Notizie, Truffe

Gli aggressori sfruttano i reindirizzamenti integrati in OAuth per lanciare attacchi di phishing e malware.

di Pieter Arntz | 4 marzo 2026
È una trappola Reindirizzamenti OAuth

Gli aggressori stanno sfruttando i normali reindirizzamenti di errore OAuth per indirizzare gli utenti da un URL di accesso Microsoft o Google legittimo a pagine di phishing o malware, senza mai completare un accesso riuscito o rubare token dal flusso OAuth stesso.

Questo richiede qualche spiegazione in più.

OAuth (Open Authorization) è un protocollo standard aperto per l'autorizzazione delegata. Consente agli utenti di concedere a siti web o applicazioni l'accesso ai propri dati su un altro servizio (ad esempio Google o Facebook) senza condividere la propria password. 

Il reindirizzamento OAuth è il processo mediante il quale un server di autorizzazione rinvia il browser di un utente a un'applicazione (client) con un codice di autorizzazione o un token dopo l'autenticazione dell'utente.

I ricercatori hanno scoperto che i phisher utilizzano flussi di autenticazione OAuth silenziosi e ambiti intenzionalmente non validi per reindirizzare le vittime verso infrastrutture controllate dagli aggressori senza rubare i token.

Quindi, come si presenta questo attacco dal punto di vista del bersaglio?

Dal punto di vista dell'utente, la catena di attacchi appare più o meno così:

L'e-mail

Arriva un'e-mail con una proposta commerciale plausibile. Ad esempio, ricevi un'e-mail su qualcosa di routinario ma urgente: condivisione o revisione di documenti, un avviso relativo alla previdenza sociale o alle finanze, un rapporto delle risorse umane o dei dipendenti, un invito Teams o una richiesta di reimpostazione della password.

Il corpo dell'e-mail contiene un link come "Visualizza documento" o "Rivedi rapporto" oppure un allegato PDF che include un link.

Clicchi sul link dopo aver verificato che sembra essere un normale login Microsoft o Google. L'URL visibile (quello che vedi quando ci passi sopra con il mouse) sembra convincente, poiché inizia con un dominio affidabile come https://login.microsoftonline.com/  o https://accounts.google.com/.

Non vi sono segni evidenti che i parametri (prompt=none, ambito dispari o vuoto, stato codificato) siano anomali.

OAuth silenzioso

L'URL creato tenta un'autorizzazione OAuth silenziosa (prompt=none) e utilizza parametri che sono destinati a fallire (ad esempio, un ambito non valido o mancante).

Il provider di identità valuta la sessione e l'accesso condizionale, determina che la richiesta non può essere eseguita in modo silenzioso e restituisce un errore OAuth, ad esempio interaction_required, access_denied o consent_required.

Il reindirizzamento

Per impostazione predefinita, il server OAuth reindirizza quindi il browser, inclusi i parametri di errore e lo stato, all'URI di reindirizzamento registrato dell'app, che in questi casi è il dominio dell'autore dell'attacco.

Per l'utente, si tratta solo di un rapido lampo di un URL Microsoft o Google seguito da un'altra pagina. È improbabile che qualcuno noti gli errori nella stringa di query.

Pagina di destinazione

Il bersaglio viene reindirizzato a una pagina che sembra un sito di accesso o commerciale legittimo. Potrebbe trattarsi di un clone del sito di un marchio affidabile.

Da qui, ci sono due possibili scenari dannosi:

Phishing / Variante Attacker in the Middle (AitM)

Una normale pagina di accesso o una richiesta di verifica, talvolta con CAPTCHA o interstitial per sembrare più affidabile e aggirare alcuni controlli.

L'indirizzo e-mail potrebbe essere già stato inserito perché gli aggressori lo hanno trasmesso tramite il parametro di stato.

Quando l'utente inserisce le credenziali e l'autenticazione a più fattori (MFA), il toolkit dell'attaccante man in the middle le intercetta, compresi i cookie di sessione, mentre le trasmette in modo che l'esperienza sembri legittima.

Variante di diffusione del malware

Immediatamente (o dopo una breve pagina intermedia), il browser accede a undownload e scarica automaticamente un file.

Il contesto della pagina corrisponde all'esca ("Download documento sicuro", "Risorse per riunioni" e così via), rendendo plausibile l'apertura del file.

Il bersaglio potrebbe notare l'apertura iniziale del file o un rallentamento del sistema, ma per il resto la compromissione è praticamente invisibile.

Impatto potenziale

Raccolta delle credenziali o installazione di una backdoor, l'autore dell'attacco ha ora un punto d'appoggio sul sistema. Da lì, può svolgere attività manuali sulla tastiera, muoversi lateralmente, rubare dati o lanciare un ransomware, a seconda dei propri obiettivi.

Le credenziali e i token raccolti possono essere utilizzati per accedere alla posta elettronica, alle applicazioni cloud o ad altre risorse senza la necessità di mantenere il malware sul dispositivo.

Come stare al sicuro

Poiché l'autore dell'attacco non ha bisogno del tuo token da questo flusso (solo il reindirizzamento alla propria infrastruttura), la richiesta OAuth stessa potrebbe sembrare meno sospetta. Sii vigile e segui i nostri consigli:

  • Se ti affidi al passaggio del mouse sui link, presta particolare attenzione quando vedi URL molto lunghi con oauth2, authorize e molto testo codificato, specialmente se provengono dall'esterno della tua organizzazione.
  • Anche se l'inizio dell'URL sembra legittimo, verifica con un mittente affidabile prima di cliccare sul link.
  • Se ricevi un'e-mail urgente che ti costringe immediatamente a effettuare uno strano login o avvia un download non download aspettavi, considera il messaggio come dannoso fino a prova contraria.
  • Se vieni reindirizzato a un sito sconosciuto, interrompi la navigazione e chiudi la scheda.
  • Diffidate dei file che download dopo aver cliccato su un link contenuto in un'e-mail, specialmente se provenienti da /download/ percorsi.
  • Se un sito ti chiede di "eseguire" o "abilitare" qualcosa per visualizzare un documento protetto, chiudilo e controlla attentamente su quale sito ti trovi. Potrebbe trattarsi di una truffa.
  • Mantieni aggiornati il tuo sistema operativo, il browser e i tuoi strumenti di sicurezza preferiti. Sono in grado di bloccare automaticamente molti kit di phishing e download di malware noti.

Suggerimento professionale: utilizza Malwarebytes Guard per aiutarti a determinare se l'e-mail che hai ricevuto è una truffa o meno.

Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Loghi Signal e WhatsApp

L'FBI e la CISA mettono in guardia dal rischio che hackers russi hackers account Signal e WhatsApp

Marzo 24, 2026

L'FBI e la CISA si uniscono alle agenzie europee nel lanciare un allarme su una campagna di ingegneria sociale su larga scala e facilmente scalabile che prende di mira le app di messaggistica.

Mobile
Logo Android

Advanced renderà più sicuro Android

Marzo 23, 2026

Advanced nuova Advanced di Google mira a rendere più sicuro il sideloading su Android rallentando le installazioni legate a truffe.

Notizie
Settimana della sicurezza

Una settimana nel mondo della sicurezza (16-22 marzo)

Marzo 23, 2026

Elenco degli argomenti trattati nella settimana dal 16 al 22 marzo 2026

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe