Notizie, Truffe

Il kit di phishing Kali365 aggira l'autenticazione a più fattori (MFA) e ruba le credenziali di accesso Microsoft

di Pieter Arntz | 27 maggio 2026
phishing su larga scala

Quando l'FBI (Federal Bureau of Investigation) pubblica un avviso di pubblica utilità dedicato a un nuovo kit di phishing, vale la pena prestare attenzione.

L'agenzia mette ora in guardia da "Kali365", una piattaforma di phishing-as-a-service (PhaaS) che consente anche agli hacker meno esperti di appropriarsi indebitamente di account Microsoft 365 rubando i token di accesso anziché le password.

Sebbene le prime segnalazioni si concentrino sugli attacchi contro le organizzazioni, la tecnica alla base funziona altrettanto facilmente contro i singoli utenti di Microsoft 365 che vengono indotti con l’inganno a inserire un codice breve su un sito web Microsoft autentico. In altre parole, non si tratta solo di un problema che riguarda le aziende o i reparti IT. Potrebbe interessare chiunque disponga di un abbonamento a Outlook, OneDrive o Microsoft 365.

Ai criminali informatici che utilizzano il kit, esso offre tre chiari vantaggi:

  • Elude l'autenticazione a più fattori (MFA) rubando i token di accesso, quindi codici aggiuntivi o app non servono più a nulla una volta che il token è stato compromesso.
  • Kali365 garantisce un accesso continuo. Gli hacker possono continuare a utilizzare Outlook, Teams e OneDrive senza dover effettuare ripetutamente l'accesso, fintanto che il token di aggiornamento rubato rimane valido.
  • Non sono richieste particolari competenze tecniche. I criminali informatici possono abbonarsi a Kali365 e avviare immediatamente campagne su larga scala volte al furto di token.

Come si presenta l'attacco?

Le vittime ricevono un messaggio di phishing che sembra provenire da un servizio cloud o da uno strumento di collaborazione, ad esempio una notifica di condivisione di un documento o un Teams . Il messaggio contiene un breve "codice dispositivo" e istruzioni del tipo: "Vai alla pagina di verifica di Microsoft e inserisci questo codice per visualizzare il documento".

Truffa o sito affidabile? Scam Guard lo sa.

A differenza di molte e-mail di phishing, questa reindirizza a un URL Microsoft autentico utilizzato per le procedure di accesso ai dispositivi. All'utente la pagina appare familiare e del tutto legittima, il che riduce il livello di sospetto.

Le vittime visualizzano quindi le normali schermate di accesso e di consenso di Microsoft e potrebbero pensare di stare semplicemente completando un normale controllo di sicurezza. Non vedono mai una pagina contraffatta, non digitano mai la propria password in un modulo sospetto e potrebbero persino vedere il marchio della propria organizzazione.

Ma quello che non capiscono è che hanno fornito all'aggressore l'accesso.

Una volta che la vittima ha approvato la richiesta, il dispositivo dell'autore dell'attacco riceve i token di accesso e di aggiornamento OAuth associati all'account Microsoft 365 della vittima. Questi token sono ciò che Microsoft utilizza per "ricordare" che l'utente ha già effettuato l'accesso e possono essere riutilizzati per accedere a Outlook, OneDrive, Teams e altri servizi Microsoft senza dover inserire nuovamente la password.

Con token di aggiornamento validi, gli hacker possono mantenere l'accesso a lungo termine fino alla revoca o alla scadenza dei token, spesso mimetizzandosi tra le normali attività dell'account.

Tale accesso può consentire ai criminali informatici di:

  • Leggi le e-mail di Outlook, compresi i messaggi relativi alla reimpostazione della password
  • Accedere ai file archiviati su OneDrive o SharePoint
  • Invia e-mail di phishing a colleghi, clienti, amici o familiari dall'account della vittima

Come proteggersi

Una volta entrati in Outlook, gli hacker non solo possono leggere i tuoi messaggi, ma anche inviarne di nuovi che sembrano autentici dal tuo indirizzo, sfruttando la tua identità per compromettere altri account e contatti.

Ecco alcuni consigli per evitare questa situazione:

  • Non inserire mai un codice nella pagina di accesso di Microsoft solo perché ti viene richiesto tramite e-mail o messaggio. Dovresti farlo solo se hai avviato tu stesso la procedura di accesso dal tuo dispositivo.
  • Prenditi il tempo necessario e leggi attentamente le istruzioni. Affrettare le procedure di approvazione degli accessi senza leggerle con attenzione può rivelarsi costoso.
  • Diffidate di condivisioni di documenti, Teams o richieste di accesso inattese, anche se utilizzano pagine Microsoft autentiche.
  • Controlla quali dispositivi sono collegati al tuo account all'indirizzo https://account.microsoft.com/devices/. Se noti dispositivi o accessi che non riconosci, rimuovili, modifica la password del tuo account Microsoft e controlla le impostazioni di sicurezza.

Consiglio da esperto: Malwarebytes Guardpuò aiutarti a capire se un messaggio è una truffa.

Ammettiamolo, una finestra in incognito ha i suoi limiti.

Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità. 

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Il telefono sul tavolo

L'azienda sosteneva che i microfoni dei telefoni fossero in grado di intercettare le conversazioni. Ma non era vero.

Maggio 27, 2026

Cox Media ha affermato di poter spiare gli utenti attraverso i loro dispositivi e utilizzare le informazioni raccolte per la pubblicità mirata, ma non era vero.

Privacy
LinkedIn

LinkedIn fasulle LinkedIn sfruttano Adobe per tracciare le vittime

Maggio 27, 2026

I phisher stanno rubando LinkedIn sfruttando Adobe Target per tracciare le vittime e reindirizzarle verso LinkedIn autentiche.

Insetti
ClickFix imita Windows

Oltre 700 siti web dedicati all'istruzione e alla tecnologia sono stati compromessi nel corso di una vasta campagna di malware denominata ClickFix

Maggio 26, 2026

Hackers sfruttando una vulnerabilità del sito web Ghost CMS per visualizzare false pagine di verifica di Cloudflare che inducono gli utenti a infettare i propri computer.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe