EvilTokens, il phishing che si guadagna l’accesso ai dispositivi senza rubare password

EvilTokens è un kit di strumenti per il phishing-as-a-service che mette nel mirino gli account Microsoft 365 attraverso il flusso di autorizzazione dei dispositivi OAuth 2.0.

Secondo Pierluigi Paganini, analista di cyber security e Ceo Cybhorus, “l’evoluzione del phishing che non punta più a rubare password né a creare finte pagine di login, ma ad abusare direttamente dei flussi di autenticazione legittimi di Microsoft”.

ESET conferma che la nuova minaccia non è pericolosa perché ruba password né sfrutta pagine fake di login, ma riesce ad ingannare le vittime. Infatti le induce ad effettuare il completamento di una procedura di accesso Microsoft legittima, inclusa l’autenticazione a due fattori (2FA), su un sito autentico.

Ciò permette agli hacker di guadagnare l’accesso senza necessità delle credenziali.

“L’attacco basato sul kit EvilTokens potrebbe sembrare, a un primo esame, caratterizzato da elementi di ineluttabilità; ma, osservando attentamente la dinamica che lo contraddistingue, emergono chiaramente aspetti tipici del social engineering“, commenta Enrico Morisi, Ict Security manager, “che possono essere intercettati per disinnescarlo”.

Ecco come avviene l’attacco e mitigare il rischio.

EvilTokens, il kit di phishing-as-a-crime: la dinamica dell’attacco

Rilevato per la prima volta all’inizio del 2026 e promosso via Telegram, l’EvilTokens è già stato usato in diversi casi di appropriazione indebita di account e negli attacchi di tipo “business email compromise”, comprese campagne rivolte a centinaia di organizzazioni.

Poiché gli attacchi che utilizzano il kit si basano sul phishing del codice del dispositivo, non richiedono la creazione di repliche credibili delle pagine di accesso autentiche in cui le vittime dovrebbero inserire le proprie password. Gli autori degli attacchi inducono invece la vittima a completare una procedura di autenticazione legittima – compresa l’autenticazione a due fattori (2FA) – su una pagina autentica di accesso Microsoft.

Il toolkit è stato pubblicizzato tramite canali Telegram ed è stato individuato in attacchi attivi almeno dal febbraio 2026.

Come documentato da Sekoia e da altri, il kit sembra aver conquistato i criminali informatici che lo hanno impiegato in una serie di attacchi di appropriazione di account e di compromissione della posta elettronica aziendale (BEC), tra cui una campagna che nel marzo 2026 ha preso di mira oltre 340 organizzazioni in diversi Paesi.

“Si tratta certamente di un attacco molto sofisticato e di un servizio alla portata di molti, ma dovrebbe essere ormai evidente a tutti che, soprattutto quando ci si imbatte, ad esempio, nella condivisione di documenti o in tematiche di fatturazione e di pagamenti, si dovrebbe prestare estrema attenzione a tutto ciò che risulti inatteso o inusuale, provenga da sorgenti inaffidabili o faccia ricorso a tecniche improprie considerando il contesto in cui vengono adottate”, sottolinea Morisi.

Il ruolo dell’AI nella campagna

Microsoft stessa ha inoltre descritto una campagna basata sull’intelligenza artificiale che sfruttava la generazione dinamica di codici dei dispositivi ed esche personalizzate per aumentare il tasso di successo degli attacchi EvilTokens.

