Microsoft ha diramato un’allerta globale su una nuova campagna di phishing avanzato che sfrutta l’intelligenza artificiale e il device code flow per colpire gli account aziendali. Anche il CERT-AgID ha confermato evidenze di attacchi rivolti alla Pubblica Amministrazione italiana.
L’attacco si basa su un meccanismo particolarmente insidioso: gli utenti vengono indotti, tramite email convincenti, a inserire un codice su una pagina ufficiale di autenticazione Microsoft. Tuttavia, quel codice è stato generato dagli attaccanti, che in questo modo ottengono l’accesso all’account della vittima senza dover sottrarre direttamente le credenziali, riuscendo in alcuni casi ad aggirare anche i sistemi di autenticazione a più fattori (MFA).
A differenza del phishing tradizionale, la pagina di login utilizzata è quella reale, rendendo l’attacco estremamente difficile da individuare anche per utenti esperti e per molti sistemi di sicurezza.
La campagna sfrutta email a tema credibile — come documenti condivisi, firme elettroniche o notifiche di segreteria — e utilizza catene di reindirizzamento attraverso infrastrutture cloud legittime per eludere i controlli automatici. Una volta che la vittima completa la procedura, gli attaccanti ottengono un token di accesso e possono avviare attività post-compromissione, tra cui esfiltrazione di email, creazione di regole nella casella di posta o registrazione di nuovi dispositivi per mantenere l’accesso.
Ciò che distingue questa operazione è l’uso estensivo di automazione e strumenti basati su intelligenza artificiale, che consentono di generare campagne su larga scala, adattare dinamicamente i contenuti e aumentare l’efficacia complessiva degli attacchi.
Il CERT-AgID ha già distribuito indicatori di compromissione (IoC) alle amministrazioni e raccomanda, oltre alla formazione degli utenti, di limitare l’uso del device code flow ai soli casi strettamente necessari e monitorare attentamente le richieste di autenticazione anomale.
