Una campagna di phishing basata su OAuth Device Code sta facendo suonare parecchi campanelli d’allarme tra gli esperti di sicurezza informatica. Non si tratta del solito tentativo maldestro di rubare credenziali: qui gli attaccanti sfruttano un meccanismo di autenticazione del tutto legittimo, quello che permette di collegare un dispositivo inserendo un codice su un altro device già autenticato. Il risultato è un accesso continuativo agli account delle vittime, senza dover sottrarre direttamente username o password. La tecnica, osservata attivamente ad aprile 2026, rappresenta un salto di qualità rispetto ai metodi tradizionali perché riesce ad aggirare difese consolidate come l’autenticazione a due fattori (2FA) e i sistemi di rilevamento basati su credenziali compromesse. A rendere tutto ancora più insidioso, c’è il contributo dell’intelligenza artificiale, che alza notevolmente il livello di sofisticazione dell’intera operazione. Microsoft fa riferimento al toolkit Phishing as a Service noto come EvilToken.
Cos’è Phishing OAuth Device Code?
Il flusso della Device Code Authentication nasce con uno scopo preciso: facilitare l’accesso su dispositivi con capacità di input limitate, come smart TV, console o sistemi embedded. In condizioni normali, l’utente riceve un codice temporaneo e lo inserisce su un dispositivo secondario già autenticato. Il server OAuth valida la richiesta e concede un token di accesso. Il problema non sta nel protocollo in sé, ma nell’uso improprio che ne fanno gli aggressori, facendo leva sulla fiducia dell’utente e sulla legittimità apparente del processo. L’attacco si sviluppa in più fasi: l’aggressore avvia una richiesta di autenticazione tramite device code verso un servizio legittimo, per esempio Microsoft Entra ID. Il sistema genera un codice e un URL di verifica. A quel punto entra in gioco l’ingegneria sociale: la vittima riceve un messaggio che la spinge a inserire il codice, magari con la scusa di risolvere un problema urgente o completare una verifica di sicurezza. Una volta inserito il codice, il sistema autentica la sessione dell’attaccante. Non serve rubare password né intercettare codici OTP: è l’utente stesso a completare il processo, inconsapevolmente. Il token ottenuto consente l’accesso a risorse autorizzate, inclusi servizi cloud, email e file aziendali. Di solito l’attaccante genera subito un refresh token, cioè una credenziale che permette di ottenere nuovi token di accesso senza ripetere l’autenticazione, mantenendo così la persistenza nel tempo.
L’intelligenza artificiale potenzia il phishing OAuth Device Code
La vera novità di questa campagna riguarda proprio il ruolo dell’AI nel rendere gli attacchi più efficaci. I messaggi di phishing risultano decisamente più credibili, calibrati sul contesto lavorativo della vittima e privi di quegli errori grammaticali che di solito fanno scattare il sospetto. Modelli linguistici avanzati generano comunicazioni coerenti con lo stile aziendale, includendo riferimenti a strumenti reali come Microsoft Teams o SharePoint. L’intelligenza artificiale interviene anche nella fase operativa: analizza le risposte delle vittime, modifica dinamicamente i messaggi e ottimizza il timing degli attacchi. In alcuni casi, gli aggressori utilizzano chatbot per interagire in tempo reale con l’utente, simulando un supporto tecnico credibile. L’automazione consente di colpire un numero elevato di bersagli mantenendo un tasso di successo alto.
Dopo aver ottenuto l’accesso iniziale, gli attaccanti non si fermano: cercano di stabilire una presenza duratura. L’uso dei token OAuth consente di evitare controlli basati su password e riduce la visibilità nei log tradizionali. Negli ambienti aziendali, l’accesso iniziale può evolvere rapidamente in un movimento laterale, soprattutto se l’account compromesso dispone di privilegi elevati. Una tecnica osservata da Microsoft consiste nell’aggiungere nuove applicazioni registrate o modificare le autorizzazioni esistenti, ottenendo così accessi più ampi senza dover ripetere l’attacco. Alcuni scenari includono anche l’uso delle API Microsoft Graph per estrarre dati o inviare email interne, amplificando la diffusione dell’operazione.
Come difendersi dagli attacchi basati su OAuth Device Code
Rilevare questi attacchi non è semplice, proprio perché le richieste provengono da infrastrutture legittime e utilizzano flussi standard. Ci sono però alcuni segnali a cui prestare attenzione: accessi da località insolite subito dopo una procedura di device login, creazione anomala di applicazioni OAuth, incremento improvviso delle richieste API. Le aziende devono intervenire su più livelli. La disabilitazione del flusso device code per gli utenti che non ne hanno bisogno rappresenta una prima misura efficace. In alternativa, è possibile limitare l’uso a dispositivi gestiti o reti aziendali. Il monitoraggio delle richieste di autenticazione e l’analisi dei token emessi diventano elementi centrali nella difesa. Un’altra contromisura fondamentale riguarda la formazione degli utenti: far capire che l’inserimento di un codice su richiesta di terzi può comportare rischi elevati. Le simulazioni di phishing devono includere scenari realistici basati su OAuth, non soltanto le classiche email fraudolente.