Le fasi di attacco

Ecco una breve panoramica di come si svolgono gli attacchi che sfruttano EvilTokens:

• L’attacco vero e proprio è preceduto da una fase di “ricognizione”, durante la quale i malintenzionati verificano innanzitutto che l’account di destinazione sia attivo. Microsoft ha osservato che questa fase di ricognizione avviene da 10 a 15 giorni prima del tentativo effettivo di phishing.
• La vittima riceve un’email o un messaggio spesso camuffato da fattura, documento condiviso, invito di calendario o richiesta di accesso a SharePoint. L’esca consiste in una pagina fasulla che si spaccia per un marchio o un servizio affidabile, accompagnata da frasi semplici come “Verifica per visualizzare” o “Firma richiesta”.
• Quando la vittima clicca sul link, la pagina richiede un codice dispositivo a Microsoft. Il codice è valido solo per 15 minuti, quindi in questo caso il tempo e la tempistica sono fondamentali. La pagina mostra alla vittima il codice e la reindirizza al portale di accesso autentico di Microsoft, microsoft.com/devicelogin. Il trucco sta nel fatto che il codice appartiene alla sessione dell’autore dell’attacco, quindi la vittima autorizza inconsapevolmente il dispositivo dell’autore dell’attacco, non il proprio.
• Rilevando un accesso valido, Microsoft emette token di accesso e di aggiornamento per la sessione aperta dall’autore dell’attacco. Una volta all’interno, i criminali possono accedere alla posta elettronica aziendale, ai file, a Teams, a SharePoint, a OneDrive e ad altre risorse di Microsoft 365 per sottrarre dati o preparare attacchi BEC; ecco perché gli account dei reparti finanza, risorse umane, logistica e vendite attirano gran parte dell’interesse degli autori degli attacchi.

“Il kit sfrutta il device code flow di OAuth 2.0 per ingannare la vittima e farle completare un accesso reale su una pagina ufficiale Microsoft, inclusa l’autenticazione a due fattori, ma associata alla sessione dell’attaccante”, evidenzia Paganini.

“Il risultato è subdolo”, continua Paganini, “dal punto di vista dei sistemi di sicurezza, tutto sembra un login valido, mentre in realtà l’utente sta autorizzando un dispositivo malevolo. Una volta ottenuti i token di accesso, gli attaccanti possono entrare in Microsoft 365 e muoversi tra email, file e strumenti collaborativi, spesso con l’obiettivo di avviare frodi BEC o esfiltrare dati sensibili”.

Cosa rende EvilTokens pericoloso

Il flusso OAuth basato sul codice del dispositivo è stato progettato per dispositivi su cui può risultare complicato effettuare l’accesso direttamente, come le smart TV o le stampanti.

Il dispositivo visualizza un codice breve che l’utente inserisce su una pagina Microsoft da un altro dispositivo, spesso uno smartphone, e lì completa l’autenticazione. Microsoft emette quindi i token di accesso al dispositivo che ha richiesto l’accesso. Tale separazione è utile, ma lascia spazio ad abusi.

Gli aggressori possono infatti generare il codice e indurre la vittima a inserirlo, mentre Microsoft vede solo un flusso di autenticazione valido.

L’azienda avverte gli utenti al momento dell’accesso tramite un messaggio sullo schermo che invita a non inserire codici provenienti da fonti non affidabili.

Tuttavia, a volte, basta un’esca convincente per indurre la vittima a ignorare qualsiasi avviso.

“Il punto critico è che non c’è alcuna ‘magia’ tecnica”, conclude Paganini: “Il sistema funziona come previsto, è la persona a essere ingannata nel momento decisivo. Ed è proprio qui che il phishing moderno diventa più difficile da fermare, perché non rompe le difese, ma le usa contro l’utente stesso“.

I dettagli

Inoltre, EvilTokens elimina molti dei segnali di allarme che le persone hanno imparato a riconoscere nel corso degli anni, tra cui nomi di dominio con errori ortografici e pagine di accesso false.

La pagina di accesso è autentica e, dal punto di vista della vittima, l’intero processo di autenticazione può sembrare funzionare come previsto.

L’attacco “confonde le acque” anche per quanto riguarda le misure di sicurezza fornite dall’autenticazione a due fattori (2FA).

Sebbene il secondo livello di autenticazione non sia mai stato così importante, risulta insufficiente quando la vittima approva la sessione sbagliata.

In questi attacchi, gli aggressori non aggirano la 2FA con espedienti tecnici, ma semplicemente inducono la vittima a completare la 2FA per loro conto.

