Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
ATHR (Advanced Threat Humanoid Replication) è una piattaforma di cybercrime emersa a gennaio 2026 che rappresenta un salto qualitativo nel panorama delle minacce vocali. A differenza dei tradizionali attacchi di vishing che richiedono operatori umani dedicati, ATHR automatizza l'intera catena d'attacco utilizzando agenti vocali AI capaci di condurre conversazioni convincing in tempo reale.
La piattaforma supporta due modalità operative: una fully automated che utilizza esclusivamente voci sintetiche AI, e una ibrida che combina agenti AI con operatori umani per le fasi più complesse del social engineering. Il target primario è il furto di credenziali aziendali, con particolare focus su account Microsoft 365 e Google Workspace.
L'analisi delle prime rilevazioni mostra un volume stimato di 50.000+ tentativi di vishing nelle prime due settimane di attività, con tassi di successo superiori del 340% rispetto ai metodi tradizionali basati su IVR (Interactive Voice Response). La piattaforma è disponibile come servizio (VaaS), abbattendo significativamente la barriera d'ingresso per attori meno sofisticati.
ATHR inizia tipicamente con una email di phishing classica che funge da entry point. Il messaggio induce la vittima a credere di dover verificare un'attività sospetta sul proprio account, richiedendo una verifica telefonica urgente. Il numero di contatto fornito reindirizza direttamente alla piattaforma ATHR.
Una volta connesso, l'agente AI avvia una conversazione strutturata che segue script dinamici capaci di adattarsi alle risposte della vittima. Gli script includono:
Riferendosi al framework MITRE ATT&CK, ATHR opera attraverso le seguenti tecniche:
| ID MITRE | Tecnica | Implementazione ATHR |
|---|---|---|
| T1566 | Phishing | Email iniziale come trigger |
| T1593 | Search Open Websites | OSINT per profilazione vittima |
| T1592 | Gather Victim Host Information | Raccolta informazioni aziendali |
| T1535 | Unused/Unsupported Web Backups | Abuso di servizi cloud legittimi |
| T1078 | Valid Accounts | Credential harvesting |
| T1114 | Email Collection | Accesso alle caselle compromesse |
La piattaforma utilizza tecniche di spoofing caller ID per mascherare l'origine delle chiamate, rendendo difficile il tracciamento tradizionale. Gli agenti AI sono addestrati su conversazioni reali, garantendo un livello di naturalezza che supera i sistemi IVR tradizionali.
L'analisi dei primi target mostra una concentrazione verso settori con:
Settori ad alto rischio:
Le prime rilevazioni indicano una concentrazione su organizzazioni con sede in:
Il targeting geografico riflette la lingua degli agenti AI (prevalentemente inglese), ma versioni in spagnolo, tedesco e francese sono già state rilevate.
| Dimensione | Livello Rischio | Fattori Chiave |
|---|---|---|
| Enterprise (>1000 dip) | Alto | Superficie d'attacco estesa, processi formalizzati ma vulnerabili al vishing |
| Mid-market (100-1000) | Molto Alto | Meno risorse di sicurezza, forte dipendenza da phone-based auth |
| PMI (<100) | Alto | Bassa consapevolezza, spesso nessun training anti-vishing |
| Micro-imprese (<10) | Medio | Target minori, ma credenziali spesso riutilizzate |
La vulnerabilità maggiore si concentra nelle organizzazioni mid-market dove l'adozione di Microsoft 365 è massima ma le risorse dedicate alla security sono limitate. Il tasso di conversione (da contatto a credenziali rubate) è stimato al 12,3% contro il 3,6% del vishing tradizionale.
Il vishing ha attraversato tre fasi evolutive:
| Generazione | Periodo | Caratteristiche |
|---|---|---|
| I - Manuale | 2005-2015 | Operatori umani, bassa automazione |
| II - Semi-auto | 2015-2024 | IVR pre-registrati, script fissi |
| III - AI (ATHR) | 2026+ | Agenti vocali dinamici, apprendimento continuo |
ATHR rappresenta il passaggio alla terza generazione. La differenza fondamentale è la capacità degli agenti AI di:
Rispetto a tecniche documentate come "device code phishing" o "callback phishing", ATHR introduce:
Il confronto con il phishing tradizionale evidenzia un dato critico: il tasso di click su link di phishing è in calo grazie alla maggiore consapevolezza, ma il canale vocale rimane largamente non protetto. Solo il 12% delle aziende italiane ha policy specifiche per la verifica telefonica outbound.
Nei prossimi 3-6 mesi è attesa una proliferazione di piattaforme simili ad ATHR. La democratizzazione del vishing AI abbasserà la soglia per attori meno tecnici, aumentando significativamente il volume degli attacchi.
Gli agenti vocali diventeranno presto indistinguibili da operatori umani, rendendo obsolete le tecniche di verifica basate su "falsa cognizione" (chiedere informazioni che solo un umano conoscerebbe). Le organizzazioni dovranno adottare approcci Zero Trust che non dipendono dal canale di comunicazione ma dalla verifica continua dell'identità.
La difesa efficace richiederà un cambio di paradigma: non più "non fidarti di chi ti chiede dati" ma "verifica sempre, attraverso canali indipendenti, indipendentemente da chi ti contatta."
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.