Cyberattacco mirato agli account Microsoft 365 scoperto nuove minacce e come proteggersi online

modalità e caratteristiche del nuovo cyberattacco

Un attacco informatico sofisticato sta mettendo a rischio gli utenti di Microsoft 365 tramite un inganno mirato che sfrutta l’uso del protocollo OAuth e app di messaggistica istantanea come Signal e WhatsApp. Gli aggressori, indicati da fonti di cybersecurity come Volexity, utilizzano profili falsi di funzionari governativi europei per ingannare dipendenti coinvolti in temi geopolitici sensibili, in particolare legati all’Ucraina e ai diritti umani. La truffa si basa su tecniche di social engineering estremamente curate, capaci di eludere i tradizionali controlli tecnici e di convincere le vittime a fornire accesso ai propri account Microsoft 365.

Gli hacker avviano il contatto spesso con email inviate da account governativi ucraini compromessi, consolidando poi l’interazione tramite app di messaggistica per costruire un rapporto di fiducia. La comunicazione prosegue con l’invio di documenti PDF contenenti link di phishing OAuth, che convincono la vittima a concedere autorizzazioni apparentemente legittime su pagine di login contraffatte. Il punto di forza di questa tecnica risiede nella manipolazione del protocollo OAuth, uno strumento autentico concepito per facilitare l’accesso alle risorse senza condividere le credenziali, ma che in questo caso viene strumentalizzato per ottenere un accesso persistente e duraturo agli account, anche dopo eventuali cambi di password.

Il codice generato durante la procedura di autorizzazione ha una validità di 60 giorni, garantendo così agli aggressori la possibilità di movimentare liberamente email, documenti e altre risorse Microsoft 365 senza essere immediatamente rilevati. La cura nelle false identità e nella costruzione dei messaggi, con riferimenti istituzionali e dettagli specifici, rende particolarmente insidioso il riconoscimento tempestivo dell’inganno.

impatto e rischi per gli account microsoft 365

L’impatto di questo attacco sui conti Microsoft 365 è particolarmente grave, poiché consente ai criminali informatici di compromettere completamente l’ambiente digitale delle vittime. Una volta ottenuto l’accesso tramite la tecnica phishing basata su OAuth, gli aggressori possono leggere e inviare email, consultare documenti sensibili, accedere a calendari, contatti e altre applicazioni integrate nella piattaforma cloud, con potenziali conseguenze per la sicurezza aziendale e la privacy personale.

La natura prolungata dell’accesso, garantita dall’autorizzazione valida sino a 60 giorni, facilita operazioni di spionaggio, furto di informazioni riservate o campagne di frode estese, difficili da individuare senza adeguati strumenti di monitoraggio. Importante è segnalare come la semplice modifica della password da parte dell’utente non annulli l’accesso fraudolento, poiché viene aggirata la necessità di inserire nuovamente le credenziali dirette.

Inoltre, la capacità degli hacker di camuffarsi dietro profili ufficiali di missioni diplomatiche europee e di targettizzare selettivamente figure impegnate in ambiti strategici amplifica il rischio di danni considerevoli su scala politica e organizzativa. Il potenziale uso improprio delle informazioni raccolte può minacciare la reputazione, la sicurezza nazionale e la continuità operativa delle organizzazioni coinvolte.

Gli account infetti, se non identificati e isolati tempestivamente, possono fungere da punto di partenza per attacchi più ampi all’interno delle reti aziendali o di istituzioni governative, propagando l’infezione e compromettendo ulteriori sistemi e dati.

strategie di difesa e consigli per gli utenti

La difesa contro questo tipo di attacco deve basarsi su un approccio multilivello che includa policy di sicurezza tecniche e una rigorosa formazione degli utenti. In primo luogo, è fondamentale adottare misure di accesso condizionato, come il blocco delle autenticazioni da dispositivi non autorizzati e l’attivazione di notifiche per ogni accesso sospetto, così da limitare i punti d’ingresso alla piattaforma Microsoft 365 e rilevare tempestivamente anomalie.

L’implementazione di sistemi di autenticazione a più fattori (MFA) rappresenta un presidio irrinunciabile, aumentando significativamente la difficoltà per gli aggressori di sfruttare token OAuth illeciti. Parallelamente, si consiglia di monitorare costantemente le autorizzazioni autorizzate alle applicazioni di terze parti, revocando immediatamente quelle non riconosciute o non più necessarie.

La componente umana resta il principale fattore di vulnerabilità. È quindi imperativo che le organizzazioni promuovano una cultura della sicurezza informatica, aggiornata sulle tecniche più recenti di social engineering e phishing. I dipendenti devono essere istruiti a riconoscere segnali di allarme quali messaggi urgenti, improvvisi cambi di tono comunicativo o richieste insolite provenienti da mittenti apparentemente affidabili.

Un principio da adottare è la verifica sistematica delle comunicazioni sospette con canali ufficiali alternativi prima di aprire link o allegati. L’approccio “zero-trust”, che prevede di non dare mai per scontata la legittimità di una richiesta senza un’ulteriore conferma, è particolarmente efficace nel contrastare attacchi sofisticati.

Le organizzazioni dovrebbero prevedere programmi regolari di simulazione di phishing per mettere alla prova la preparazione del personale, identificare eventuali lacune e rafforzare la resilienza complessiva contro minacce che sfruttano soprattutto la psicologia umana anziché vulnerabilità tecniche dirette.