Non ti rubano la password. Ti convincono a dare i permessi a un'app malevola. E da quel momento hanno accesso permanente alla tua email, ai tuoi file, ai tuoi contatti. Senza che tu lo sappia.
L'OAuth phishing (chiamato anche consent phishing o illicit consent grant) e un attacco in cui il criminale non ruba la tua password. Fa qualcosa di piu furbo: ti convince ad autorizzare un'app malevola ad accedere al tuo account Microsoft 365 o Google Workspace.
Sai quando un'app ti chiede “Vuoi consentire a [NomeApp] di accedere alla tua email?” e tu clicchi “Consenti”? In un OAuth phishing, quell'app e controllata dall'attaccante. Cliccando “Consenti” gli dai un token di accessoche funziona anche se cambi password, anche se hai l'MFA attiva.
E questo il dettaglio che lo rende devastante: la multi-factor authentication non ti protegge. Il token OAuth bypassa completamente la password e l'MFA. L'attaccante ha accesso finche non revochi manualmente i permessi dell'app — e la maggior parte delle vittime non sa nemmeno di doverlo fare.
L'OAuth phishing sfrutta un meccanismo legittimo — l'autorizzazione OAuth — per scopi malevoli. Ecco le fasi:
L'attaccante registra un'app su Azure AD o Google Cloud con un nome credibile: “Secure Mail Scanner”, “Document Viewer Pro”, “IT Security Update”. L'app richiede permessi ampi: leggere email, accedere ai contatti, gestire i file su OneDrive o Google Drive.
La vittima riceve un'email che la invita a cliccare un link. Il pretesto puo essere qualsiasi cosa: “Condivido un documento con te”, “Aggiorna le impostazioni di sicurezza”, “Verifica il tuo account”. Il link porta alla pagina di consenso OAuth ufficiale di Microsoft o Google.
Qui sta il trucco: la pagina di consenso e reale. E la pagina ufficiale di Microsoft o Google che chiede all'utente di autorizzare l'app. L'URL e login.microsoftonline.com o accounts.google.com. Nessun sito clone, nessun dominio sospetto. Per questo anche gli utenti piu attenti ci cascano.
L'utente clicca “Consenti”. L'app riceve un token OAuth che permette di leggere le email, scaricare allegati, accedere ai file, vedere i contatti — tutto senza conoscere la password. Il token resta valido finche non viene revocato. L'attaccante puo restare nell'account per settimane o mesi senza essere scoperto.
L'attaccante non ha bisogno della password ne del codice 2FA. Il token OAuth funziona in modo indipendente dall'autenticazione. E il suo punto di forza piu temibile.
Non c'e nessun sito clone da riconoscere. La vittima interagisce con la pagina ufficiale di Microsoft o Google. Anche i piu esperti possono cadere nella trappola.
Cambiare la password non revoca il token. L'attaccante mantiene l'accesso finche qualcuno non va nelle impostazioni dell'account e rimuove manualmente i permessi dell'app.
L'accesso tramite token OAuth appare come attivita legittima nei log. Nessun tentativo di login fallito, nessun IP sospetto in fase di autenticazione. L'attacco e quasi invisibile.
L'OAuth phishing non e teoria. Ecco come viene usato concretamente:
Un dipendente riceve un'email da un “collega” con un link a un documento condiviso su SharePoint. Il link reindirizza alla pagina di consenso di un'app chiamata “Document Viewer”. L'app richiede accesso a email e file. Un clic su “Consenti” e l'attaccante puo leggere tutta la posta aziendale.
Un'email invita a “rivedere un documento importante su Google Docs”. Il link porta alla pagina di autorizzazione di Google per un'app chiamata “Secure Doc Reader”. I permessi richiesti includono la lettura di Gmail e l'accesso a Google Drive. Dopo il consenso, l'attaccante scarica tutti i documenti aziendali.
L'attaccante compromette un fornitore tramite OAuth phishing, poi usa l'accesso per inviare email ai clienti del fornitore con nuove richieste di autorizzazione OAuth. L'email arriva da un mittente legittimo, rendendo l'attacco quasi impossibile da distinguere da una comunicazione autentica.
L'OAuth phishing e difficile da bloccare perche usa pagine di login legittime. Ma MailSniper interviene nella catena di attacco prima che il danno sia fatto:
Consiglio pratico
Oltre a MailSniper, configura il tuo tenant Azure AD / Google Workspace per limitare il consenso delle app OAuth ai soli amministratori. In questo modo, nessun dipendente puo autorizzare app non approvate, anche se clicca sul link di phishing.