Una nuova campagna sta sfruttando OAuth per portare utenti su pagine di phishing e, in certi casi, scaricare malware. Non è una falla classica: è un abuso di un meccanismo previsto: i redirect dentro i flussi di login, il risultato, però, è lo stesso: clicchi un link che sembra legittimo e finisci altrove.
OAuth phishing: dov’è il trucco
Gli attaccanti costruiscono URL che passano da un dominio credibile, poi inseriscono parametri che forzano un reindirizzamento, quindi il browser ti porta su una pagina controllata dai criminali. Spesso l’email della vittima viene inserita nel link, anche codificata, così la pagina finale appare personalizzata per l’utente, e quindi più convincente.
In alcuni casi viene usato anche il parametro state: serve per mantenere il contesto del login ma qui invece diventa un canale per portare dati verso la pagina malevola. Il passaggio è rapido e in mezzo, può sembrare tutto normale.
OAuth phishing: cosa succede dopo
Il primo scenario è il più diretto: ti propongono un download: può essere un file compresso, un installer o un documento truccato, e da lì parte la catena del malware.
Il secondo è più subdolo: ti mostrano una pagina di login che sembra reale: l’obiettivo non è solo la password, vogliono anche token e cookie di sessione. Se ci riescono, possono aggirare la MFA in alcune situazioni.
Perché è pericoloso anche per chi controlla i link
Molti utenti si difendono guardando l’URL, ma qui non basta, il link può iniziare su un dominio affidabile, poi però reindirizza. Quindi il controllo a colpo d’occhio perde efficacia.
Inoltre questi flussi possono bypassare alcuni filtri email, non vedono subito un allegato sospetto, non vedono subito un dominio strano. Lo vedono dopo, quando l’utente è già dentro il percorso.
Come ridurre il rischio, senza complicarsi la vita
Se sei in azienda, la prima cosa è controllare le app OAuth autorizzate. Serve anche limitare le app di terze parti, poi vanno monitorati i login anomali, soprattutto da IP e Paesi insoliti.
Per l’utente vale una regola semplice: non aprire login da link ricevuti a caldo. Meglio entrare dal portale ufficiale o dall’app, se un messaggio chiede accesso urgente, fai un controllo in più. Infine, se compare una richiesta di permessi strana, chiudi e verifica.
È una minaccia silenziosa perché sfrutta un percorso normale. Proprio per questo, serve attenzione sul processo, non solo sul link.
Articoli che potrebbero interessarti
