In breve: il rischio è reale, ma puoi ridurlo subito. Gli attaccanti stanno sfruttando un flusso di accesso legittimo di Microsoft per convincere gli utenti ad autorizzare, senza saperlo, applicazioni malevole. La soluzione più rapida è limitare o bloccare il device code flow nelle policy di accesso condizionale, insieme a un controllo più severo su dispositivi, utenti e posizioni fidate.
Negli ultimi mesi, questo tipo di phishing è cresciuto rapidamente perché è facile da replicare, si adatta bene alle campagne automatizzate e può aggirare molte tecniche di difesa basate solo su password o MFA tradizionale. In pratica, non sempre il problema è “rubare la password”: spesso basta far completare alla vittima un passaggio di autenticazione apparentemente normale per ottenere accesso persistente all’account.
Come funziona l’attacco
Il device code phishing si basa su un principio semplice: l’utente viene convinto a usare un codice di accesso valido su una pagina Microsoft autentica o molto simile a quella ufficiale. Il messaggio iniziale arriva di solito via email, allegato PDF, link o QR code, e si presenta come una comunicazione attendibile, ad esempio di Microsoft, DocuSign, Adobe o di un reparto interno come HR.
Quando la vittima clicca sul collegamento, viene avviato un processo reale di login tramite Microsoft. A quel punto compare un codice da inserire in una pagina di autenticazione. L’utente pensa di star completando un normale passaggio di verifica, ma in realtà sta autorizzando un’applicazione controllata dall’attaccante.
Una volta approvata la richiesta, Microsoft emette token di autenticazione associati all’account della vittima. Questi token possono essere usati per accedere a email, documenti cloud, sistemi connessi e altre risorse aziendali, spesso senza far scattare i controlli che intercettano il furto di credenziali classico.
Perché questa tecnica sta crescendo
La popolarità di questo metodo è legata a diversi fattori. Il primo è la disponibilità di kit pronti all’uso e piattaforme phishing-as-a-service, che abbassano la barriera d’ingresso anche per gruppi meno esperti. Il secondo è l’automazione: oggi molti kit generano i codici on-demand, nel momento esatto in cui la vittima interagisce con il messaggio, evitando il limite dei codici pre-generati che scadono rapidamente.
C’è poi un altro elemento importante: alcuni operatori stanno usando strumenti sviluppati o raffinati in modo quasi industriale, con un approccio che replica e modifica velocemente campagne già viste. Questo consente di moltiplicare gli attacchi e testare varianti sempre nuove, spesso con testi, grafiche e flussi di accesso molto convincenti.
Il nuovo equilibrio della minaccia
Le difese aziendali hanno migliorato la protezione contro il furto diretto di password e molte tecniche di bypass dell’autenticazione multifattore. Proprio per questo gli attaccanti stanno spostando l’attenzione verso i flussi di login legittimi. Invece di forzare una password o intercettare un codice SMS, manipolano il comportamento umano e sfruttano il fatto che gli utenti si fidano delle schermate di accesso Microsoft.
Questa evoluzione rende il phishing con device code particolarmente insidioso in ambienti Microsoft 365, dove il login è percepito come una routine quotidiana. Se il messaggio è ben costruito, la vittima può credere di stare confermando un’azione richiesta dall’azienda, dal supporto tecnico o da un fornitore esterno.
Tecniche di esecuzione più comuni
Le campagne osservate di recente mostrano alcune modalità ricorrenti:
- email con finti avvisi di documento condiviso, pagamento da approvare o richiesta HR
- allegati PDF con QR code che portano alla pagina di autenticazione
- link che avviano una sessione di device login legittima
- landing page molto simili alle pagine Microsoft, DocuSign o Adobe
- uso di domini temporanei o infrastrutture cloud per nascondere la catena completa dell’attacco
In alcuni casi, gli attaccanti combinano il device code phishing con il riutilizzo interno dell’account compromesso. Questo significa che, dopo aver preso controllo di una casella email, inviano messaggi malevoli a colleghi o contatti fidati, aumentando il tasso di successo perché i nuovi messaggi sembrano provenire da una fonte legittima.
