Perché il furto di token è più pericoloso del phishing tradizionale basato sulle password?

I token di autenticazione rubati consentono agli aggressori di accedere agli account senza conoscere la password e possono aggirare alcune forme di autenticazione a più fattori, poiché la sessione è già considerata autenticata.

Che tipo di email hanno utilizzato gli aggressori per ingannare le vittime?

Gli aggressori hanno inviato email realizzate in modo professionale a tema "codice di condotta", progettate per sembrare ordinarie e autorevoli in una casella di posta aziendale.

Le password robuste possono proteggere gli utenti da questo tipo di attacco?

No, anche gli utenti con password robuste e univoche avrebbero potuto essere compromessi perché gli aggressori hanno preso di mira i token di sessione anziché le password direttamente.

Microsoft Svela una Campagna di Phishing che ha Colpito 35.000 Utenti in 13.000 Organizzazioni

Q: Quanti utenti e organizzazioni sono stati colpiti da questa campagna di phishing?

La campagna ha compromesso i token di autenticazione di oltre 35.000 utenti in 13.000 organizzazioni.

Microsoft Scopre una Massiccia Operazione di Phishing Basata sul Furto di Token

Microsoft ha reso nota una campagna di phishing su larga scala che ha compromesso i token di autenticazione di oltre 35.000 utenti distribuiti in 13.000 organizzazioni. Gli aggressori si sono spacciati per mittenti ufficiali utilizzando email a tema "codice di condotta" realizzate in modo professionale, una tattica di ingegneria sociale progettata per sembrare ordinaria e affidabile in una casella di posta aziendale. Le aziende del settore sanitario, dei servizi finanziari e della tecnologia hanno subito il peso maggiore degli attacchi, rendendo questa una delle divulgazioni di furto di credenziali più significative degli ultimi tempi.

Ciò che distingue questa campagna dal phishing ordinario è la concentrazione sul furto di token di autenticazione anziché delle password direttamente. I token sono piccole credenziali digitali che attestano che un utente ha già effettuato l'accesso e, intercettandone uno, un aggressore può ottenere accesso completo a un account senza mai dover conoscere la password. Ciò significa che anche gli utenti con password robuste e univoche avrebbero potuto essere compromessi se i loro token di sessione fossero stati intercettati.

Perché il Furto di Token di Autenticazione È Particolarmente Pericoloso

Il phishing tradizionale cerca tipicamente di ingannare gli utenti inducendoli a digitare nome utente e password in una falsa pagina di accesso. Il furto di token va oltre. Una volta che un aggressore è in possesso di un token di autenticazione valido, può spesso aggirare completamente i controlli di sicurezza, incluse alcune forme di autenticazione a più fattori (MFA) che verificano l'identità solo al momento dell'accesso. Dal punto di vista del sistema, la sessione è già autenticata, quindi non c'è nulla da ri-verificare.

Questo è particolarmente allarmante per le organizzazioni in settori regolamentati come la sanità e la finanza, dove dati sensibili, registri dei clienti e sistemi finanziari si trovano dietro quei login. Un singolo token rubato può fungere da chiave universale per accedere all'email di un dipendente, all'archiviazione cloud, agli strumenti interni e alle piattaforme di comunicazione per tutto il tempo in cui quel token rimane valido.

L'aspetto professionale delle email di phishing rende tutto ciò ancora più difficile da contrastare a livello umano. I messaggi con avvisi sul "codice di condotta" trasmettono un'aria di autorità e urgenza, due elementi che rappresentano leve affidabili nell'ingegneria sociale. I dipendenti sono condizionati a prendere questi messaggi sul serio, ed è esattamente per questo che gli aggressori hanno scelto quella impostazione.

