Lunedi 06 Luglio 2026 13:00:10 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Consapevolezza sulla sicurezza e ingegneria sociale

Quando un invito del calendario diventa una trappola per l'identità

Pubblicato: 15 Maggio 2026 15:00Categoria: Consapevolezza sulla sicurezza e ingegneria socialeArea: North America / USAAutore: PATCHKNIGHT

Una campagna di phishing legata al kit EvilTokens viene descritta come basata su inviti di Outlook e sull'abuso del login con device code per colpire le sessioni Microsoft 365 invece delle password.

Quello che sembra una normale richiesta di riunione può diventare la prima mossa in un'intrusione in un account cloud. In questo caso, l'esca non è soltanto una falsa pagina di accesso, ma un oggetto di produttività affidabile: un invito del calendario che aiuta a indirizzare la vittima verso un flusso di autenticazione Microsoft legittimo che può essere sfruttato per il furto di token.

Nota sulla fonte: Questa analisi si basa sulla ricerca pubblicata da Fortra Intelligence and Research Experts (FIRE) e attribuita a Daud Jawad, Security Engineer (Threat Intel & Management) di Fortra: New Calendar Invite Phishing Campaign: ICS Abuse and Post-Delivery Persistence.

Informazioni rapide

  • CalPhishing è l'etichetta usata per una campagna di phishing collegata al kit EvilTokens.
  • Gli inviti del calendario di Outlook fanno parte dell'esca, spostando l'attenzione dai messaggi di posta ai flussi di pianificazione.
  • Il phishing con device code è descritto come la tecnica successiva usata per colpire i token di sessione di Microsoft 365.
  • Si riferisce che l'attacco aggiri l'MFA, ma il tasso di successo esatto non è stabilito nel materiale disponibile.
  • Gli account aziendali sono la preoccupazione principale perché i token validi possono durare più a lungo di un singolo evento di accesso.

Perché è importante

La lezione sulla sicurezza va oltre il phishing in sé. Gli stratagemmi basati sul calendario possono restare nel flusso di lavoro di un utente più a lungo di una normale conversazione via email, rendendoli forse più difficili da notare durante una giornata piena. Se il passaggio successivo spinge l'utente a un accesso con device code, l'attacco passa dall'ingegneria sociale all'abuso dell'identità.

Questa distinzione è importante. L'autenticazione con device code è un flusso OAuth legittimo progettato per dispositivi con input limitato, ma può essere abusato quando la vittima viene indotta ad approvare la sessione dell'attaccante. In quel caso, l'attaccante non sta cercando di conoscere una password; il premio è un token utilizzabile o un artefatto di sessione.

Il vero rischio è un accesso duraturo

Dal punto di vista difensivo, i token rubati sono più preziosi di un furto di credenziali una tantum perché possono rimanere utilizzabili fino alla scadenza o alla revoca. Questo significa che un utente può cambiare password e lasciare comunque aperto un percorso di accesso attivo se la sessione non viene terminata correttamente.

È anche il motivo per cui l'MFA ordinaria non è sempre la fine della storia. Quando una vittima viene convinta a completare un passaggio di accesso legittimo per conto di un attaccante, il controllo può essere aggirato nella pratica anche se il meccanismo di accesso sottostante resta valido. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva su ogni account colpito.

Cosa dovrebbero monitorare i difensori

I team di sicurezza dovrebbero trattare gli inviti del calendario inattesi come parte della superficie d'attacco, non solo come allegati email. Le richieste di riunione sospette che indirizzano gli utenti verso portali esterni, prompt di inserimento codice o flussi di accesso insoliti meritano attenzione. Il monitoraggio dovrebbe inoltre cercare attività anomale di device code e uso dei token, non solo password fallite.

Una MFA resistente al phishing è il controllo più forte per le identità di alto valore, e la revoca dei token insieme a una riautenticazione forzata dovrebbe far parte della risposta agli incidenti quando si sospetta un abuso. Dove disponibili, protezioni legate al token o alla rete possono ridurre il rischio di replay.

Conclusione

La lezione più ampia è semplice: gli attacchi all'identità nel cloud iniziano sempre più spesso con qualcosa che sembra routine. Un invito a una riunione, un flusso di accesso affidabile e un token rubato possono combinarsi in un percorso di compromissione che i soli filtri tradizionali della posta in arrivo non intercetteranno. Nella sicurezza enterprise moderna, il calendario non è più solo uno strumento di pianificazione; può essere un'esca per l'accesso.

TECHCROOK

Chiave di sicurezza hardware: Un piccolo dispositivo di autenticazione USB o NFC usato per un MFA resistente al phishing su principali account email e cloud. Aggiunge un passaggio fisico agli accessi ed è una scelta pratica per persone o team che proteggono login di alto valore.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Device-code phishing: Una tecnica in cui gli attaccanti abusano di flussi legittimi di autenticazione su dispositivi per ottenere token di accesso utilizzabili o accesso alla sessione.
  • Token di sessione: Un artefatto digitale che aiuta a mantenere un utente autenticato a un servizio senza ripetere l'intero processo di accesso.
  • OAuth: Un framework per l'autorizzazione delegata che consente a un servizio di ottenere accesso limitato a un altro servizio per conto di un utente.
  • MFA: Autenticazione a più fattori, un controllo di accesso che richiede più di una prova d'identità.
  • iCalendar (.ics): Un formato standard per condividere eventi del calendario che può essere usato come meccanismo di distribuzione in esche via email.