Come mitigare il rischio di EvilTokens

I consigli per proteggersi dal phishing non possono certo limitarsi a “controllare il link”, né tantomeno a “cercare errori ortografici”. Queste abitudini sono comunque utili, ovviamente, ma non bastano a contrastare gli attacchi moderni, specialmente quelli che sfruttano flussi di autenticazione reali.

“È evidente quanto sia importante approntare programmi di awareness sviluppati in collaborazione con centri dotati di osservatori privilegiati, che tengano quindi in debita considerazione le minacce emergenti e il fatto che siano realmente sfruttate, correlando queste informazioni con quelle di Threat Intelligence, al fine di ottimizzare l’erogazione di questo fondamentale servizio, nel contesto aziendale di riferimento”, avverte Morisi.

I suggerimenti per difendersi

Ecco alcuni consigli per proteggersi dagli EvilTokens:

• Considera sospetta qualsiasi richiesta inaspettata di un codice di autenticazione. Nessun documento, fattura, e-mail o altra piattaforma dovrebbe richiedere un codice del dispositivo senza un motivo chiaro. Se la richiesta arriva dal nulla, segnalala al team IT o di sicurezza del tuo datore di lavoro.
• Il contesto è più importante della pagina. Prima di approvare qualsiasi richiesta di accesso, bisogna verificare quale app sta richiedendo l’accesso, quale account è coinvolto e se siamo stati noi effettivamente ad avviare l’operazione. Il fatto che una pagina sia autentica Microsoft non rende automaticamente sicura una richiesta.
• Le organizzazioni dovrebbero limitare del tutto il flusso di codice dei dispositivi laddove non sia necessario. Microsoft raccomanda di applicare criteri di accesso condizionato per bloccare il flusso di codice dei dispositivi ovunque non sia necessario e di limitarne l’ambito a utenti, dispositivi, sedi o sistemi operativi specifici.
• Occorre prestare attenzione alle autenticazioni con codice dispositivo insolite, ai dispositivi sconosciuti, agli accessi a rischio, all’uso sospetto di token e alle nuove regole della posta in arrivo: ognuno di questi elementi può indicare un problema.
• La formazione sulla Security awareness deve stare al passo con le ultime strategie messe in atto dagli aggressori. I dipendenti devono comprendere che il phishing moderno non comporta sempre l’inserimento di una password in una pagina falsa. A volte l’aggressore potrebbe chiedere loro di inserire un codice reale su una pagina reale, ma destinato al dispositivo sbagliato.
• I dipendenti che ricevono una richiesta inaspettata di codice dispositivo dovrebbero avvisare i team IT o di sicurezza della propria azienda, i quali potrebbero dover esaminare i registri di accesso, revocare le sessioni, invalidare i token di aggiornamento, rimuovere le regole dannose dalla posta in arrivo e disattivare temporaneamente l’account compromesso.

“Come raccomandato correttamente da ESET, anche dal punto di vista tecnologico possono essere introdotte delle soluzioni di mitigazione del rischio, orientate appunto a consentire determinate tecniche solo in opportuni contesti e nei casi ritenuti propri, le cosiddette policy di Conditional Access, riducendo di fatto la superficie d’attacco“, avverte Morisi: “Policy di questo tipo, unitamente ad adeguati controlli network-based e all’adozione di soluzioni MFA che siano phishing-resistant (per esempio, FIDO2 hardware security keys e passkeys) possono costituire una valida protezione strutturata ad attacchi di tipo device-code phishing”.

Infine, “occorre tenere presente che anche gli agenti di IA potrebbero essere attaccati o sfruttati dopo la compromissione, potenziando enormemente l’attacco, e dovrebbero quindi essere correttamente configurati, seguendo i noti principi di sicurezza, come il ‘least privilege’, e sottoposti a monitoraggio continuo, al fine di rilevarne prontamente l’eventuale compromissione: non si può più prescindere dal governo e dalla gestione delle identità non umane e del loro ciclo di vita”, conclude Enrico Morisi.