A luglio 2026, due scoperte parallele hanno rivelato un'impennata di sofisticati attacchi di phishing a Microsoft 365 in grado di bypassare l'autenticazione a più fattori (MFA) utilizzando due metodi fondamentalmente diversi: gli attacchi proxy adversary-in-the-middle (AiTM) e l'abuso dell'autenticazione tramite codice dispositivo (device code). La prima scoperta è arrivata da un errore di un attaccante: un server web Python malconfigurato che ha esposto tre campagne in corso. La seconda è arrivata da ricercatori che hanno tracciato una nuova piattaforma di phishing commerciale chiamata Forg365. Capire come funziona ogni attacco è il primo passo per implementare le giuste difese, perché la soluzione per uno non ferma l'altro.
Il 13 luglio 2026, i ricercatori della società di sicurezza francese Lexfo hanno scoperto tre operazioni di phishing attive basate su Evilginx che prendevano di mira Microsoft 365, dopo che un attaccante aveva lasciato un server web Python esposto su una porta pubblica con l'elenco delle directory abilitato. Il comando python3 -m http.server 8080.bash_history del server. Da quella directory aperta, Lexfo ha recuperato l'intero toolkit dell'operatore, i log, i dati delle vittime catturate e ha identificato altri due operatori di phishing che gestivano campagne separate .
Tutte e tre le operazioni erano campagne di phishing AiTM basate su Evilginx che facevano da proxy alle pagine di login di Microsoft 365 per rubare i token di sessione dopo che l'utente aveva completato l'MFA . Una delle tre campagne aveva registrato 218 account catturati in 12 paesi, di cui il 94% erano caselle di posta aziendali
. Le operazioni utilizzavano due percorsi di attacco distinti: il furto di token di sessione Evilginx (tramite un proxy AiTM) e il phishing tramite codice dispositivo (device code): un kit inviava le vittime alla vera pagina di login del dispositivo Microsoft, dove autorizzavano esse stesse l'accesso, e il backend dell'attaccante eseguiva il polling per ottenere il token
.
Separatamente, la piattaforma Forg365 di phishing-as-a-service (PhaaS) è stata identificata dai ricercatori di ZeroBEC (segnalata dal 9 al 13 luglio 2026) come un kit commerciale distribuito tramite Telegram che costa 400 dollari al mese (o 3.800 dollari all'anno). A differenza dei fork personalizzati di Evilginx trovati sul server esposto, Forg365 raggruppa molteplici metodi e strumenti di attacco in un unico pannello di controllo .
Forg365 combina tre capacità principali:
La piattaforma include anche elusione antibot (rileva sandbox e crawler di sicurezza), accesso alla casella di posta post-compromissione (gli operatori possono navigare ed esfiltrare le email dal pannello), rotazione SMTP e pianificazione delle campagne .
Queste due scoperte illustrano la differenza critica tra gli attacchi proxy AiTM e l'abuso del codice dispositivo. Comprendere la differenza è essenziale perché la stessa difesa non funziona per entrambi:
Attacchi proxy AiTM (stile Evilginx): L'attaccante configura una pagina di login falsa che fa da proxy al traffico verso la vera pagina di login Microsoft. L'utente inserisce la password e completa l'MFA sul proxy dell'attaccante. Dopo l'autenticazione riuscita, Microsoft emette un cookie di sessione a quello che crede essere il browser legittimo dell'utente, ma quel cookie finisce in realtà nel proxy dell'attaccante, non nel browser dell'utente. L'attaccante può quindi riutilizzare quel cookie per accedere all'account Microsoft 365 della vittima .
Phishing tramite codice dispositivo (device code): L'attaccante genera un codice dispositivo Microsoft legittimo (un codice breve usato per accedere su dispositivi senza tastiera, come le smart TV) e lo invia alla vittima in un'email di phishing. La vittima visita la vera pagina di login Microsoft, inserisce il codice, completa l'MFA e autorizza l'applicazione dell'attaccante. Nulla viene "bypassato": la vittima ha autorizzato l'accesso. Il backend dell'attaccante esegue quindi il polling per ottenere il token .
La difesa più efficace contro gli attacchi proxy AiTM è l'MFA resistente al phishing, in particolare FIDO2/WebAuthn e le passkey. Questi legano le credenziali al nome di dominio legittimo, quindi quando il browser dell'utente si connette al sito proxy dell'attaccante (che ha un dominio diverso), il protocollo di autenticazione rileva la mancata corrispondenza del dominio e blocca automaticamente lo scambio di credenziali .
Altre difese includono:
Il phishing tramite codice dispositivo non richiede che l'attaccante induca la vittima a inserire le credenziali su una pagina falsa: l'utente interagisce con la vera pagina di login Microsoft. Ciò significa che FIDO2/passkey da sole non proteggono completamente da questo attacco, perché viene utilizzato il flusso OAuth legittimo .
La difesa principale è bloccare la concessione OAuth device code per gli utenti che non ne hanno bisogno, utilizzando l'Accesso Condizionale di Microsoft Entra ID:
Difese aggiuntive:
L'annuncio di servizio pubblico dell'FBI del maggio 2026 sulla piattaforma PhaaS Kali365 raccomandava specificamente di bloccare il flusso del codice dispositivo come difesa primaria . Poiché piattaforme di phishing come Forg365 continuano a commercializzare queste tecniche di attacco, l'urgenza operativa per i difensori è chiara: implementare FIDO2/passkey per tutti gli account privilegiati per fermare gli attacchi proxy AiTM, e utilizzare l'Accesso Condizionale per disabilitare la concessione del codice dispositivo per gli utenti che non ne hanno bisogno. Una directory aperta può aver esposto tre campagne, ma le lezioni valgono per ogni tenant Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Il 13 luglio 2026, i ricercatori di Lexfo hanno scoperto tre campagne di phishing basate su Evilginx che prendevano di mira Microsoft 365, dopo che un attaccante ha lasciato esposto un server web Python con l'elenco d...
Il 13 luglio 2026, i ricercatori di Lexfo hanno scoperto tre campagne di phishing basate su Evilginx che prendevano di mira Microsoft 365, dopo che un attaccante ha lasciato esposto un server web Python con l'elenco d... La differenza chiave nella difesa: gli attacchi AiTM (proxy) sono sconfitti dall'MFA resistente al phishing (FIDO2/passkey), mentre il device code phishing va bloccato disabilitando il flusso OAuth device code in Micr...