Nuovo attacco phishing contro account Microsoft 365
Topic
Approfondimenti
Trending
tutti

Nuovo attacco phishing contro account Microsoft 365

Sono stati rilevati diversi attacchi di phishing che prendono di mira gli account Microsoft 365 con lo scopo di accedere alle informazioni aziendali.
Nuovo attacco phishing contro account Microsoft 365
Sicurezza
Sono stati rilevati diversi attacchi di phishing che prendono di mira gli account Microsoft 365 con lo scopo di accedere alle informazioni aziendali.
Google AI Studio

I ricercatori di Proofpoint hanno rilevati una nuova ondata di attacchi phishing contro gli account Microsoft 365. I cybercriminali sfruttano l’ingegneria sociale e il meccanismo di autorizzazione Outh 2.0 per ingannare l’utente (tipicamente un dipendente aziendale) e aggirare l’autenticazione multi-fattore.

SquarePhish e Graphish

L’ingegneria sociale viene utilizzata in questo caso per convincere le vittime ad effettuare l’accesso alle applicazioni di terze parti con le credenziali Microsoft 365. Quando l’utente apre un URL (link, pulsante o codice QR), inviato tramite email o messaggio, viene mostrato un codice OTP. Se inserito nel portale di login Microsoft, i cybercriminali prendono il controllo dell’account.

Per questo tipo di attacco vengono solitamente usati due noti kit di phishing: SquarePhish e Graphish. Il primo kit permette di inviare email con codici QR che porta l’utente su un sito controllato dai cybercriminali. Contemporaneamente viene effettuato il redirecting alla pagina di login Microsoft. Successivamente viene inviato un codice OTP per l’autenticazione in due fattori. Il token associato viene intercettato e l’utente perde l’account.

Il secondo kit è più complesso, in quanto consente di intercettare le credenziali di login e i token di sessione attraverso un reverse proxy (attacco adversary-in-the-middle). Questi due kit sono stati sfruttati per almeno tre campagne di phishing.

La prima prevede l’invio di un’email di un documento relativo ad un presunto bonus salariale. Per leggerlo è necessario effettuare il login utilizzando le credenziali Microsoft 365 e il codice indicato. Se la vittima segue le istruzioni perderà il controllo dell’account.

La seconda campagna è simile alla precedente. In questo caso viene generato il codice OTP, dopo l’inserimento dell’indirizzo email, cliccando su un pulsante. Viene quindi mostrata la reale pagina di login di Microsoft. Se viene inserito il codice, l’ignara vittima autorizzerà l’applicazione dei cybercriminali.

La terza campagna è infine indirizzata a target specifici nei settori trasporti e governo. Nell’email è presente un link Cloudflare Worker camuffato da link OneDrive che permette di accedere ad un documento condiviso dopo aver inserito le credenziali Microsoft. La soluzione migliore per non cadere in trappola è usare un dispositivo hardware basato sullo standard FIDO2.

Fonte: Bleeping Computer

Pubblicato il 22 dic 2025

Link copiato negli appunti

Ti potrebbe interessare

Divieto social under 16: la proposta alle porte dell'Italia

Divieto social under 16: la proposta alle porte dell'Italia
Attacco password spraying contro infrastrutture VPN

Attacco password spraying contro infrastrutture VPN
Regalo di Natale: NordVPN con 74% di sconto e 3 mesi gratis

Regalo di Natale: NordVPN con 74% di sconto e 3 mesi gratis
PrivadoVPN: sicurezza e risparmio per viaggiare connessi

PrivadoVPN: sicurezza e risparmio per viaggiare connessi
Divieto social under 16: la proposta alle porte dell'Italia

Divieto social under 16: la proposta alle porte dell'Italia
Attacco password spraying contro infrastrutture VPN

Attacco password spraying contro infrastrutture VPN
Regalo di Natale: NordVPN con 74% di sconto e 3 mesi gratis

Regalo di Natale: NordVPN con 74% di sconto e 3 mesi gratis
PrivadoVPN: sicurezza e risparmio per viaggiare connessi

PrivadoVPN: sicurezza e risparmio per viaggiare connessi
Luca Colantuoni
Pubblicato il
22 dic 2025
Link copiato negli appunti