Il Nuovo Rischio di Phishing: Come il Consenso OAuth Elude il MFA Nel febbraio 2026, un servizio di phishing chiamato EvilTokens è diventato attivo, compromettendo oltre 340 organizzazioni di Microsoft 365 in cinque nazioni in poco più di un mese.…
Il Nuovo Rischio di Phishing: Come il Consenso OAuth Elude il MFA
Nel febbraio 2026, un servizio di phishing chiamato EvilTokens è diventato attivo, compromettendo oltre 340 organizzazioni di Microsoft 365 in cinque nazioni in poco più di un mese. Questo nuovo metodo di attacco ha evidenziato una debolezza critica nei sistemi di autenticazione: il consenso OAuth, una pratica sempre più diffusa che gli utenti accettano senza pensarci due volte. In questo articolo, esploreremo come il consueto clic su questi schermi di consenso abbia aperto la porta a rischi significativi per la sicurezza.
Un Meccanismo di Attacco Affidabile
Gli utenti vittime di EvilTokens ricevevano un invito a inserire un codice su microsoft.com/devicelogin, pensando di completare una normale sfida di autenticazione a due fattori (MFA). Tuttavia, venivano ingannati nel fornire un token di refresh valido, che concedeva accesso diretto alle loro caselle di posta, drive, calendari e contatti. Così facendo, gli aggressori non richiedevano nemmeno una password o una conferma MFA, evitando qualsiasi alert di intrusione.
La ragione per cui questo attacco ha avuto successo è semplice: gli schermi di consenso OAuth sono diventati un clic automatico, e i controlli di sicurezza tradizionali non si occupano di monitorare questa fase cruciale. I ricercatori di sicurezza definiscono questo fenomeno come “consent phishing”, dove il consenso inconscio degli utenti diventa un veicolo per compromettere le loro identità.
Un Pericolo Sotto il Radar
A differenza dei metodi di phishing tradizionali, dove viene rubata una combinazione di nome utente e password, gli attacchi che sfruttano il consenso OAuth non lasciano traccia di credenziali riutilizzabili. L’utente, autenticatosi su un provider legittimo, completa la MFA su un dominio noto e accetta di concedere l’accesso. Così facendo, l’aggressore ottiene un token di accesso firmato e rinnovabile, che non viene riconosciuto come una minaccia. Questo porta a un’ulteriore vulnerabilità: i token di refresh possono rimanere attivi per giorni, settimane o addirittura mesi, a meno che non vengano revocati esplicitamente.
In Italia, questo formidabile punto debole potrebbe riflettersi in un aumento dei casi di accessi non autorizzati a dati sensibili nelle aziende, comportando costi e danni reputazionali notevoli.
Normatività del Consenso: Un Fattore di Rischio
L’uso di OAuth è diventato parte della routine quotidiana dei lavoratori, che accettano autorizzazioni per app di produttività, strumenti di intelligenza artificiale e integrazioni varie quasi senza pensarci. Il linguaggio delle autorizzazioni non sempre rispecchia il rischio, creando un divario che i malintenzionati possono sfruttare. Un’autorizzazione per “Leggere la tua email”, ad esempio, riguarda in realtà l’accesso a tutte le comunicazioni e allegati.
Le combinazioni tossiche si formano quando si concedono diversi permessi a applicazioni che non sono state approvate in combinazione da un unico proprietario. Per esempio, un dipendente del settore finanziario può concedere accesso a un assistente AI e successivamente a un secondo strumento, creando un punto di accesso complesso e difficile da monitorare. Questo tipo di rischio, crescente e sottovalutato, rappresenta una seria minaccia alla sicurezza dei dati aziendali.
Conclusione: La Necessità di Maggiore Vigilanza
Per affrontare queste vulnerabilità, le organizzazioni devono trattare il consenso OAuth con la stessa attenzione riservata all’autenticazione. La chiave è identificare le lacune nel controllo e procedere con una revisione sistematica cosa comporta ogni autorizzazione concessa. È fondamentale tenere traccia delle app terze che detengono token di refresh, monitorare le identità che operano su più app e garantire che ci siano politiche di accesso condizionato che riattivano i controlli di consenso.
Adottare una piattaforma di sicurezza in grado di gestire automaticamente queste problematiche, come i sistemi di governance delle identità, può rivelarsi essenziale. La sicurezza del consenso e delle autorizzazioni è un tema cruciale, e le aziende italiane devono correre ai ripari per proteggere i loro dati e le loro operazioni da attacchi sempre più sofisticati.
