Una campagna di phishing su scala globale sta colpendo le piattaforme Microsoft 365 con un livello di sofisticazione che segna davvero un salto di qualità rispetto agli attacchi più tradizionali. Non si parla di email truffaldine scritte male o di link sospetti facilmente riconoscibili. Qui il bersaglio è molto più specifico e, per certi versi, più pericoloso: i token di accesso degli utenti. Sono oltre 340 le organizzazioni coinvolte a livello mondiale, un numero che dà la misura di quanto questa operazione sia stata pianificata con cura quasi chirurgica.
Il meccanismo alla base dell’attacco ruota attorno a un concetto che molti non addetti ai lavori potrebbero non conoscere nel dettaglio. Quando un utente effettua il login su Microsoft 365, il sistema genera un token, una sorta di lasciapassare digitale che consente di restare autenticati senza dover reinserire la password ogni volta. Chi riesce a impossessarsi di quel token può accedere all’account della vittima aggirando completamente le credenziali e, cosa ancora più grave, anche l’autenticazione a due fattori. È questo il punto critico che rende la campagna così insidiosa.
Come funziona l’attacco e perché è diverso dal solito
La struttura dell’operazione è articolata su più livelli. Le email di phishing vengono confezionate con estrema attenzione, replicando comunicazioni aziendali legittime legate a Microsoft 365. Una volta che la vittima clicca sul link e interagisce con la pagina fraudolenta, gli attaccanti intercettano il token di sessione in tempo reale. Questo approccio, noto come adversary in the middle, posiziona gli aggressori tra l’utente e il server autentico di Microsoft, catturando tutto il necessario senza che la vittima si accorga di nulla.
Il fatto che siano state prese di mira oltre 340 organizzazioni distribuite in diversi Paesi dimostra che non si tratta di un attacco opportunistico. C’è una regia precisa, con infrastrutture dedicate e una selezione mirata degli obiettivi. Parliamo di aziende, enti e realtà che utilizzano Microsoft 365 come piattaforma centrale per la gestione delle comunicazioni, dei documenti e dei flussi di lavoro quotidiani. Compromettere quei token significa, in pratica, avere le chiavi di casa.
L’identità digitale come vero obiettivo strategico
Quello che emerge con forza da questa vicenda è un cambio di paradigma negli attacchi informatici. Il vero bersaglio non è più la password in sé, ma l’identità digitale nel suo complesso. I token di accesso rappresentano l’anello debole di una catena che molti consideravano sufficientemente robusta grazie alla doppia autenticazione. E invece no: se l’attaccante riesce a intercettare la sessione già autenticata, tutto il resto diventa irrilevante.
Per le organizzazioni che dipendono da Microsoft 365, e sono tantissime, la lezione è piuttosto chiara. Le difese tradizionali non bastano più. Servono sistemi di monitoraggio capaci di rilevare anomalie nelle sessioni attive, politiche di scadenza dei token più aggressive e, soprattutto, una consapevolezza diffusa su cosa significhi oggi proteggere un’identità digitale. I classici consigli tipo “non cliccare su link sospetti” restano validi, ma contro attacchi di questo calibro servono contromisure tecniche ben più strutturate, come il monitoraggio comportamentale delle sessioni e la segmentazione degli accessi basata sul rischio.
La campagna di phishing ha colpito realtà appartenenti a settori diversi, dalla finanza alla sanità, dall’istruzione alla pubblica amministrazione, confermando che nessun comparto può considerarsi al riparo quando l’obiettivo degli attaccanti sono i token di Microsoft 365.
