Vai al contenuto
Wednesday, 1 July 2026
TechInfos.it

Notizie tech, AI e cybersecurity spiegate semplice per l’Italia.

Cyber

EvilTokens: il phishing che ti fa aprire la porta senza rubarti le chiavi

EvilTokens sfrutta OAuth 2.0 per carpire token di accesso, aggirando MFA. Ecco come funziona e come proteggere gli account Microsoft 365 da questa minaccia.

TI 30 June 2026 4 min read

Non serve più rubare la password. Arriva una nuova ondata di attacchi phishing, battezzata EvilTokens, che punta dritto ai token OAuth 2.0. L’obiettivo? Ottenere un accesso persistente agli account Microsoft 365 senza mai dover conoscere le credenziali della vittima. Il tutto spacciandosi per un normale login aziendale, con tanto di autenticazione a due fattori. Un sistema insidioso, che trasforma la fiducia in una trappola.

Come funziona EvilTokens

Il kit di phishing-as-a-service EvilTokens si presenta come un normale flusso di autenticazione Microsoft. La vittima riceve una email convincente, con un link che la porta a una pagina falsa ma identica a quella di Microsoft. Appena l’utente inserisce le credenziali e completa l’autenticazione a più fattori, il sistema malevolo non intercetta la password, bensì il token di accesso OAuth 2.0, rilasciato dal server legittimo di Microsoft. Quel token diventa una chiave digitale che garantisce all’attaccante un accesso prolungato a email, documenti e dati aziendali, senza alcuna necessità di re-inserire password.

A differenza degli attacchi tradizionali, non c’è furto diretto di credenziali: il login avviene realmente sul server Microsoft. La vittima viene dirottata su un dominio controllato dagli aggressori solo per pochi istanti, il tempo di raccogliere il token. Poi tutto sembra normale, ma il danno è fatto.

Perché è così difficile da rilevare

La vera forza di EvilTokens sta nell’aggiramento dei tradizionali sistemi di difesa. Poiché l’autenticazione a due fattori viene completata con successo su un sito Microsoft reale, molti strumenti di sicurezza non rilevano anomalie. La sessione malevola risulta autenticata a tutti gli effetti, e il token può essere sfruttato per settimane o mesi, finché non scade o non viene revocato manualmente.

Inoltre, gli attaccanti utilizzano tecniche di offuscamento per mascherare l’attività sospetta, come l’uso di server proxy e domini usa e getta. Il modello as-a-service permette anche a criminali con poche competenze tecniche di lanciare campagne su larga scala, acquistando il kit senza dover sviluppare alcun codice.

L’ascesa del phishing-as-a-service

EvilTokens è solo l’ultimo esempio di un mercato criminale in piena espansione. Il phishing-as-a-service offre kit preconfigurati con interfacce grafiche intuitive, hosting temporaneo e persino assistenza clienti. Questo abbassa drasticamente la barriera d’ingresso per i cybercriminali, moltiplicando la frequenza e la diffusione degli attacchi. Le aziende devono fare i conti non più solo con hacker solitari, ma con vere e proprie filiere criminali strutturate, che investono in innovazione per eludere le contromisure.

Secondo i ricercatori, EvilTokens prende di mira in modo particolare gli account Microsoft 365 perché rappresentano la spina dorsale di milioni di organizzazioni. Basta comprometterne uno per accedere a intere infrastrutture collaborative, dal cloud storage alle riunioni su Teams.

Cosa significa per chi legge

Per difendersi da minacce come EvilTokens serve un cambio di mentalità. Non ci si può più limitare a proteggere le password o ad attivare la MFA, perché l’attacco sfrutta proprio la fiducia in quei meccanismi. Ecco alcune azioni concrete:

  • Monitorare i token attivi: rivedere periodicamente le sessioni autorizzate su Microsoft 365 e revocare quelle sospette o inutilizzate.
  • Limitare i privilegi: ridurre al minimo indispensabile i permessi associati ai token, applicando il principio del minimo privilegio.
  • Formare gli utenti: insegnare a riconoscere email sospette e a non cliccare su link che richiedono login urgenti, anche se sembrano legittimi.

La consapevolezza resta l’arma migliore. EvilTokens dimostra che la sicurezza informatica è una corsa continua: ogni innovazione difensiva può essere aggirata con un po’ di creatività criminale. Tenere alta la guardia e aggiornare costantemente le policy è l’unica via per non restare in trappola.

Fonti

Tech Brief

Le notizie tech piu importanti, in formato breve.

Ricevi la sintesi quotidiana su AI, cyber e gadget direttamente in inbox.