Redazione MailSniper
Autore
Hai configurato l'autenticazione a due fattori su tutti gli account Microsoft 365 della tua azienda. Le password sono complesse e uniche. Hai persino attivato le chiavi FIDO2 per i dirigenti. Sei al sicuro, giusto?
No. Perche' esiste un attacco che bypassa tutto questo. Non ha bisogno della tua password. Non ha bisogno del tuo codice MFA. Non ha bisogno di nulla, tranne il tuo click su un pulsante "Accetta".
Si chiama consent phishing. Ed e' l'attacco che sta colpendo le aziende su Microsoft 365 con una frequenza sempre maggiore.
Il consent phishing sfrutta il sistema di autorizzazione OAuth di Microsoft 365. Lo stesso sistema che usi quando un'app ti chiede "Vuoi accedere con il tuo account Microsoft?" e ti mostra una lista di permessi.
L'attacco segue un percorso preciso.
Ricevi un'email che sembra provenire da un collega, dal reparto IT o da un servizio Microsoft. L'oggetto e' qualcosa come:
Il link nell'email non porta a una pagina di login falsa (come nel phishing tradizionale). Porta alla vera pagina di autorizzazione di Microsoft.
Cliccando il link, si apre una finestra di Microsoft (autentica, sul dominio login.microsoftonline.com) che ti chiede di autorizzare un'applicazione. Il nome dell'app e' qualcosa di innocuo: "Document Viewer Pro", "Meeting Notes Sync", "Company Portal Update".
Sotto il nome, una lista di permessi richiesti:
La pagina e' autentica. L'URL e' quello di Microsoft. Il certificato SSL e' valido. Tutto sembra legittimo.
La vittima clicca "Accetta". In quel momento, l'applicazione malevola riceve un token OAuth che le garantisce accesso permanente all'account — senza password, senza MFA, senza limiti di tempo (finche' il token non viene revocato).
Con il token OAuth, l'attaccante puo':
Tutto questo avviene in modo completamente silenzioso. Non ricevi notifiche. Non vedi accessi sospetti nella cronologia. Il token funziona in background, giorno e notte.
Questo e' il punto che confonde di piu'. "Ma io ho l'autenticazione a due fattori!" Certo. E non serve a nulla contro il consent phishing.
L'MFA protegge il processo di login — verifica che chi sta inserendo la password sia davvero tu. Ma nel consent phishing non c'e' nessun login da parte dell'attaccante. Sei tu che fai login (con la tua password e il tuo MFA) e poi concedi i permessi all'app malevola. L'attaccante riceve un token che non richiede ulteriore autenticazione.
E' come se avessi la porta blindata migliore del mondo, ma poi invitassi il ladro a entrare e gli dessi le chiavi di casa.
Il consent phishing su Microsoft 365 e' in forte crescita. I dati del 2025-2026 mostrano:
Anche se la pagina di autorizzazione e' autentica, ci sono segnali che possono rivelare l'inganno.
Nome dell'app sconosciuto. Se il reparto IT non ti ha comunicato l'adozione di una nuova app, qualsiasi richiesta di autorizzazione dovrebbe insospettirti. Le app aziendali legittime vengono distribuite dall'IT, non arrivano via email.
Permessi eccessivi. Un'app per visualizzare documenti non ha bisogno di leggere le tue email e inviare messaggi per tuo conto. Se i permessi richiesti sembrano sproporzionati rispetto alla funzione dichiarata, fermati.
Publisher non verificato. Nella pagina di autorizzazione, sotto il nome dell'app, c'e' il nome del publisher. Se dice "Publisher non verificato" o mostra un'organizzazione sconosciuta, non accettare.
Arriva via email inattesa. Le richieste di autorizzazione OAuth legittime non arrivano via email da colleghi. Arrivano durante l'installazione di un'app o dopo una comunicazione ufficiale dal reparto IT.
Se sospetti di aver autorizzato un'app malevola, agisci immediatamente.
Per l'utente:
Per l'amministratore IT:
Dopo la revoca, controlla se l'attaccante ha creato regole di inoltro nella casella email (un classico: inoltro silenzioso di tutte le email a un indirizzo esterno). Vai su Outlook > Impostazioni > Posta > Regole e rimuovi qualsiasi regola sospetta.
Bloccare il consent phishing richiede un approccio diverso dal filtraggio antispam tradizionale. L'email in se' puo' sembrare perfettamente legittima — nessun allegato malevolo, nessun link a siti di phishing noti. Il link porta alla vera pagina di Microsoft.
MailSniper adotta una strategia multi-livello per intercettare questi attacchi.
Analisi del contesto OAuth. Quando un'email contiene un link di autorizzazione OAuth verso Microsoft 365, MailSniper analizza i parametri dell'URL: l'ID dell'applicazione, i permessi richiesti (scope), l'URI di redirect. Se l'app non e' nella lista delle applicazioni approvate dall'organizzazione, l'email viene flaggata.
Database di app malevole note. MailSniper mantiene un database aggiornato di application ID associati a campagne di consent phishing. Se il link punta a un'app gia' segnalata, l'email viene bloccata direttamente.
Analisi comportamentale del mittente. Se un collega che non ha mai condiviso app o documenti via OAuth improvvisamente invia un link di autorizzazione, il sistema rileva l'anomalia e aggiunge un warning visibile all'email.
Integrazione con la policy Microsoft 365. MailSniper puo' integrarsi con le policy di Azure AD per verificare se l'app richiesta e' stata pre-approvata dall'amministratore. In caso contrario, l'email viene messa in quarantena con una spiegazione per l'utente.
Scopri di piu' sulla nostra integrazione con Microsoft 365 — protezione consent phishing inclusa.
La prevenzione passa da tre azioni concrete.
1. Limitare il consenso utente in Azure AD. L'amministratore Microsoft 365 puo' configurare Azure AD per impedire agli utenti di autorizzare app non approvate. Vai su Azure AD > Applicazioni aziendali > Impostazioni di consenso e seleziona "Non consentire il consenso dell'utente" o "Consentire il consenso solo per app di publisher verificati".
2. Creare una whitelist di app approvate. Ogni app che l'azienda usa legittimamente viene pre-approvata dall'IT. Qualsiasi altra richiesta di autorizzazione viene bloccata o richiede l'approvazione dell'amministratore.
3. Formare i dipendenti. Il consent phishing funziona perche' i dipendenti non sanno cosa sia. Una breve sessione formativa che spiega come funziona l'autorizzazione OAuth e perche' non bisogna mai accettare richieste di permessi da app sconosciute riduce drasticamente il rischio.
Il consent phishing e' l'evoluzione naturale del phishing in un mondo dove l'MFA ha reso il furto di password meno efficace. Gli attaccanti si sono adattati: non rubano piu' le credenziali, ti convincono a concedere l'accesso volontariamente.
La buona notizia? E' un attacco che si puo' prevenire con consapevolezza, configurazione corretta di Microsoft 365 e un gateway email che sappia riconoscere i link di autorizzazione OAuth sospetti.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl fileless malware non lascia tracce su disco: vive in memoria, sfrutta PowerShell e macro VBA, e bypassa gli antivirus tradizionali. Ecco come arriva via email e come fermarlo.
LeggiUn attaccante compromette il tuo account e imposta una regola di inoltro invisibile. Anche dopo il cambio password, continua a leggere ogni tua email. Ecco come difenderti.
LeggiGli attacchi watering hole via email colpiscono siti web di settore per poi inviare email mirate alle vittime. Ecco come funzionano e come MailSniper ti protegge.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.