Anatomia del Device Code Phishing - Contenuto riservato n. 052
Prendiamo una minaccia che sta girando in queste settimane e la smontiamo pezzo per pezzo.
Ciao a tutti e benvenuti in questo nuovissimo format della newsletter premium!
Da qualche tempo avevo in testa un’idea che non sapevo come “incastrare” nella struttura normale della newsletter premium (minaccia + tre laboratori + svolta), quindi ho deciso di darle uno spazio tutto suo.
Nella newsletter free troviamo spesso notizie che ci toccano da vicino, perché si parla di minacce concrete rispetto alle quali occorre muoversi immediatamente. In quei casi il formato dei lab finisce per stonare, perché i laboratori sono nati per smanettare con calma e imparare qualcosa divertendosi, non sono pensati per essere uno strumento pratico “chiavi in mano”. Quando c’è una campagna di attacchi in atto, quello che cerchiamo è arrivare a capire come funziona e cosa dobbiamo fare immediatamente.
Quindi, nuovo format, che riconoscerete dal titolo (inizierà sempre con “Anatomia di…”) e che si alternerà a quello solito: prendo una minaccia attuale, la analizzo con voi pezzo per pezzo, capiamo insieme perché funziona e ragioniamo su come evitare di caderci.
Non ci sarà una frequenza precisa, seguirò le campagne che si verificano di volta in volta, potremo avere intere settimane di pace (con la newsletter “classica”) e altre in cui analizziamo una minaccia dietro l’altra. Per ora cominciamo da qui, e strada facendo capiremo che ritmo prendono.
Iniziamo! 🚀
🕵🏻♂️ Il caso
Di recente ha iniziato a circolare un modo per prendere il controllo di un account Microsoft 365 senza passare dal furto della password, ma sfruttando una tecnica chiamata “device code phishing”. Vediamo come funziona.
Alla vittima arriva una mail che sembra legittima in tutto e per tutto e che chiede di confermare qualcosa inserendo un breve codice su una pagina di Microsoft. Normalmente sembrano comunicazioni di lavoro ordinarie, tipo una richiesta di accesso a SharePoint o un avviso di scadenza della password: insomma cercano una scusa plausibile per spingerci a digitare un codice sulla pagina di login di Microsoft, e la forza dell’inganno sta nel fatto che il link porta a una pagina Microsoft reale, quindi il controllo dell’url, che di solito ci salva, qui non ci aiuta. La formulazione precisa della mail cambia da campagna a campagna, anche perché spesso a scriverla è un’intelligenza artificiale, quindi un testo unico e canonico non esiste.
