Il furto degli account Microsoft tramite una tecnica chiamata Device Code Phishing sta prendendo piede in nuove campagne malevole, e chi non conosce il meccanismo rischia grosso. Circa tre mesi fa era stata Microsoft stessa a descrivere nel dettaglio come funziona questo tipo di attacco. Ora i ricercatori di Kaspersky hanno individuato una serie di operazioni fresche che sfruttano proprio l’autenticazione tramite codice dispositivo per mettere le mani sugli account degli utenti. E hanno anche spiegato come evitare la trappola.
Come funziona l’autenticazione con codice dispositivo
Il sistema in sé è comodo e legittimo. L’autenticazione con codice serve quando bisogna accedere a un account da dispositivi che non hanno un browser web o una tastiera comoda da usare. Pensiamo a una smart TV, a una stampante, a tutti quegli apparecchi dove digitare password lunghe sarebbe un incubo. Il dispositivo mostra un codice, che poi va inserito tramite smartphone o PC per completare il login. Nel caso delle applicazioni su smart TV spesso viene generato direttamente un codice QR da inquadrare con la fotocamera del telefono.
Il flusso è lineare. Dopo la richiesta di autenticazione, il server Microsoft invia il codice. L’utente lo inserisce, l’accesso viene approvato. C’è un dettaglio interessante: il token scade dopo un’ora, quindi il dispositivo invia in automatico una nuova richiesta per mantenere attiva la connessione, senza costringere la persona a digitare un altro codice ogni volta. Comodissimo, sì. Peccato che proprio questa funzionalità venga sfruttata dai cybercriminali per rubare gli account.
La trappola che parte da una finta email legale
L’attacco descritto dagli esperti comincia in modo apparentemente innocuo. Arriva un’email con un allegato PDF protetto da password, e il mittente si spaccia per uno studio legale. La password è scritta nel corpo del messaggio, quindi la vittima la inserisce senza troppi dubbi e si ritrova davanti un link da cliccare per visualizzare i documenti.
Quel link apre un’altra pagina, dove compare un pulsante da premere per richiedere un codice di accesso. La richiesta viene inoltrata al server Microsoft e a questo punto scatta l’inganno: la persona, del tutto ignara, inserisce il codice nella pagina di autenticazione e spalanca le porte del proprio account. I criminali ottengono così l’accesso alle email, ai file su OneDrive, alle conversazioni su Teams e a un mucchio di altri dati personali.