Phishing con device code: come funziona l'attacco
Topic
Approfondimenti
Trending
tutti

Phishing con device code: come funziona l'attacco

Sono in aumento gli attacchi di phishing che sfruttano l'autenticazione con codici dispositivo per accedere agli account aziendali e rubare dati sensibili.
Phishing con device code: come funziona l'attacco
Sicurezza
Sono in aumento gli attacchi di phishing che sfruttano l'autenticazione con codici dispositivo per accedere agli account aziendali e rubare dati sensibili.
Bleeping Computer

Gli esperti di Microsoft hanno rilevato un’ampia diffusione del phishing che sfrutta il cosiddetto flusso di autenticazione con codice dispositivo (device code). I cybercriminali usano vari kit PaaS (Phishing-as-a-Service), come EvilToken, insieme a tool AI che consentono di generare email e controllare l’attacco in maniera automatica. Il CERT-AgiD ha individuato casi in Italia che riguardano la Pubblica Amministrazione.

Come funziona il phishing con device code

L’autenticazione con codice dispositivo è un flusso OAuth progettato per dispositivi con interfacce limitate, come stampanti e smart TV. Quando l’utente effettua l’accesso viene mostrato un codice che deve essere inserito in una pagina web aperta nel browser su un altro dispositivo.

Dopo aver raccolto informazioni sulle vittime (principalmente aziende), i cybercriminali usano il tool AI per generare email professionali che non destano sospetti. Nel corpo del messaggio o negli allegati (file PDF o HTML) è presente un link che porta una pagina apparentemente legittima. Uno script interagisce con la Microsoft Identity Platform e genera un codice dispositivo. Nella pagina è presente un pulsante che punta al portale ufficiale microsoft.com/devicelogin.

In alcuni casi, lo script copia automaticamente il codice nella clipboard (appunti), quindi l’utente deve solo incollarlo nella pagina di accesso ufficiale. Se l’utente non ha una sessione attiva viene richiesto di inserire le credenziali ed eventualmente il secondo fattore di autenticazione. Se ha già effettuato l’accesso è sufficiente incollare il codice e confermare la richiesta per autenticare immediatamente la sessione sul backend dei cybercriminali che funziona come proxy.

Quando l’ignara vittima completa la procedura di login, i cybercriminali hanno ottenuto il token di accesso all’account. Possono quindi registrare nuovi dispositivi, creare regole per la posta in arrivo o rubare dati sensibili dalle email. Microsoft consiglia di usare il flusso di autenticazione con codice dispositivo solo se strettamente necessario e implementare protezioni adeguate contro i tentativi di phishing.

Fonte: Microsoft

Pubblicato il 9 apr 2026

Link copiato negli appunti

Ti potrebbe interessare

Rabbia per la self-driving car che ha investito e ucciso un'anatra

Rabbia per la self-driving car che ha investito e ucciso un'anatra
Teenager su Instagram: i nuovi limiti in Italia contro i rischi social

Teenager su Instagram: i nuovi limiti in Italia contro i rischi social
ProtonVPN in super sconto: -70% e privacy garantita fino al 2028

ProtonVPN in super sconto: -70% e privacy garantita fino al 2028
Ban VPN in Russia blocca app bancarie e Pavel Durov ride

Ban VPN in Russia blocca app bancarie e Pavel Durov ride
Rabbia per la self-driving car che ha investito e ucciso un'anatra

Rabbia per la self-driving car che ha investito e ucciso un'anatra
Teenager su Instagram: i nuovi limiti in Italia contro i rischi social

Teenager su Instagram: i nuovi limiti in Italia contro i rischi social
ProtonVPN in super sconto: -70% e privacy garantita fino al 2028

ProtonVPN in super sconto: -70% e privacy garantita fino al 2028
Ban VPN in Russia blocca app bancarie e Pavel Durov ride

Ban VPN in Russia blocca app bancarie e Pavel Durov ride
Luca Colantuoni
Pubblicato il
9 apr 2026
Link copiato negli appunti