Anche i codici di verifica non bastano sempre a fermare un attacco, e la nuova campagna che colpisce Microsoft 365 lo dimostra in modo molto chiaro.
Negli ultimi anni la verifica in due passaggi è stata raccontata come una delle difese più efficaci contro furti di account e accessi non autorizzati. Ed è vero, perché nella maggior parte dei casi aggiunge un livello di protezione reale. Il problema è che i criminali informatici stanno cambiando approccio: invece di puntare solo a rubare password in modo tradizionale, cercano di inserirsi in mezzo al processo di accesso e di intercettare anche ciò che arriva dopo, compresi codici temporanei e sessioni di login.
È questo il cuore della nuova campagna di phishing che prende di mira Microsoft 365. Il meccanismo non si limita a imitare una pagina di accesso, ma sfrutta tecniche più sofisticate per convincere l’utente a completare il login dentro un flusso apparentemente credibile. In questo modo, anche chi pensa di essere protetto soltanto perché usa l’MFA rischia di sottovalutare il problema. La novità più inquietante non è tanto l’esistenza dell’attacco, ma il fatto che riesca a sfruttare strumenti legittimi e passaggi che, a un occhio non esperto, possono sembrare assolutamente normali.
Come funziona il nuovo attacco
Il principio è semplice solo in apparenza. L’utente riceve un messaggio costruito per sembrare attendibile e viene indirizzato verso una procedura che replica il login di Microsoft 365. A quel punto inserisce le credenziali, poi il codice di sicurezza o approva la richiesta di accesso, convinto di stare dialogando con il servizio autentico. In realtà gli aggressori si posizionano nel mezzo e catturano le informazioni necessarie per aprire una sessione valida.
Questa tecnica rientra nella famiglia degli attacchi adversary-in-the-middle, spesso abbreviati in AiTM. Non serve quindi rubare soltanto la password: l’obiettivo è appropriarsi dell’intera sessione di accesso o degli elementi che permettono di superare i controlli successivi. È per questo che il messaggio da dare agli utenti è delicato ma chiaro: la verifica a più fattori resta utile, però da sola non può essere considerata una garanzia assoluta contro campagne costruite in modo più avanzato.
Perché la minaccia pesa davvero
La forza di questa vicenda sta nel fatto che non riguarda solo i reparti IT o le grandi aziende. Un account Microsoft oggi contiene email, documenti, appuntamenti, conversazioni, file condivisi e spesso anche accessi collegati ad altri servizi. Quando un attaccante riesce a entrare in uno di questi ambienti, il danno non si ferma alla casella di posta: può allargarsi alla vita lavorativa, ai dati interni e alla rete di contatti della vittima.
Il rischio aumenta proprio perché le campagne moderne puntano sulla credibilità. Non si presentano sempre con errori vistosi, link improbabili o messaggi palesemente falsi. Al contrario, cercano di usare un linguaggio pulito, infrastrutture apparentemente affidabili e percorsi di autenticazione che sembrano regolari. In pratica, gli utenti vengono spinti a fidarsi di segnali che fino a poco tempo fa sarebbero bastati a rassicurarli.
Cosa cambia davvero per utenti e aziende
La lezione più importante è che la sicurezza non può più basarsi su un solo livello di difesa. L’MFA rimane una protezione indispensabile e sarebbe sbagliato sminuirla, ma va accompagnata da controlli sulle sessioni, attenzione ai link ricevuti, sistemi di rilevamento più intelligenti e regole più severe sugli accessi. Per le aziende significa rafforzare il monitoraggio; per gli utenti comuni significa diffidare dei percorsi di login che arrivano via email o messaggio, anche quando sembrano costruiti bene.
Questa ondata di attacchi racconta una verità scomoda ma utile: i criminali non cercano più soltanto password deboli, cercano abitudini prevedibili. Fanno leva sulla fretta, sulla routine e sulla fiducia che riponiamo nei passaggi di sicurezza più familiari. Ed è proprio per questo che la minaccia pesa di più oggi: non colpisce soltanto chi sbaglia, ma anche chi pensa di stare facendo tutto correttamente.
