L'attacco che non ruba la tua password. Ti chiede educatamente il permesso di leggere le tue email — e tu glielo dai, senza rendertene conto.
Il consent phishing e un attacco che sfrutta il sistema di autorizzazioni OAuth — quello usato da Microsoft 365, Google Workspace e decine di altri servizi per far comunicare le app tra loro.
Sai quando installi un'app e ti compare la schermata “Questa applicazione vuole accedere alla tua email, ai tuoi contatti e al tuo calendario”? Nel consent phishing, quella schermata e reale. E' una vera pagina di Microsoft o Google. Ma l'app che chiede il permesso e malevola.
La differenza con l'OAuth phishing classico? Sono strettamente correlati, ma il consent phishing si concentra specificamente sulla fase di “consenso”: la schermata in cui tu clicchi “Accetta”. Non c'e nessuna pagina di login falsa. Non rubi nessuna password. Eppure l'attaccante ottiene accesso completo.
Ecco il flusso passo per passo:
Ricevi un'email apparentemente legittima: un invito a collaborare su un documento, una richiesta di accesso a un tool aziendale, o una notifica di SharePoint. Il link nell'email punta a una pagina di autorizzazione OAuth reale di Microsoft o Google.
Cliccando il link, ti trovi davanti alla schermata di autorizzazione ufficiale. Non e' una pagina falsa: e' la vera pagina di Microsoft o Google. L'app chiede permessi come 'Leggi la tua posta', 'Accedi ai tuoi contatti', 'Invia email per tuo conto'.
Tu clicchi 'Accetta' pensando di autorizzare un tool legittimo. In realta' stai concedendo a un'app controllata dall'attaccante il permesso di leggere, inviare e cancellare le tue email. Senza limiti di tempo.
L'app malevola ora ha un token OAuth che le da' accesso continuo alla tua casella. Cambiare la password non serve a nulla: il token funziona indipendentemente. L'attaccante legge le tue email, le inoltra, e puo' inviare messaggi a tuo nome.
Il consent phishing e uno degli attacchi piu difficili da rilevare e da risolvere. Ecco perche:
password rubate: l'MFA non ti protegge, perche non serve nessuna credenziale
accesso continuo: il token OAuth non scade finche non lo revochi manualmente
legittima: la schermata di consenso e quella vera di Microsoft o Google
L'autenticazione multi-fattore protegge il login. Ma qui non c'e nessun login: l'attaccante non ha bisogno della tua password. Ha il tuo consenso, che vale di piu.
Dopo un account takeover tradizionale, cambi la password e sei al sicuro. Con il consent phishing, devi trovare e revocare il token OAuth. Molti non sanno nemmeno dove cercare.
Le due piattaforme piu colpite sono Microsoft 365 e Google Workspace, proprio perche hanno ecosistemi di app vastissimi:
L'attaccante registra un'app Azure AD con un nome credibile (“SharePoint Viewer”, “Teams Integration”). La pagina di consenso e quella ufficiale di Microsoft. I permessi richiesti includono Mail.Read, Mail.Send e Contacts.Read. Scopri come proteggerti nella nostra guida all'integrazione Office 365.
L'app viene pubblicata su Google Cloud con un nome ingannevole. La schermata di consenso OAuth di Google mostra i permessi richiesti, ma pochi utenti leggono davvero cosa stanno autorizzando. Un click su “Consenti” e l'attaccante ha accesso a Gmail, Drive e Calendar.
La difesa contro il consent phishing richiede azioni sia tecniche che organizzative:
MailSniper agisce prima che il click su “Accetta” avvenga, bloccando le email che contengono link a flussi OAuth malevoli:
MailSniper analizza ogni URL nelle email in arrivo. Se un link punta a un flusso di autorizzazione OAuth con app non verificate o con permessi eccessivi, lo blocca e avvisa l'utente.
Il database di threat intelligence di MailSniper include gli ID delle app OAuth malevole gia' segnalate. Se un'email contiene un link a una di queste app, viene bloccata automaticamente.
MailSniper verifica i permessi che l'app richiedera'. Se un'app chiede Mail.ReadWrite + Mail.Send + Contacts.Read su un invito apparentemente innocuo, il messaggio viene flaggato come sospetto.
Se un account aziendale inizia a inviare email con link OAuth sospetti verso altri utenti interni, MailSniper lo rileva e blocca la propagazione dell'attacco.
L'attacco che sfrutta il protocollo OAuth per ottenere accesso. Il consent phishing ne e' una variante specifica.
Il risultato finale: l'attaccante controlla il tuo account tramite token OAuth invece che con la password.
L'attacco tradizionale alle password. Il consent phishing lo rende obsoleto: non serve rubare credenziali.