Due giorni fa, Microsoft ha diramato un’allerta globale su una nuova e sofisticata campagna di phishing che sfrutta l’intelligenza artificiale per colpire gli account aziendali. Come CERT-AgID, abbiamo già raccolto prove che confermano come questa minaccia stia prendendo di mira anche la Pubblica Amministrazione italiana.

Il meccanismo dell’attacco è molto astuto e sfrutta una funzione legittima chiamata device code flow o flusso tramite codice dispositivo, un sistema normalmente utilizzato per collegare all’account dispositivi senza tastiera. I criminali stanno abusando di questo passaggio, inviando messaggi convincenti che chiedono di inserire un codice su una portale di autenticazione di Microsoft con la scusa di un aggiornamento urgente o di una verifica di sicurezza.

Il vero pericolo sta nel fatto che la pagina dove viene richiesto di inserire il codice e le proprie credenziali è quella vera, e di conseguenza non può essere bloccata da sistemi di protezione e può ingannare anche un utente esperto. Nel momento in cui il codice viene digitato, si sta letteralmente aprendo la porta al criminale, permettendogli di entrare nell’account scavalcando anche l’autenticazione a due fattori.

Ciò che distingue questa campagna non è tanto la tecnica, già osservata in passato, ma il modo in cui viene eseguita. Gli attaccanti utilizzano automazioni su larga scala e strumenti basati su intelligenza artificiale per generare campagne sempre diverse, adattare i messaggi e gestire l’intero attacco in modo automatico. Questo rende l’operazione più veloce, più difficile da rilevare e replicabile su larga scala.

L’Intelligenza Artificiale non introduce una nuova tecnica di attacco, ma trasforma un meccanismo già noto¹ in un’operazione industriale, capace di colpire molte organizzazioni contemporaneamente con contenuti sempre diversi e difficili da bloccare.

Catena di compromissione

Il flusso tramite codice dispositivo² è una modalità legittima di autenticazione tramite OAuth, supportata da Microsoft Identity Platform e pensata per poter effettuare il login su dispositivi con interfacce limite, come una smart TV, un dispositivo IoT o una stampante, dove risulta impossibile o comunque scomodo effettuare l’accesso in maniera tradizionale digitando le proprie credenziali. In questa procedura, viene presentato un breve codice sul dispositivo su cui l’utente sta tentando di accedere e viene chiesto di inserire tale codice nel browser di un secondo dispositivo per completare l’autenticazione. Sebbene questa modalità di autenticazione sia utile in situazioni particolari, rappresenta un compromesso in termini di sicurezza.

In questa tipologia di phishing, il threat actor si inserisce in questa procedura di login: invece di essere un dispositivo legittimo a richiedere l’accesso, è l’attore malevolo ad avviare il flusso di autenticazione e a fornire all’utente un codice tramite un’esca. Quando l’utente inserisce il codice nella pagina di login nel proprio browser, autorizza inconsapevolmente la sessione dell’attaccante, concedendo l’accesso al proprio account senza divulgarne le credenziali.

Email come vettore iniziale

La campagna è veicolata tramite e-mail ingannevoli che hanno sfruttato diversi temi, tra cui la condivisione di documenti, l’apposizione di firme elettroniche e notifiche di segreteria telefonica. Queste e-mail contengono diversi tipi di payload, tra cui URL inseriti direttamente nel corpo o in allegati PDF o HTML. L’obiettivo è quello di indurre l’utente a cliccare su un link che lo reindirizza a un’interfaccia dall’aspetto legittimo.

Per eludere gli scanner automatici di URL e le sandbox, le email di phishing non rimandano direttamente alla pagina finale ma impiegano una serie di reindirizzamenti attraverso domini legittimi compromessi e piattaforme serverless come AWS, Cloudflare e Vercel. Utilizzando questi domini, il traffico di phishing si “mimetizza” con il traffico cloud aziendale legittimo, impedendo l’attivazione dei meccanismi di blocco più semplici. È stato inoltre osservato l’utilizzo di nomi di sottodomini pensati per spacciarsi per servizi tecnici o amministrativi, di maniera tale che, anche se un URL viene segnalato, il relativo dominio può sembrare legittimo e non venire bloccato immediatamente.

