Immagina di perdere il controllo del tuo account Microsoft senza rivelare la password: è il device code phishing, una truffa astuta che sfrutta processi legittimi. Soluzione rapida: verifica sempre gli URL, ignora link sospetti e rivedi le app autorizzate su accounts.microsoft.com.
Cos’è il device code phishing?
Si tratta di un attacco che abusa del flusso di autenticazione per dispositivi con input limitato, come smart TV o console. Microsoft fornisce un codice dispositivo da inserire in un browser per autorizzare l’accesso. I truffatori inviano email, SMS o QR code falsi che sembrano ufficiali, inducendoti a inserire il codice su siti legittimi, autorizzando così il loro accesso con un token OAuth.[1][2]
Con il token, accedono a Outlook, OneDrive e Teams, ottenendo refresh token per accessi persistenti e aggirando controlli IP.[1]
Esche comuni: email, QR code e quishing
Le campagne usano messaggi su verifiche account o premi, con QR code maligni (quishing) che portano a pagine false. Proofpoint nota un boom da settembre 2025, con tattiche di ingegneria sociale mirate a USA ed Europa, colpendo governi e aziende.[1][2][3]
Perché è pericolosa?
Bypassa password e MFA perché autentichi tu stesso. Permette spionaggio, furti dati e takeover account, evolvendo rapidamente.[2][3]
Come proteggerti
– Controlla URL: Deve essere accounts.microsoft.com senza errori.
– Evita link e QR sospetti; usa bookmark ufficiali.
– Abilita MFA e monitora sessioni.
– Rivedi app e dispositivi su account.microsoft.com > Sicurezza.
– Usa antivirus con protezione web e segnala anomalie.[4][6]
Technical deep dive
Il device code phishing sfrutta OAuth 2.0 device authorization grant (RFC 8628). L’attaccante genera un codice tramite API Microsoft, lo invia alla vittima via social engineering (es. Cloudflare Worker mimando OneDrive). La vittima inserisce il codice su login.live.com/oauth20_authorize.srf, validando il token per l’app maliziosa dell’attaccante. Token includono scope per M365 (Mail.Read, Files.ReadWrite), con refresh token per persistenza. Difese: Conditional Access Policies su risky sign-ins, monitoraggio token issuance via Microsoft Entra ID logs, e OAuth app consent policies. Proofpoint rileva reti statali (es. Russia-aligned) e finanziarie; campagne post-settembre 2025 usano account compromessi per targeting mirato.[1][2][3]
