Secondo i ricercatori Proofpoint, diverse reti di minacce che sfruttano tool di phishing per trarre in inganno gli utenti ed accedere agli account M365 di Microsoft mediante l’autorizzazione OAuth del Device Code.

“Si tratta della forma di phishing ‘più pulita’ e per questo più infida: non ruba la password, si fa regalare un token OAuth dall’utente”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.

“Il device code phishing non introduce una nuova categoria di attacco: è l’evoluzione di tattiche note che continuano a colpire lo stesso punto debole, cioè la persona”, spiega Francesco Iezzi, Cybersecurity Specialist NHOA.

Ecco come mitigare il rischio.

Come funziona il Device Code Phishing

Un attacco di successo provoca la compromissione dell’account, l’esfiltrazione di dati eccetera.

Il team di Threat Research di Proofpoint ha esaminato varie reti di minacce (sia nation-state che quelle che agiscono per motivi finanziari) che, facendo leva sul Device Code Phishing, spingono gli utenti a fornire l’accesso al loro account Microsoft 365.

“La vittima inserisce un codice su una pagina Microsoft vera, completa anche l’MFA… e intanto sta consegnando le chiavi di M365 (mail, OneDrive, SharePoint). Risultato: account takeover, esfiltrazione dati e BEC, con tutti i danni del caso. Messaggio chiave: qui l’MFA non basta, perché l’attacco passa dal consenso“, mette in guardia Sandro Sana.

Infatti, un attaccante colpisce un utente via social engineering per indurlo ad accedere a un’applicazione con credenziali legittime. Il servizio genera un token che viene poi ottenuto dall’attore della minaccia, conferendogli il controllo dell’account M365.

“Non viene violato un sistema: viene sfruttato un flusso legittimo, spostando l’inganno sul piano cognitivo e decisionale dell’utente“, spiega Francesco Iezzi: “L’attaccante non forza l’autenticazione; porta la vittima a completare un passaggio reale nel flusso di autorizzazione OAuth. Il risultato non è il furto di una password, ma l’ottenimento di un token OAuth valido: di fatto una sessione già autenticata, immediatamente spendibile su Microsoft 365”.

I dettagli

Precedentemente erano state osservate attività pericolose mirate e limitate di “red team” che usavano il phishing del codice dispositivo. Ma da settembre 2025, Proofpoint ha scoperto campagne diffuse che usavano questi flussi di attacco.
Nelle attività recenti, l’avvio delle campagne parte con un messaggio che contiene un URL inglobato dietro un pulsante: un testo ipertestuale o all’interno di un codice QR.

Quando un utente visita l’URL, la sequenza di attacco sfrutta il processo legittimo di autorizzazione del dispositivo Microsoft. Una volta avviato, l’utente
riceve un Device Code direttamente sulla pagina di destinazione o in una seconda email spedita dall’attore della minaccia.

Le esche di solito sostengono che il codice dispositivo è un OTP, indirizzando l’utente a digitare il codice all’URL di verifica di Microsoft. Una volta immesso il codice, si convalida il token originale, regalando all’attore della minaccia la possibilità di accedere all’account M365 preso di mira.

“In questo scenario, la superficie d’attacco si sposta dalla schermata di login alla catena consenso–token–sessione, con impatti diretti su posta, file e strumenti di collaborazione“, sottolinea Francesco Iezzi: “Questo conferma un trend ormai evidente: l’identità è diventata il bene digitale più critico da proteggere. Così come gli access broker sono centrali perché monetizzano l’accesso, l’identità è il vero punto di controllo dell’ecosistema digitale e, sarà la nuova sfida del 2026. Al di là della componente tecnica, il vettore resta il social engineering: tramite un’identità compromessa si aprono le porte a molti servizi e, sempre più spesso, i confini tra identità personale e lavorativa si sfumano, aumentando la probabilità di compromissioni ‘trasversali’”.

Strumenti di red team e cyber criminali

Ad utilizzare questa tecnica è il gruppo cybercriminale già noto, TA2723. In vendita sui forum di hacking, si trovano anche strumenti di “red team” (come Squarephish e SquarephishV2) da sfruttare per questa tipologia di attacco, che permettono agli attori delle minacce di aggirare la natura a breve termine dei codici dispositivo, allungando le campagne rispetto a prima.

“Dall’uso di applicazioni OAuth pericolose per l’accesso persistente, all’abuso di flussi di autenticazione Microsoft legittimi con codici dispositivo, le tattiche degli attaccanti per ottenere il controllo dell’account si stanno evolvendo con una rapida adozione nel panorama delle minacce. Queste campagne si basano fortemente sull’ingegneria sociale, utilizzando molto spesso esche con URLincorporati o codici QR per indurre gli utenti a pensare di avere una protezione attiva per i propri account”, avvertono i ricercatori di Proofpoint.

Le campagne

Nei casi in esame, alcuni messaggi sembrano notifiche di ri-autorizzazione del token, mentre altri sfruttano varie esche per indurre l’utente a cliccare su un URL, innescando una catena di attacchi che si chiude con l’autorizzazione dell’applicazione.

“Il social engineering è una tattica utilizzata dai malintenzionati per indurre un utente a intraprendere un’azione, per esempio aggiungere un’applicazione al proprio sistema o divulgare informazioni riservate. Tecniche come ‘ClickFix’ evidenziano come gli attori delle minacce utilizzino tematiche legate alla sicurezza per ingannare gli utenti e farli agire, sfruttando strumenti e servizi legittimi per ottenere accesso non autorizzato. Il Device Code Phishing è un altro modo in cui stanno abusando delle risorse aziendali per compromettere gli account”, spiegano i ricercatori Proofpoint.

Come mitigare il rischio

Mentre gli esperti monitorano diverse reti di minacce che usano questa tecnica di autenticazione del codice dispositivo, si suggerisce alle organizzazioni di
potenziare i controlli OAuth e aumentare la consapevolezza e la formazione degli utenti riguardo a queste minacce in evoluzione.

“Contromisure secche: bloccare o limitare il device code flow dove non serve; stringere i consensi OAuth (no “user consent” libero, solo admin consent e review periodiche); alert su device-code sign-in e nuove app/permessi anomali. E awareness molto concreta: ‘se non hai avviato tu quel login, quel codice non lo inserisci. Fine'”, conclude Sandro Sana.

In futuro, con l’adozione dei controlli MFA conformi a FIDO, si prevede che proseguirà l’abuso dei flussi di autenticazione OAuth.

“La risposta deve uscire dal concetto che la sola awareness possa tutelarci ma creare un framework di cyber security basato su processi competenze e tecnologie, dove l’obiettivo finale e la governance dell’identità”, evidenzia Francesco Iezzi: “Nel caso specifico del device code phishing, è necessario ridurre la superficie: limitare o disabilitare il device code flow dove non è un requisito operativo e abilitarlo solo per gruppi e sorgenti controllate, trattare app consent e permessi OAuth come un perimetro critico con processi di approvazione e revisione continua, e spostare detection e risposta sui segnali giusti: device-code sign-in, nuove autorizzazioni OAuth e applicazioni anomale. A quel punto servono playbook rapidi e ripetibili per revocare token e sessioni e verificare l’attività post-compromissione”.