Sabato 04 Luglio 2026 07:55:07 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Consapevolezza della sicurezza e ingegneria sociale

EvilTokens e il furto silenzioso della fiducia in Microsoft 365

Pubblicato: 30 Giugno 2026 15:24Categoria: Consapevolezza della sicurezza e ingegneria socialeArea: North America / USAAutore: NEURALSHIELD

Un kit di phishing-as-a-service legato a OAuth 2.0 mostra perché i moderni attacchi agli account possono avere successo senza mai rubare una password.

Introduzione

Il phishing classico dipendeva in genere da pagine di accesso false e credenziali rubate. EvilTokens indica un modello diverso: una vittima può essere indirizzata attraverso un percorso di accesso Microsoft legittimo, inclusa l'autenticazione a due fattori, e comunque concedere l'accesso. È questo a rendere inquietante questo tipo di campagna. Il pericolo non è più solo la password. È la fiducia che gli utenti ripongono nel flusso di accesso stesso.

Fatti rapidi

  • EvilTokens viene descritto come un kit di phishing-as-a-service mirato agli account Microsoft 365.
  • Il percorso di attacco è legato a OAuth 2.0 piuttosto che alla classica raccolta di password.
  • Si dice che il flusso di accesso appaia legittimo e includa l'autenticazione a due fattori.
  • Il rischio principale è l'accesso senza furto della password, il che cambia il modo in cui i difensori devono indagare sull'incidente.
  • I controlli del tenant sulle app OAuth e sul consenso sono centrali per limitare questa classe di abuso.

Come funziona l'abuso

OAuth 2.0 è stato creato affinché le app potessero accedere ai servizi senza conoscere la password di un utente. Questa progettazione è utile, ma crea anche un punto critico: se un attaccante riesce a convincere un utente ad approvare o completare una fase di autorizzazione, il risultato può essere un accesso utilizzabile dall'attaccante. Negli ambienti Microsoft 365, tale accesso può essere più importante della password stessa perché è legato al livello di identità che controlla i servizi cloud.

Ecco perché il caso EvilTokens è importante. Il metodo segnalato non si basa su brute force o su malware presente sull'endpoint. Dipende dall'ingegneria sociale all'interno di un contesto di autenticazione reale. Dal punto di vista difensivo, questo rende contemporaneamente il browser, il provider di identità e le impostazioni del tenant parte della superficie d'attacco. L'autenticazione a due fattori resta importante, ma non impedisce automaticamente a un utente di autorizzare un flusso malevolo se il flusso stesso appare affidabile.

Le linee guida di sicurezza di Microsoft trattano il consenso alle app OAuth e i flussi di autenticazione rischiosi come questioni che meritano un controllo rigoroso. In pratica, questo significa che le organizzazioni hanno bisogno di qualcosa di più delle policy sulle password. Servono restrizioni sul consenso, monitoraggio per registrazioni o concessioni insolite delle app e un piano per revocare sessioni o token se viene rilevata un'autorizzazione sospetta. Se questi controlli sono deboli, i soli reset delle password potrebbero non chiudere completamente la porta.

Al momento della stesura, le informazioni pubbliche non hanno ancora stabilito in modo completo il sottoflusso tecnico utilizzato qui, la portata completa degli utenti coinvolti o se eventuali sistemi downstream siano stati compromessi. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva di un impatto di violazione più ampio.

Conclusione

EvilTokens ricorda che il phishing moderno consiste sempre più nel convincere gli utenti ad autorizzare l'accesso, non solo nell'inserire una password in una pagina falsa. Questo cambiamento è importante perché prende di mira i controlli di identità che molte organizzazioni trattano ancora come routine. La lezione più ampia è semplice: quando gli attaccanti possono prendere in prestito la legittimità del vero processo di accesso, i difensori devono proteggere la fiducia a livello di protocollo, non solo a livello di password.

TECHCROOK

chiave di sicurezza hardware Una chiave di sicurezza hardware FIDO2/WebAuthn è un'opzione pratica per una protezione più forte degli account su Microsoft 365 e altri servizi. Aggiunge un metodo di accesso resistente al phishing, più difficile da riutilizzare rispetto ai codici o alle approvazioni push. È particolarmente utile se abbinata a controlli del tenant, a una buona igiene delle sessioni e alla formazione degli utenti sulle richieste di consenso.

Scheda Techcrook: chiave di sicurezza hardware

WIKICROOK

  • OAuth 2.0: Un framework di autorizzazione che consente alle applicazioni di accedere alle risorse senza raccogliere la password dell'utente.
  • Phishing-as-a-service: Un servizio criminale che confeziona l'infrastruttura di phishing per rendere gli attacchi più facili da avviare per altri.
  • Autenticazione a due fattori (2FA): Un secondo passaggio di verifica aggiunto all'accesso, spesso usato per ridurre il rischio di compromissione dell'account.
  • Token di accesso: Una credenziale a breve durata che può consentire a un'app di chiamare servizi protetti per conto di un utente.
  • Concessione del consenso: Un'approvazione di autorizzazione che consente a un'applicazione di accedere a dati o servizi all'interno di un tenant.