Gli aggressori manipolano il "Device Code Flow" per sottrarre token di sessione, accedendo a e-mail, file e conversazioni aziendali.
Autore: Redazione BitCity
Pubblicato il: 15/07/2026
Kaspersky ha recentemente individuato una sofisticata campagna di phishing, attiva tra l'inizio di aprile e la metà di maggio 2026, che prende di mira gli utenti sfruttando le vulnerabilità nel meccanismo di autenticazione di Microsoft. Gli attaccanti, presentandosi come una comunicazione proveniente da uno studio legale, hanno inviato e-mail contenenti documenti protetti da password con l'obiettivo di sottrarre le credenziali e ottenere il pieno accesso ai dati sensibili delle vittime. La tecnica utilizzata sfrutta il Device Authorization Grant di OAuth 2.0, una funzionalità legittima progettata per semplificare l'accesso agli account Microsoft su dispositivi con input limitato, come le smart TV, richiedendo l'inserimento di un codice o la scansione di un QR code.
Gli aggressori hanno configurato gli URL contenuti nei file PDF malevoli in modo tale da reindirizzare gli utenti verso una risorsa di phishing dopo aver aperto il documento e superato una serie di CAPTCHA, utilizzati per eludere i controlli di sicurezza automatizzati. In questa fase, la vittima viene indotta a copiare un codice monouso, il medesimo che i criminali informatici hanno generato avviando autonomamente la procedura di accesso per conto della vittima. Incollando tale codice nella pagina ufficiale di autenticazione di Microsoft, l'utente conclude inconsapevolmente il processo, permettendo agli aggressori di impossessarsi dei token della sessione.
Una volta in possesso di questi token, i malintenzionati ottengono un accesso privilegiato che consente loro di leggere e inviare e-mail dalla casella di posta della vittima, sottrarre file da OneDrive e monitorare le conversazioni su Teams. Secondo Roman Dedenok, esperto anti-spam di Kaspersky, questa campagna dimostra che gli aggressori sanno come sfruttare strumenti legittimi a fini malevoli, rendendo necessario prestare attenzione anche quando si naviga su piattaforme ufficiali. Per prevenire simili violazioni, Kaspersky consiglia ai team aziendali di valutare l'effettiva necessità del Device Code Flow all'interno della propria infrastruttura e, qualora tale meccanismo non fosse indispensabile per le operazioni quotidiane, di procedere alla sua disabilitazione.