Passkey al Telefono: la Truffa che Entra in
Nuovo attacco hacker: chiamate vocali finti IT richiedono enrollment passkey Microsoft Entra. Il CEO deve sapere perché questo metodo bypassa completamente le password e cosa fare subito.
LeggiTeam MailSniper
Autore
Il 7 luglio 2026, un ricercatore di sicurezza ha scoperto un server Python configurato in modo errato che esponeva tre distinte operazioni di phishing attive contro utenti Microsoft 365. Il comando responsabile: python3 -m http.server 8080 — lasciato in esecuzione con directory listing abilitato su una porta pubblica.
L'esposizione ha rivelato:
L'attacker ha commesso un errore banale: non ha disabilitato il directory listing predefinito di Python http.server. Invece di proteggere l'infrastruttura, l'ha resa accessibile a chiunque sapesse dove guardare.
Il server esponeva file di configurazione, log di attività e credenziali di sessione accumulate. Tre campagne di phishing attive contro organizzazioni non specificate sono state così esposte pubblicamente per un periodo stimato di 72-96 ore prima della scoperta.
Chi: Attore non identificato, probabilmente operatore singolo o piccolo gruppo criminale specializzato in credential harvesting.
Cosa: Tre operazioni di phishing Microsoft 365 con toolkit Evilginx.
Quando: Scoperto il 7 luglio 2026. Le operazioni erano attive da settimane.
Come: Server Python mal configurato su porta pubblica con directory listing abilitato.
Perché: L'errore di configurazione ha esposto l'infrastruttura. L'analisi dei file di log suggerisce che l'attacker non era consapevole dell'esposizione.
Le tre operazioni utilizzano tutte il medesimo vettore: email di phishing contenenti link a landing page che clonano la pagina di login Microsoft 365. Il toolkit Evilginx permette l'intercettazione in tempo reale delle credenziali e dei token MFA attraverso un attacco di tipo man-in-the-middle (MITM).
Il flusso d'attacco tipico:
microsft-login.com o sottodominio abuse di servizi legittimi)L'analisi dei file di configurazione esposti ha rivelato le seguenti tecniche, mappate al framework MITRE ATT&CK:
| TTP | Codice MITRE | Descrizione |
|---|---|---|
| Phishing: Spearphishing Link | T1566.002 | Link a landing page maligne in email mirate |
| Credentials from Password Stores | T1555 | Raccolta credenziali tramite Evilginx |
| OAuth Token Theft | T1552 | Furto token di sessione MFA |
| Exfiltration Over Web Service | T1041 | Esfiltrazione credenziali verso server C2 |
| Domain Registration: Lookalike | T1583.001 | Registrazione domini simili a obiettivi |
| SSL Certificate Acquisition | T1588.004 | Certificati SSL validi per aumentare credibilità |
Dall'analisi del server esposto:
microsft-, office--auth.comEvilginx è un toolkit di proxy inverso che permette attacchi MITM avanzati. A differenza del phishing tradizionale che raccoglie solo credenziali statiche, Evilginx:
La versione identificata era aggiornata (v3.x), suggerendo un operatore tecnicamente competente che però ha commesso un errore fondamentale nella configurazione del server di supporto.
Sulla base dei pattern di email e dei domini di destinazione ricostruiti:
L'analisi linguistica delle email di phishing suggerisce target primari in:
| Dimensione Organizzazione | Livello di Rischio | Fattori di Rischio |
|---|---|---|
| Enterprise (1000+ dip) | Alto | Account multipli compromessi, dati sensibili, superficie d'attacco ampia |
| Mid-market (100-999) | Alto | Spesso MFA debole o assente, bassa consapevolezza |
| PMI (10-99) | Medio-Alto | Risorse limitate per monitoraggio, account condivisi |
| Micro-imprese (<10) | Medio | Spesso nessun MFA, account personali usati per business |
Se le tre operazioni hanno operato per 4-6 settimane prima dell'esposizione:
Il phishing Microsoft 365 è evoluto significativamente:
| Periodo | Tecnica | Efficacia |
|---|---|---|
| 2015-2018 | Credenziali statiche | MFA blocca la maggioranza |
| 2019-2021 | Evilginx v1-v2 | Bypass MFA parziale |
| 2022-2024 | Evilginx v3 + AiTM | Bypass MFA completo |
| 2025-2026 | Phishing as a Service | Industrializzazione |
La scoperta del server esposto ricorda pattern simili:
Differenza chiave: Questo caso ha esposto tre operazioni distinte contemporaneamente, suggerendo un operatore che gestiva più campagne in parallelo o un servizio di phishing condiviso.
I dati di settore indicano:
L'errore di configurazione del server Python rappresenta quindi un pattern riconosciuto: gli attacker, concentrati sull'offensiva, trascurano le basi della sicurezza operativa.
Per la protezione email aziendale, è essenziale disporre di soluzioni che:
Tra le soluzioni disponibili, MailSniper offre protezione AI semantica con sandboxing allegati e URL analysis, ideale per organizzazioni che necessitano di difesa multilivello senza complessità gestionale.
Nei prossimi 3-6 mesi, prevediamo:
Le organizzazioni devono adottare un approccio Zero Trust per la posta elettronica, assumendosi che ogni email potenzialmente malevola possa compromettere account e dati. La combinazione di tecnologia avanzata, formazione mirata e policy di sicurezza rigide rappresenta l'unica difesa efficace contro minacce in continua evoluzione.
Fonti: The Hacker News, analisi tecnica proprietaria, dati di settore aggregati.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoNuovo attacco hacker: chiamate vocali finti IT richiedono enrollment passkey Microsoft Entra. Il CEO deve sapere perché questo metodo bypassa completamente le password e cosa fare subito.
LeggiHacker sospettati di legami cinesi hanno bucato Roundcube in università americane. Se gestisci questo webmail, devi verificare SUBITO se sei compromesso. Ecco come.
LeggiUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.