Impatto per le aziende
Le conseguenze possono essere gravi. Un token rubato può consentire:
- accesso alla posta elettronica aziendale
- furto di file e dati sensibili
- frodi finanziarie o tentativi di pagamento
- movimento laterale in ambienti cloud e ibridi
- campagne di estorsione o ransomware
- attività di spionaggio di lungo periodo
Il problema non è solo tecnico. Quando un aggressore ottiene accesso a un account fidato, può impersonare dipendenti, clienti o partner, danneggiando la reputazione dell’organizzazione e rendendo più difficile distinguere i messaggi autentici da quelli malevoli.
Segnali da non sottovalutare
Alcune campagne mostrano anche scarsa disciplina operativa, come email con corpo vuoto, domini esposti o infrastrutture poco curate. Questo non riduce necessariamente il pericolo: spesso indica solo che gli attaccanti si affidano a tool automatici o a catene generate velocemente, senza una revisione accurata.
Per gli utenti, i segnali più importanti restano questi:
- un messaggio che chiede di aprire un documento o scansionare un QR code in fretta
- richieste di autenticazione non attese
- pagine di login che arrivano dopo un’email non richiesta
- pressione psicologica, urgenza o tono autoritario
- richieste che sembrano coerenti con Microsoft ma arrivano da percorsi insoliti
Come difendersi in modo efficace
Le misure più utili sono quelle che controllano il flusso di autenticazione, non solo il contenuto delle email. Le organizzazioni dovrebbero:
- limitare o bloccare il device code flow tramite accesso condizionale
- consentirlo solo da dispositivi gestiti e connessi a reti fidate
- applicare regole più rigorose per utenti ad alto rischio
- monitorare i token e le autorizzazioni delle app collegate
- verificare anomalie di login e sessioni inattese
- rafforzare awareness e formazione contro QR phishing e finti flussi di autenticazione
Anche gli utenti possono fare molto. Se una richiesta di accesso compare in modo inatteso, non completarla. Controlla sempre con il mittente attraverso un canale separato, soprattutto se il messaggio parla di urgenza, fatture, documenti condivisi o approvazioni.
Perché la formazione resta fondamentale
Questa minaccia funziona perché sfrutta una cosa molto umana: la fiducia in un processo familiare. Le persone sono abituate a vedere schermate Microsoft, codici di accesso e richieste di verifica. Se il contesto sembra credibile, la probabilità di errore aumenta.
Per questo la protezione migliore unisce tecnologia e consapevolezza. Le policy devono ridurre le superfici di attacco, ma gli utenti devono anche imparare a riconoscere quando un login “normale” non è affatto normale.
Technical Deep Dive
Il device code phishing sfrutta il OAuth 2.0 Device Authorization Grant, pensato per dispositivi con input limitato. Nel flusso legittimo, il client ottiene un device code e un user code, poi l’utente completa l’autenticazione su una pagina autorizzata. L’attaccante inserisce il proprio client o una app malevola nella catena, spingendo la vittima ad approvare la richiesta senza percepire il cambio di contesto.
Dal punto di vista difensivo, i controlli più efficaci includono:
- Conditional Access con restrizioni su device code flow
- blocco delle app non verificate o non autorizzate nel tenant
- analisi dei log di consentimento applicativo e delle nuove autorizzazioni OAuth
- rilevamento di sessioni anomale, nuovi refresh token e uso sospetto di token già emessi
- correlazione tra email in ingresso, clic su URL e successivo authentication event
- regole di governance per limitare l’uso del device flow a scenari realmente necessari
È utile anche monitorare i segnali di account takeover jumping, dove un account compromesso viene usato per diffondere ulteriori messaggi all’interno dello stesso tenant o verso contatti fidati. In questi casi, la telemetria su invio email, regole di inoltro, creazione di inbox rule e accessi da geolocalizzazioni insolite può aiutare a individuare la compromissione più rapidamente.
Sul piano incident response, dopo la revoca dei token è importante verificare:
- applicazioni con consenso recente
- accessi da device non gestiti
- forward rules e deleghe mailbox
- attività su SharePoint, OneDrive e Teams
- eventuali download massivi o esportazioni anomale
In sintesi, il device code phishing non è solo un problema di email malevole: è un abuso di fiducia nel flusso di autenticazione. Per difendersi davvero, bisogna controllare come gli utenti autorizzano l’accesso, quali app possono ricevere consenso e da quali condizioni è possibile completare il login.
