Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
Stai controllando i log del tuo gateway email e noti qualcosa di strano: diverse email in uscita verso URL n8n.io, alcune con payload sospetti. Il problema? Gli attacker hanno scoperto che possono usare n8n come infrastruttura di comando e controllo per le loro campagne.
Da ottobre 2025, ricercatori di sicurezza hanno documentato un aumento significativo di attacchi che sfruttano la piattaforma di automazione n8n. Il motivo è semplice: è legittima, gratuita, e i filtri di sicurezza la considerano attendibile.
Come funziona l'attacco:
Se stai leggendo questo articolo, probabilmente hai già visto nei tuoi log email strane verso n8n.io o hai notato un incremento anomalo di email sospette. Oppure vuoi prepararti prima che succeda.
Prima di iniziare, assicurati di avere:
Il primo passo è cercare nei tuoi log le email che contengono riferimenti a n8n. Ecco come farlo sui sistemi più comuni.
Se usi Postfix:
grep -i "n8n" /var/log/mail.log | grep -E "(outbound|incoming)" | head -50
Se usi Exchange (PowerShell):
Get-MessageTrackingLog -ResultSize 1000 | Where-Object {$_.MessageSubject -match "n8n" -or $_.Recipients -match "n8n.io"}
Se usi MailSniper:
Cerca nella quarantine o nei log di protezione inbound per URL contenenti:
n8n.ion8n.cloudworkflow-n8nCerca anche stringhe come:
webhookhttp + n8ncallbackUna volta identificata un'email sospetta, scarica gli header completi. Cerca questi elementi:
Received: from n8n-worker-xxxxx.herokuapp.com (10.x.x.x)
by mx.example.com with ESMTP;
Tue, 15 Apr 2025 14:32:00 +0200
X-Originating-IP: [54.x.x.x] # IP Heroku/n8n cloud
X-Mailer: n8n
Gli header da controllare:
Se la tua azienda non usa n8n per workflow legittimi, puoi bloccare tutto il traffico verso i domini n8n. Aggiungi questa regola al tuo gateway:
Configurazione Postfix (main.cf):
# Blocca domini n8n sconosciuti
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/n8n_block,
permit_mynetworks
File /etc/postfix/n8n_block:
n8n.io REJECT Untrusted n8n domain
n8n.cloud REJECT Untrusted n8n domain
*.n8n.io REJECT Untrusted n8n domain
Se usi MailSniper:
Configura una regola di blocco URL nel pannello admin:
://.n8n.io/*Se la tua azienda usa n8n per workflow interni, non puoi bloccare tutto. Devi segmentare:
Esempio di allowlist Postfix:
# /etc/postfix/n8n_allowed
company-n8n.example.com OK
internal-workflow.example.com OK
Non vuoi cercare manualmente ogni volta. Configura alert automatici:
Cron + logcheck:
# /etc/cron.d/n8n-alert
*/15 * * * * root grep -i "n8n" /var/log/mail.log | tail -5 >> /var/log/n8n-alert.log
Se hai un SIEM:
Query esempio per Splunk:
source=mail_logs | regex _raw="n8n\.(io|cloud)" | stats count by src_ip, subject | where count > 3
Ora che hai implementato le difese, verifica che funzionino correttamente.
Crea un'email con un link di test verso n8n.io e inviala al tuo indirizzo di test:
To: test@tuodominio.it
Subject: TEST n8n detection
Body: Clicca qui: https://n8n.io/test-phishing-attempt
L'email dovrebbe essere:
grep -i "n8n" /var/log/mail.log | tail -20
Dovresti vedere:
Se i tuoi utenti provano a inviare email contenenti link n8n sconosciuti:
grep "REJECT.*n8n" /var/log/mail.log
Dovresti vedere i tentativi bloccati con il codice di errore appropriato.
Sintomo: Email legittime che usano n8n vengono bloccate.
Soluzione: Aggiorna la allowlist con gli URL autorizzati. Controlla con il reparto IT se ci sono nuovi workflow n8n approvati.
Sintomo: Vedi domini come n8n-api.com o n8n-automation.io.
Soluzione: Usa regex più aggressive nel blocco:
smtpd_sender_restrictions =
check_sender_access pcre:/etc/postfix/n8n_block_regex,
permit_mynetworks
Con regex: /n8n/i
Sintomo: L'attacco è subdolo, non trovi tracce evidenti nei log.
Soluzione: Cerca pattern secondari:
Sintomo: I tuoi workflow n8n legittimi non funzionano più.
Soluzione: Separa le regole inbound da outbound. Usa smtpd_recipient_restrictions per il blocco in ricezione.
Gli attacchi che sfruttano piattaforme di automazione come n8n sono una realtà. I filtri tradizionali si fidano di domini "legittimi" — e gli hacker lo sanno.
La difesa non è complicata: analizza i log, identifica i pattern sospetti, blocca o segmenta il traffico. Se hai un'antispam cloud come MailSniper che include URL analysis in tempo reale, hai già un vantaggio — il sistema può rilevare e bloccare questi link prima che arrivino agli utenti.
Il punto chiave: non basta più bloccare lo spam. Devi analizzare il comportamento, non solo il contenuto. E devi farlo ora, prima che il prossimo dipendente clicchi su quel link apparentemente innocuo.
Hai già visto qualcosa di sospetto nei tuoi log? Fammi sapere nei commenti — o meglio, vai a controllare adesso.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.