Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Phishing Microsoft 2026: PDF e finti “codici di condotta” rubano token e aggirano l’MFA in 26 Paesi
Microsoft ha descritto una vasta campagna di phishing mirata al furto di credenziali che combina esche legate al codice di condotta aziendale con l’uso di servizi email legittimi. L’obiettivo è portare le vittime su domini controllati dagli attaccanti e sottrarre token di autenticazione, un passaggio chiave per prendere il controllo degli account anche in presenza di misure di sicurezza avanzate.
La campagna è stata osservata tra il 14 e il 16 aprile 2026 e ha colpito oltre 35.000 utenti appartenenti a più di 13.000 organizzazioni in 26 paesi. La maggior parte dei bersagli risulta negli Stati Uniti. I settori più presi di mira includono sanità e scienze della vita, servizi finanziari, servizi professionali e tecnologia e software. Questo conferma quanto il phishing moderno punti su contesti credibili e su organizzazioni dove un accesso rubato può generare impatti elevati.
Le email utilizzano template HTML curati in stile enterprise, con impaginazione ordinata e frasi pensate per rafforzare la credibilità, ad esempio dichiarazioni che indicano canali interni autorizzati e link approvati per accesso sicuro. Le esche ruotano intorno a presunte revisioni o segnalazioni sul comportamento, con nomi visualizzati come comunicazioni interne e oggetti che parlano di casi di non conformità o promemoria urgenti. La pressione psicologica è un elemento centrale, grazie a richieste con scadenze e inviti ripetuti ad agire subito.
Un dettaglio rilevante è l’uso di allegati PDF che rimandano a link malevoli. Il flusso di attacco è multistadio e include pagine intermedie e passaggi CAPTCHA, utili sia a sembrare legittimi sia a ostacolare le difese automatiche. La fase finale sfrutta tecniche adversary in the middle per catturare in tempo reale credenziali Microsoft e token di sessione, consentendo di aggirare la multi factor authentication.
Nel quadro più ampio delle minacce email del 2026, emerge anche la crescita del phishing tramite QR code e la diffusione di campagne con allegati HTML o ZIP orientate soprattutto al credential harvesting. Si osservano inoltre ecosistemi phishing as a service che cambiano infrastruttura e hosting per eludere le interruzioni e continuare a distribuire pagine di accesso fraudolente.