Domenica 05 Luglio 2026 00:08:32 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Sicurezza del cloud, SaaS e identità

Quando la pagina di accesso diventa la trappola: il nuovo playbook di phishing per Microsoft 365

Pubblicato: 23 Giugno 2026 10:28Categoria: Sicurezza del cloud, SaaS e identitàArea: North America / USAAutore: AUDITWOLF

Un kit di phishing tenant-aware legato a Microsoft 365 mostra come il replay delle credenziali in tempo reale e il furto di sessione possano trasformare un accesso riuscito in una violazione dell'identità.

Un utente vede un'esca a tema messaggio vocale, fa clic e arriva su una pagina di accesso che sembra normale. È proprio lì che si annida il pericolo. In questo tipo di attacco, la vittima può completare un flusso di login apparentemente legittimo, mentre un attaccante rilancia silenziosamente la stessa sequenza in tempo reale e cattura la sessione autenticata per un uso successivo.

Fatti rapidi

  • La campagna è legata a un kit di phishing progettato attorno all'abuso dell'identità di Microsoft 365.
  • Si segnala che gli attaccanti utilizzano branding tenant-aware e replay delle credenziali in tempo reale.
  • L'obiettivo non è solo catturare la password, ma sottrarre la sessione che può durare più a lungo del login stesso.
  • Il MFA tradizionale può essere rilanciato negli attacchi adversary-in-the-middle, a seconda del metodo utilizzato.
  • I difensori devono combinare telemetria dell'identità, monitoraggio delle sessioni e controlli resistenti al phishing.

Come funziona l'inganno

Il pattern tecnico qui è familiare a chi risponde agli incidenti: phishing adversary-in-the-middle, spesso abbreviato in AiTM. Invece di indirizzare la vittima verso una pagina finta che si limita a raccogliere le credenziali, l'attaccante colloca un proxy tra l'utente e il servizio legittimo. Quel proxy può inoltrare l'accesso, rilanciare i prompt MFA e poi catturare il cookie di sessione o il token che dimostra che l'utente è autenticato.

Questo è importante perché la password non è più l'unico obiettivo. Se un attaccante riutilizza una sessione valida, può accedere a email, file e altre risorse cloud senza dover ripetere l'intero flusso di login. Negli ambienti Microsoft, questo sposta il problema dal furto delle credenziali al controllo post-autenticazione, che è più difficile da individuare con i soli filtri antispam.

Anche l'uso segnalato di presentazioni tenant-aware è importante. Un'esca che si adatta al branding o al contesto di accesso dell'organizzazione bersaglio può ridurre i sospetti e migliorare la conversione. Se combinata con un'infrastruttura front-end rotante e un relay back-end stabile, questa configurazione può rendere il blocco e la rimozione più difficili rispetto alle vecchie pagine di phishing che restano in un unico posto abbastanza a lungo da essere facilmente catalogate.

Perché il MFA non basta sempre

Microsoft ha già descritto in passato campagne AiTM che rubano cookie di sessione e supportano abusi successivi della casella di posta. La lezione difensiva è netta: il MFA aiuta, ma non tutti i metodi MFA sono ugualmente resistenti al relay. I codici SMS, le password monouso via email e le approvazioni push possono comunque essere vulnerabili negli scenari di phishing basati su proxy, mentre i metodi resistenti al phishing come le chiavi di sicurezza FIDO2, le passkey, Windows Hello for Business e l'autenticazione basata su certificato sono progettati per essere molto più difficili da rilanciare.

Dal punto di vista difensivo, la risposta pratica è multilivello. Conditional Access dovrebbe considerare la conformità del dispositivo e il rischio di accesso. I team di sicurezza dovrebbero osservare il riutilizzo sospetto delle sessioni, le modifiche alle regole della casella di posta, l'attività anomala dei token e l'accesso insolito alle app cloud dopo un login riuscito. Se si sospetta una compromissione, le sessioni attive vanno revocate rapidamente e qualsiasi modifica alla casella di posta o al MFA va esaminata.

Al momento della pubblicazione, le informazioni pubbliche non stabiliscono in modo completo la causa tecnica principale, la portata totale degli utenti colpiti o se i sistemi a valle siano stati compromessi. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva che ogni bersaglio o tenant sia stato colpito.

Conclusione

La lezione più ampia è che il phishing moderno attacca sempre più l'identità stessa, non solo la disciplina della posta in arrivo. Una volta che un login può essere proxato e una sessione può essere rilanciata, l'attaccante non deve più vincere due volte la partita della password. Per i difensori del cloud, il perimetro si è spostato sulla sessione di autenticazione, ed è lì che controlli, telemetria e risposta devono essere ora più forti.

TECHCROOK

FIDO2 security key: Una chiave di sicurezza hardware è un modo pratico per rafforzare l'accesso agli account per email, cloud e portali di amministrazione. Supporta l'autenticazione resistente al phishing ed è particolarmente utile per gli account di alto valore. Conserva una chiave di riserva in modo sicuro nel caso in cui quella principale venga smarrita.

Scheda Techcrook: FIDO2 security key

WIKICROOK

  • AiTM phishing: Un attacco basato su proxy che rilancia il login di una vittima tra l'utente e il servizio reale.
  • Cookie di sessione: Un token del browser che dimostra una sessione autenticata e può essere riutilizzato se rubato.
  • MFA resistente al phishing: Metodi di autenticazione progettati per essere molto più difficili da rilanciare rispetto ai codici o ai prompt push.
  • Conditional Access: Controlli di policy dell'identità che usano rischio, dispositivo e contesto per decidere se consentire l'accesso.
  • Phishing tenant-aware: Phishing che adatta l'aspetto e il flusso per corrispondere al contesto di identità cloud di una specifica organizzazione.