Phishing Microsoft: nuovo allarme di Kaspersky
Il nuovo caso di phishing legato Microsoft segnalato da Kaspersky mostra quanto siano diventati più sottili certi attacchi: gli aggressori non puntano solo a rubare password, ma sfruttano anche strumenti legittimi come il Device Authorization Grant di OAuth 2.0. La campagna, attiva tra inizio aprile e metà maggio 2026, usava false comunicazioni legali, pagine di phishing e codici monouso per ottenere l’accesso agli account delle vittime.
Phishing Microsoft: Kaspersky segnala una campagna molto insidiosa
Kaspersky ha pubblicato un report su una campagna di phishing legato a Microsoft che sfrutta il meccanismo di autenticazione dell’azienda, invece di limitarsi al classico furto diretto di username e password.
La campagna sarebbe stata condotta da inizio aprile a metà maggio 2026 e si presentava come una comunicazione proveniente da uno studio legale. L’obiettivo era chiaro: portare la vittima dentro un percorso apparentemente credibile, fino a consegnare agli aggressori l’accesso al proprio account.
Il punto più delicato riguarda il metodo usato: gli attaccanti hanno sfruttato il Device Authorization Grant di OAuth 2.0, conosciuto anche come Device Code Flow. È un sistema pensato per accedere agli account Microsoft da dispositivi con input limitato, come una smart TV, usando un codice inserito da un secondo dispositivo, per esempio smartphone o PC.
In condizioni normali è una funzione comoda. In mano agli aggressori, però, può diventare un passaggio critico, perché permette di agganciare la sessione e mantenere il controllo dell’account tramite token di aggiornamento rubati.
Come funziona il phishing legato a Microsoft con il Device Code Flow
Il percorso costruito dagli aggressori era piuttosto curato: la vittima riceveva una mail apparentemente inviata da uno studio legale, con allegato un PDF protetto da password. Dopo l’apertura del documento e l’inserimento della password, veniva mostrata una pagina web con un elenco di presunti documenti legali.
A quel punto, per visualizzarli, l’utente doveva cliccare su un link che rimandava a un indirizzo Microsoft legittimo. Ed è qui che la trappola diventava più credibile: il dominio iniziale non sembrava sospetto, perché apparteneva davvero all’ecosistema Microsoft.
I parametri dell’URL, però, erano configurati per portare l’utente verso una risorsa di phishing dopo il passaggio dalla pagina Microsoft. Il documento simula un ambiente legale e il link parte da un indirizzo Microsoft, prima di condurre alla pagina fraudolenta.
CAPTCHA e codice monouso: la trappola diventa più credibile
La pagina di phishing simulava un portale per la consultazione di documenti legali. Inoltre, presentava diversi CAPTCHA, probabilmente usati per filtrare i bot di sicurezza che analizzano i siti alla ricerca di minacce.
Questo dettaglio è importante, perché i CAPTCHA non servivano solo a rendere il portale più realistico agli occhi della vittima. Servivano anche a ostacolare i controlli automatici, rendendo più difficile classificare subito la pagina come pericolosa.
Dopo aver superato i CAPTCHA, l’utente arrivava a una schermata finale con un codice monouso. Quel codice non era casuale: era lo stesso che gli aggressori avevano già ottenuto avviando autonomamente la procedura di accesso.
A quel punto, cliccando sul codice, questo veniva copiato automaticamente negli appunti. Subito dopo, l’utente veniva portato alla pagina ufficiale di autenticazione Microsoft, dove gli veniva chiesto di incollare e inserire il codice.
Phishing Microsoft: cosa rischiano gli utenti colpiti
Una volta inserito il codice nella pagina ufficiale Microsoft, il processo di autenticazione a più fattori si concludeva. Secondo Kaspersky, gli aggressori potevano così entrare in possesso dei token della sessione.
Il rischio non si fermava quindi alla sola password. Con quei token, gli attaccanti potevano ottenere accesso a servizi collegati all’account della vittima, con conseguenze molto concrete.
In particolare, Kaspersky segnala la possibilità di leggere e inviare email dalla casella compromessa, sottrarre file da OneDrive e accedere alle conversazioni su Teams. Per un utente privato è già un problema serio. Per un’azienda, invece, può diventare un punto di ingresso verso documenti interni, conversazioni riservate e contatti di lavoro.
Viene mostrato bene il passaggio chiave: prima il codice monouso sulla pagina di phishing, poi il reindirizzamento alla pagina ufficiale Microsoft per inserirlo. Ed è proprio questa alternanza tra falso e legittimo a rendere l’attacco più difficile da riconoscere.
Perché questo attacco è diverso dal solito phishing
Questa campagna è interessante perché non si basa solo su una pagina falsa che imita Microsoft. Gli aggressori sfruttano una funzione reale, usata davvero per l’autenticazione.
Secondo Roman Dedenok, Anti-Spam Expert di Kaspersky, gli autori delle minacce non ricorrono sempre al furto diretto di credenziali o all’installazione di malware. Possono anche sfruttare strumenti legittimi per scopi malevoli.
Il messaggio per gli utenti è abbastanza chiaro: non basta più diffidare solo dei siti strani o delle pagine scritte male. Anche quando si finisce su una piattaforma ufficiale, bisogna capire come ci si è arrivati, chi ha avviato la procedura e perché viene richiesto un codice.
Cosa possono fare aziende e utenti
Per le aziende, Kaspersky consiglia di valutare se il Device Code Flow sia davvero necessario all’interno dell’infrastruttura. Se non serve nelle operazioni quotidiane, dovrebbe essere disabilitato.
In parallelo, le organizzazioni dovrebbero rafforzare la protezione della posta elettronica, perché l’attacco parte comunque da una mail costruita per sembrare affidabile. Vengono citate soluzioni come Kaspersky Security for Mail Server per il contesto aziendale e Kaspersky Premium per gli utenti privati.
Per chi usa account Microsoft ogni giorno, il consiglio pratico è semplice: attenzione ai file protetti da password ricevuti via email, soprattutto se arrivano da presunti studi legali, consulenti o servizi documentali. Inoltre, un codice di accesso non va mai inserito se la procedura non è stata avviata direttamente dall’utente.
Il phishing diventa più sofisticato, ma resta riconoscibile
Questo caso conferma una tendenza ormai evidente: il phishing non è più solo una mail sgrammaticata con un link sospetto. Spesso usa servizi reali, flussi ufficiali e passaggi credibili per abbassare la soglia di attenzione.
Il meccanismo descritto da Kaspersky è proprio questo: prima una mail ben confezionata, poi un PDF protetto, quindi un portale finto, diversi CAPTCHA, un codice monouso e infine una pagina Microsoft autentica. Ogni passaggio, preso da solo, può sembrare meno sospetto. Messo insieme agli altri, costruisce una trappola efficace.
Per questo la prevenzione deve spostarsi dal semplice “controllo del link” a una domanda più concreta: perché mi viene chiesto questo passaggio? Se un documento legale richiede di copiare un codice, superare CAPTCHA e autorizzare un accesso Microsoft, qualcosa non torna.