Phishing AiTM e BEC con Microsoft SharePoint
Topic
Approfondimenti
Trending
tutti

Phishing AiTM e BEC con Microsoft SharePoint

Microsoft ha rilevato e bloccato diversi attacchi phishing che sfruttano le tecniche AiTM e BEC per accedere agli account SharePoint delle aziende.
Phishing AiTM e BEC con Microsoft SharePoint
Sicurezza
Microsoft ha rilevato e bloccato diversi attacchi phishing che sfruttano le tecniche AiTM e BEC per accedere agli account SharePoint delle aziende.
Google AI Studio

I ricercatori di Microsoft hanno rilevato una serie di attacchi phishing AiTM (Adversary-in-The-Middle) e BEC (Business Email Compromise) che sfruttano la funzionalità di file sharing di SharePoint. I cybercriminali cercano di accedere agli account e ingannare i dipendenti. I principali bersagli sono le aziende che operano nel settore energetico. L’azienda di Redmond ha fornito alcuni consigli per bloccare questa minaccia.

Descrizione degli attacchi AiTM e BEC

L’attacco inizia con l’invio di un’email da un’organizzazione fidata, quindi i suoi account sono stati compromessi in precedenza. Nel testo è presente un URL alla pagina di login di SharePoint, mentre l’oggetto dell’email indica la condivisione di un documento. Cliccando sul link viene mostrato un pop-up in cui devono essere inserite le credenziali di accesso.

A questo punto viene effettuato l’attacco AiTM. Il cybercriminale intercetta le credenziali e ruba i cookie di sessione tramite un server proxy (che permettono di aggirare l’autenticazione multi-fattore). Usando tali informazioni accede all’account email dell’ignara vittima e aggiunge una regola che cancella automaticamente le email in arrivo.

Successivamente inizia la seconda fase dell’attacco con l’invio di oltre 600 email di phishing ai contatti interni ed esterni all’azienda. Si tratta della nota tecnica BEC, quindi i destinatari non sospettano nulla perché le email arrivano da un mittente conosciuto.

Se i destinatari delle nuove email di phishing cliccano sul link presente nel testo viene eseguito un altro attacco AiTM. Microsoft Defender XDR ha bloccato gli attacchi rilevando i tentativi di login in account multipli e la creazione delle regole. Ai clienti è stato suggerito di resettare le password, revocare i cookie di sessione e cancellare le regole.

È stata inoltre disattivata l’autenticazione multi-fattore in quanto i cybercriminali avevano associato gli account ai loro numeri di telefono (per la ricezione dei codici OTP). Le aziende dovrebbero evitare questo metodo e usare Microsoft Authenticator o chiavi hardware FIDO2.

Fonte: Microsoft

Pubblicato il 26 gen 2026

Link copiato negli appunti

Ti potrebbe interessare

2 anni di NordVPN sono imperdibili a questo prezzo

2 anni di NordVPN sono imperdibili a questo prezzo
Stampanti 3D e coltelli a scuola: invisibili ai metal detector

Stampanti 3D e coltelli a scuola: invisibili ai metal detector
VPN illimitata con 1,99 euro al mese: è il momento di scegliere Surfshark

VPN illimitata con 1,99 euro al mese: è il momento di scegliere Surfshark
Prompt injection: Gemini svela dati di Google Calendar

Prompt injection: Gemini svela dati di Google Calendar
2 anni di NordVPN sono imperdibili a questo prezzo

2 anni di NordVPN sono imperdibili a questo prezzo
Stampanti 3D e coltelli a scuola: invisibili ai metal detector

Stampanti 3D e coltelli a scuola: invisibili ai metal detector
VPN illimitata con 1,99 euro al mese: è il momento di scegliere Surfshark

VPN illimitata con 1,99 euro al mese: è il momento di scegliere Surfshark
Prompt injection: Gemini svela dati di Google Calendar

Prompt injection: Gemini svela dati di Google Calendar
Luca Colantuoni
Pubblicato il
26 gen 2026
Link copiato negli appunti