L’attacco phishing che ruba le credenziali Microsoft sta facendo parecchio rumore, al punto che persino l’FBI ha deciso di muoversi con un avviso pubblico. Il bersaglio sono gli account Microsoft 365 e il problema più grave è che questa minaccia riesce ad aggirare anche l’autenticazione a più fattori, quella protezione aggiuntiva che molti danno ormai per scontata. A muovere i fili c’è una piattaforma emergente chiamata Kali365, distribuita soprattutto attraverso Telegram.
Il funzionamento, spiegato in modo semplice, è furbo e pericoloso allo stesso tempo. Secondo quanto chiarito dagli esperti del Federal Bureau of Investigation, Kali365 consente agli autori di minacce informatiche di ottenere i token di accesso a Microsoft 365 e di scavalcare i protocolli MFA senza nemmeno intercettare la password vera e propria dell’utente. In altre parole, non serve rubare la chiave di casa: basta convincere qualcuno ad aprire la porta.
Come funziona Kali365 e perché preoccupa
Chi sottoscrive l’abbonamento a Kali365 può acquisire i cosiddetti token OAuth e mantenere così un accesso persistente agli ambienti Microsoft 365 delle vittime. La cosa che fa più impressione è quanto sia diventato tutto accessibile. La piattaforma offre infatti esche di phishing generate con l’intelligenza artificiale, modelli di campagne automatizzate, dashboard per monitorare in tempo reale i bersagli e funzionalità per la cattura dei token. Tradotto: anche un aggressore poco esperto, con qualche soldo e poca competenza tecnica, può montare un attacco credibile.
E qui arriva la nota dolente. Gli esperti di Malwarebytes, analizzando questo attacco phishing che colpisce le credenziali Microsoft, hanno fatto notare un dettaglio importante. Le prime segnalazioni riguardavano soprattutto le aziende, certo, ma la tecnica funziona altrettanto bene contro i singoli utenti di Microsoft 365 che vengono ingannati e portati a inserire un codice breve su una pagina Microsoft autentica. Proprio così, autentica. Non si tratta di un sito clonato fatto male: il codice viene digitato sulla vera pagina di accesso, ed è questo che rende l’inganno così efficace. Nessuno è davvero al riparo, né le grandi organizzazioni né chi usa l’account solo per leggere la posta.
Come proteggersi dal furto delle credenziali Microsoft
Gli esperti hanno messo nero su bianco qualche regola pratica per difendersi da questo attacco phishing capace di aggirare l’autenticazione a più fattori. Sono indicazioni semplici, ma vanno prese sul serio.
La prima, e forse la più importante: mai inserire un codice nella pagina di accesso di Microsoft solo perché lo chiede una email o un messaggio. Quel codice va digitato unicamente se la procedura è stata avviata in prima persona, dal proprio dispositivo. Se arriva una richiesta che non corrisponde a niente di iniziato volontariamente, è il momento di fermarsi.
Poi c’è la questione della fretta, che resta la migliore alleata dei truffatori. Leggere con calma le istruzioni, senza cliccare di getto, permette spesso di accorgersi che qualcosa non torna. Conviene anche diffidare delle condivisioni di documenti, degli inviti su Teams o delle richieste di accesso inattese, anche quando passano per pagine Microsoft genuine. L’apparenza ufficiale non basta a garantire la buona fede.