Generazione dinamica del codice dispositivo

Una volta caricata la pagina web di phishing vera e propria, viene eseguito in background uno script JS che interagisce con l’endpoint di autenticazione Microsoft per generare dinamicamente un codice dispositivo. Il codice viene quindi visualizzato sullo schermo dell’utente insieme a un pulsante che lo reindirizza al portale ufficiale di autenticazione microsoft.com/devicelogin.

Inoltre, per massimizzare la percentuale di successo, in alcuni casi lo script copia automaticamente il codice generato nella clipboard del computer, di maniera tale che l’utente deve solo incollare il codice nella pagina di accesso ufficiale. Se l’utente non ha una sessione attiva, viene richiesto di inserire la credenziali ed eventualmente quanto richiesto dai meccanismi di autenticazione a più fattori (MFA). Se invece ha già effettuato l’accesso, è sufficiente incollare il codice e confermare la richiesta per autenticare immediatamente la sessione sul backend dell’attaccante.

A differenza delle tradizionali pagine di phishing, questa non è progettata per sottrarre direttamente le credenziali, bensì funge da intermediario tra il portale di autenticazione Microsoft mostrato all’utente e il server controllato dall’attaccante.

Verifica della sessione e fase post-compromissione

Subito dopo aver compromesso con successo il sistema, l’autore dell’attacco esegue un controllo di convalida. Questa fase automatizzata garantisce che il token di autenticazione sia valido e che sia stato concesso con successo il livello di accesso necessario all’ambiente di destinazione.

Dopo aver presentato il codice dispositivo all’utente e aver aperto il portale di autenticazione Microsoft, lo script verifica periodicamente se l’utente ha completato la procedura o meno. Non appena la vittima ha effettuato il login, il server dell’attore malevolo è quindi in possesso di un token di accesso, e parallelamente lo script rimanda l’utente a un sito web fittizio.

La fase finale varia in funzione degli obiettivi specifici del threat actor. In alcuni casi vengono registrati nuovi dispositivi, così da garantire una persistenza a lungo termine; in altri, invece, vengono sottratti dati dalle e-mail e create regole ad-hoc nella posta in arrivo.

Raccomandazioni

Per gli amministratori, oltre alle misure valide per tutte le tipologie di phishing, come la sensibilizzazione degli utenti e l’adozione dell’autenticazione a più fattori, si raccomanda di abilitare il flusso del codice dispositivo solo quando strettamente necessario.

Per gli utenti, la regola fondamentale resta sempre la stessa: prestare attenzione sia al contesto in cui vengono inserite le proprie credenziali, sia alle autorizzazioni che si stanno concedendo. È inoltre importante mantenere un elevato livello di attenzione ogni volta che viene richiesto di effettuare l’accesso con modalità diverse dal consueto o di concedere permessi insoliti e, in caso di dubbi, contattare tempestivamente i responsabili IT.

Azioni di contrasto

Per mitigare il rischio e contenere le possibili compromissioni, il CERT-AGID ha provveduto a distribuire gli Indicatori di Compromissione alle Pubbliche Amministrazioni accreditate al flusso IoC.

Approfondimenti

1. https://www.microsoft.com/en-us/security/blog/2026/04/06/ai-enabled-device-code-phishing-campaign-april-2026/
2. https://www.theregister.com/2026/04/07/microsoft_device_code_phishing/
3. https://app.any.run/tasks/d069d309-64e7-46f7-9a23-ff5e1cc1e347

1. https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/ ↩︎
2. https://learn.microsoft.com/it-it/entra/identity-platform/v2-oauth2-device-code ↩︎