. Le PMI risultano particolarmente vulnerabili non per mancanza di dati preziosi, ma per la scarsa visibilità sui log di autenticazione e sulla gestione delle sessioni attive.
Settori a rischio elevato
Il settore sanitario e quello dell'istruzione registrano picchi di compromissione. Le strutture sanitarie mantengono liste contatti estese (pazienti, fornitori, enti assicurativi) che diventano bersagli prelibati per campagne di spear-phishing successive. Le università, con account studenti e docenti spesso poco controllati, offrono ampie superfici di attacco.
Le aziende di servizi professionali (commercialisti, avvocati, consulenti) subiscono danni reputazionali enormi: quando i loro clienti ricevono spam dal dominio del professionista, la fiducia si incrina immediatamente.
Classificazione del rischio per tipologia organizzativa
| Tipo Organizzazione | Livello Rischio | Fattori Critici |
|---|---|---|
| PMI 10-50 utenti, MFA basato su SMS/App | Alto | Mancanza di team SOC interni, visibilità limitata su sessioni attive, nessuna policy di Conditional Access avanzata |
| Enterprise con autenticazione legacy | Medio-Alto | Presenza di protocolli IMAP/POP3 non protetti, sessioni a lunga durata, integrazioni obsolete con sistemi terzi |
| Sanità e Ricerca | Critico | Dati sensibili, requisiti di compliance stringenti (GDPR, NIS2), dipendenza da comunicazioni email urgenti che riducono la vigilanza |
| Istruzione (Scuole/Università) | Alto | Utenti numerosi e eterogenei, formazione sulla sicurezza variabile, spesso budget limitati per strumenti di difesa avanzati |
| Settore Finanziario con FIDO2 | Medio | Resilienza maggiore grazie a MFA phishing-resistant, ma target di alto valore che attira attaccanti sofisticati |
La geografia mostra concentrazione in Europa e Nord America, dove la penetrazione di Microsoft 365 e Google Workspace è massiccia e dove i domini aziendali godono di alta reputazione, rendendo il "reputation abuse" particolarmente efficace.
Per comprendere l'evoluzione, è utile confrontare l'attuale ondata AiTM con le tecniche precedenti.
Phishing tradizionale (2018-2022)
Il modello classico prevedeva la clonazione di pagine di login statiche. L'attaccante raccoglieva username e password, poi tentava di usarle. L'introduzione diffusa dell'MFA ha reso questa tecnica largamente inefficace: anche con la password rubata, senza il secondo fattore l'accesso era bloccato. Il mercato underground si è quindi spostato verso la vendita di "combo" (email+password) per credential stuffing, con margini decrescenti.
Pass-the-Cookie e token theft (2022-2024)
L'evoluzione ha visto l'emergere di malware info-stealer (RedLine, Raccoon) capaci di rubare cookie direttamente dai browser infetti. Tuttavia, questo richiedeva l'esecuzione di codice malevolo sul endpoint, un passo complesso e rilevabile. L'AiTM moderno elimina questa necessità: il cookie viene rubato durante una sessione di phishing legittima, senza mai toccare il disco del computer della vittima.
L'abuso dell'infrastruttura: la novità del 2026
La svolta qualitativa degli ultimi mesi è l'utilizzo sistematico degli account compromessi come "infrastructure-as-a-service" per il spam. Precedentemente, un account rubato veniva "consumato" rapidamente: accesso, esfiltrazione dati, eventuale ransomware. Oggi, l'attaccante lo "noleggia" o lo usa direttamente per settimane come piattaforma di invio, sfruttando la "reputazione del mittente" (sender reputation) che i sistemi di posta assegnano ai domini storici.
Questo crea un effetto valanga: ogni account compromesso diventa un moltiplicatore di nuove compromissioni, rendendo la minaccia auto-sostenente e particolarmente difficile da eradicare con il semplice reset della password.
La difesa contro gli AiTM richiede uno spostamento di paradigma: non basta più proteggere la porta d'ingresso (la password), ma è necessario monitorare il comportamento delle sessioni attive e limitare ciò che una sessione compromessa può fare.
Priorità Immediata (0-7 giorni)
Breve Termine (1-4 settimane)
Medio Termine (1-6 mesi)
Strumenti suggeriti
Oltre alle funzionalità native di Microsoft e Google, considera l'uso di strumenti di Cloud Access Security Broker (CASB) per monitorare le sessioni, e soluzioni di email security che analizzino il comportamento del mittente, non solo il contenuto del messaggio. Per la protezione inbound e outbound delle comunicazioni, valuta piattaforme come MailSniper che integrano analisi semantica AI e sandboxing per rilevare account compromessi attraverso pattern di invio anomali.
Nei prossimi tre mesi, prevediamo l'automazione completa di questa catena di attacco. Gli strumenti di intelligenza artificiale generativa permetteranno di creare landing page AiTM specifiche per settore verticale (finte pagine di login di banche, ospedali, università specifiche) in pochi minuti, rendendo il phishing più convincente che mai.
Parallelamente, l'uso degli account compromessi evolverà dal semplice spam verso il Business Email Compromise (BEC) interno: richieste di pagamento urgenti inviate dal "collega" fidato il cui account è stato silenziosamente compromesso da settimane. La linea di difesa si sposterà inevitabilmente dalla prevenzione dell'accesso alla validazione continua della sessione: il "never trust, always verify" applicato ogni singolo minuto a ogni singola email inviata.
Il rischio non è più solo perdere i dati. È diventare inconsapevolmente complici di attacchi verso altri, con conseguenze legali e reputazionali che possono superare di gran lunga il costo di un semplice furto di credenziali.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.