Cosa Significa Questo per Te

Se lavori in un'organizzazione, in particolare nel settore sanitario, finanziario o tecnologico, questa campagna è un promemoria concreto del fatto che le minacce di phishing sono diventate più sofisticate. Cliccare su un link in un'email ben costruita e accedere a quello che sembra un portale legittimo può esporre il tuo token di sessione senza che tu ti accorga che qualcosa è andato storto.

Diversi livelli di difesa agiscono insieme per ridurre questo rischio:

L'autenticazione a più fattori rimane essenziale. Sebbene le tecniche avanzate di furto di token possano aggirare alcune implementazioni MFA, le chiavi di sicurezza hardware e l'autenticazione basata su passkey sono significativamente più difficili da eludere rispetto ai codici via SMS o tramite app. Le organizzazioni dovrebbero dare priorità agli standard MFA resistenti al phishing come FIDO2 ove possibile.

Le protezioni a livello di rete aggiungono un ulteriore strato. Una VPN cifra il traffico tra il tuo dispositivo e la rete internet più ampia, limitando la capacità di un aggressore di intercettare i dati in transito su reti non affidabili. Quando i dipendenti lavorano da remoto o si connettono tramite Wi-Fi pubblico, il traffico non cifrato è vulnerabile all'intercettazione. Comprendere come i diversi protocolli VPN gestiscono la cifratura e il tunneling può aiutare organizzazioni e individui a scegliere configurazioni che rafforzino genuinamente le loro connessioni, anziché aggiungere solo un'apparenza di sicurezza.

Il controllo delle email è più importante che mai. Anche gli utenti tecnicamente esperti dovrebbero fermarsi prima di cliccare su link in notifiche email inattese, specialmente quelle che trasmettono urgenza o autorità amministrativa. Confermare le richieste attraverso un canale separato — accedendo direttamente a un portale ufficiale anziché utilizzare i link nelle email — è un'abitudine a basso sforzo con un reale valore difensivo.

La durata dei token e la gestione delle sessioni meritano attenzione. I team di sicurezza dovrebbero verificare per quanto tempo i token di autenticazione rimangono validi e applicare finestre di sessione più brevi per le applicazioni sensibili. Più a lungo rimane attivo un token, più a lungo può essere utilizzato un token rubato.

Conclusioni per Organizzazioni e Individui

Questa comunicazione di Microsoft è un utile spunto per verificare le pratiche di sicurezza attuali, non un motivo di panico. Le campagne di furto di credenziali su questa scala hanno successo perché sfruttano le lacune tra la consapevolezza e l'azione. Alcuni passi concreti che vale la pena intraprendere adesso:

Rivedere le impostazioni MFA e orientarsi verso metodi di autenticazione resistenti al phishing ove possibile.
Assicurarsi che i lavoratori da remoto utilizzino una VPN su reti non affidabili per cifrare il traffico in transito. Se non sei sicuro di quale protocollo si adatti meglio al tuo modello di minaccia, esaminare come ciascuno gestisce sicurezza e prestazioni è un punto di partenza pratico.
Formare il personale a riconoscere le esche di ingegneria sociale, incluse le email basate sull'autorità come avvisi di policy e promemoria sul codice di condotta.
Chiedere ai team IT o di sicurezza informazioni sulle politiche dei token di sessione e se finestre di scadenza più brevi siano fattibili per i sistemi critici.

Nessun singolo controllo elimina completamente il rischio, ma sovrapporre igiene dell'autenticazione, connessioni di rete cifrate e consapevolezza degli utenti crea un attrito significativo per gli aggressori. Le organizzazioni che non sono state colpite da questa campagna avevano probabilmente almeno alcune di queste misure in atto. Quelle che sono state colpite hanno ora un quadro chiaro su dove concentrarsi.

Microsoft Scopre una Massiccia Operazione di Phishing Basata sul Furto di Token

Perché il Furto di Token di Autenticazione È Particolarmente Pericoloso

Cosa Significa Questo per Te

Conclusioni per Organizzazioni e Individui

// FAQ

// Correlati