I ricercatori Proofpoint mettono in luce un’esplosione del phishing tramite device code nel panorama delle minacce informatiche. Ogni settimana emergono nuovi strumenti dedicati a questa tecnica, alimentati dalla disponibilità pubblica di toolkit criminali e dalla proliferazione di offerte phishing-as-a-service (PhaaS).
Il credential phishing rimane una tecnica efficace, capace di abilitare tutto, dall’account takeover alle frodi, fino a ransomware e spionaggio. Tuttavia, man mano che le organizzazioni migliorano le proprie difese dalle tecniche più comuni, come il phishing che aggira l’autenticazione multi-fattore (MFA), i cyber criminali ampliano il loro arsenale, includendo device code phishing e OAuth. Combinando queste tecniche con strumenti generati da modelli linguistici di grandi dimensioni (LLM) e tattiche di social engineering, riescono oggi a colpire un numero sempre maggiore di vittime su larga scala, con dinamiche di attacco difficili da prevedere.
Dal 2020 fino a circa il 2022, la tecnica del device code phishing era appannaggio quasi esclusivo dei red team e, occasionalmente, di attori criminali o spionaggio e veniva utilizzata per indurre un utente ad autorizzare un’applicazione malevola sui propri account email aziendali. Negli ultimi anni, però, la sua popolarità è cresciuta sensibilmente e la pubblicazione di toolkit pericolosi dedicati nell’autunno del 2025, unita a nuove innovazioni nelle catene di attacco, amplificate dall’uso del cosiddetto “vibe coding”, ha trasformato una tecnica fino ad allora di nicchia in un terreno fertile per campagne di phishing su scala industriale.
I ricercatori Proofpoint hanno rilevato come gli attori malevoli sfruttano il flusso OAuth 2.0 di autorizzazione dispositivo per compromettere account aziendali, Microsoft 365 o altri, inducendo gli utenti ad approvare l’accesso ad applicazioni controllate dall’attaccante. Sebbene la maggior parte delle campagne si concentri su account Microsoft, Proofpoint ne ha rilevate anche a tema Google, seppur in volumi significativamente più ridotti.
Queste campagne ricorrono spesso all’ “account takeover jumping”, con l’attaccante che compromette un account email iniziale e lo utilizza per inviare link di phishing a un’ampia rete di contatti.
Generalmente, la catena di attacco inizia con un messaggio che recapita un URL in vari formati: incorporato in un pulsante, come testo con hyperlink, in un documento o tramite QR code. Quando l’utente visita l’URL, viene avviata una sequenza che sfrutta il legittimo processo di autorizzazione del dispositivo di Microsoft.
L’evoluzione che ha cambiato tutto: la generazione di codici on-demand
Rispetto alle implementazioni originali, il panorama attuale del device code phishing presenta una differenza sostanziale che ne ha accelerato la diffusione: la generazione dinamica dei codici.
In passato, gli attori malevoli generavano un codice e lo inviavano direttamente alla vittima, sollecitandola a inserirlo entro 15 minuti prima della scadenza. Se il destinatario non vedeva l’email in tempo, l’attacco falliva. Le implementazioni attuali superano questo limite: il codice viene generato dinamicamente nel momento in cui l’utente clicca sul link di phishing – un cambiamento apparentemente marginale, ma che consente alla vittima di interagire con l’email in qualsiasi momento, avviando la catena di attacco anche a distanza di ore o giorni. Queste nuove implementazioni sono disponibili tramite offerte PhaaS, come EvilTokens o Tycoon, oppure sviluppate direttamente dagli attori che conducono le campagne.
Un attacco di device code phishing andato a buon fine può portare a compromissione totale dell’account, furto di informazioni sensibili, frodi e compromissioni della posta aziendale (BEC), movimento laterale nell’ambiente compromesso, e persino ad attacchi distruttivi come il ransomware.
