Hai attivato il 2FA. Pensi di essere al sicuro. Non lo sei: cos'è il Device Code Phishing

L'autenticazione a due fattori è considerata uno scudo quasi impenetrabile, ma il Device Code Phishing riesce ad aggirarla con un inganno semplice e devastante. Gli hacker sfruttano un meccanismo legittimo di login per rubare l'accesso ai tuoi account senza toccare la tua password. Scopri come funziona questo attacco e come difenderti prima che sia troppo tardi.
Hai attivato il 2FA. Pensi di essere al sicuro. Non lo sei: cos'è il Device Code Phishing

Hai attivato il 2FA. Pensi di essere al sicuro. Non lo sei: cos'è il Device Code Phishing

L'autenticazione a due fattori (2FA) è stata per anni considerata il baluardo definitivo contro gli attacchi informatici. "Attiva il 2FA e sarai al sicuro", ci hanno detto esperti, aziende e guide online. Ma c'è una tecnica di attacco sempre più diffusa che rende questa protezione quasi inutile: si chiama Device Code Phishing, ed è più pericolosa di quanto tu possa immaginare.

In questo articolo scoprirai cos'è il Device Code Phishing, come funziona nel dettaglio, chi sono i bersagli preferiti degli attaccanti e soprattutto come puoi difenderti concretamente da questa minaccia moderna.

Cos'è il Device Code Phishing: la definizione

Il tuo 2FA è davvero sicuro contro questo attacco?
Il Device Code Phishing bypassa le protezioni che ritieni più solide. I nostri esperti di cybersecurity analizzano gratuitamente la tua infrastruttura di autenticazione e ti mostrano dove sei realmente esposto.
Richiedi analisi gratuita ora

Il Device Code Phishing è una tecnica di attacco informatico che sfrutta il flusso di autenticazione OAuth 2.0 denominato Device Authorization Grant. Questo flusso è stato originariamente progettato per consentire l'accesso a dispositivi con limitate capacità di input — come smart TV, stampanti, console di gioco o dispositivi IoT — ai servizi cloud e alle piattaforme online.

In pratica, quando un dispositivo non può aprire direttamente una finestra di login, il sistema genera un codice univoco che l'utente deve inserire manualmente su un altro dispositivo (come uno smartphone o un computer) visitando una specifica URL. Una volta completata l'autenticazione, il dispositivo originale ottiene l'accesso al servizio.

Gli attaccanti hanno capito che questo meccanismo può essere completamente ribaltato e sfruttato a loro vantaggio, aggirando non solo la password ma anche il secondo fattore di autenticazione.

Come funziona l'attacco: il meccanismo passo per passo

Per comprendere la pericolosità del Device Code Phishing, è fondamentale capire esattamente come si svolge l'attacco. Ecco la sequenza tipica:

  1. Generazione del codice da parte dell'attaccante: Il criminale informatico avvia il flusso di autenticazione Device Code su un servizio legittimo come Microsoft 365, Google Workspace o un'altra piattaforma cloud. Il sistema genera un codice univoco e un link di verifica autentico.
  2. Invio del codice alla vittima: L'attaccante contatta la vittima — spesso tramite email, SMS, Teams, WhatsApp o LinkedIn — spacciandosi per un collega, un helpdesk IT o un'azienda di fiducia. Invia il codice e il link, chiedendo alla vittima di inserirlo per "verificare l'account", "completare un aggiornamento di sicurezza" o "accedere a un documento condiviso".
  3. La vittima inserisce il codice: L'utente, fidandosi del mittente, visita il link autentico del provider (ad esempio microsoft.com/devicelogin) e inserisce il codice. A questo punto si autentica normalmente, incluso il completamento del secondo fattore di autenticazione.
  4. L'attaccante ottiene il token: Una volta che la vittima completa l'autenticazione, il sistema rilascia un token di accesso all'attaccante, che ora ha pieno accesso all'account della vittima — email, file, contatti, tutto — senza aver mai conosciuto la password e senza dover superare il 2FA.

Il dettaglio più inquietante è che tutto avviene su pagine web legittime. Nessuna pagina falsa, nessun sito clone sospetto. La vittima interagisce direttamente con i server del provider, rendendo quasi impossibile accorgersi dell'inganno in tempo reale.

Perché il 2FA non basta contro questa minaccia

La domanda sorge spontanea: se la vittima completa il secondo fattore, come può l'attaccante ottenere l'accesso? La risposta sta nella natura stessa del token OAuth.

Il token di accesso rilasciato dopo l'autenticazione completa — incluso il 2FA — è una credenziale autonoma che non richiede ulteriori verifiche per un determinato periodo di tempo. È come una chiave master digitale. L'attaccante, avendo iniziato lui stesso il flusso di autenticazione, riceve automaticamente questo token non appena la vittima lo "sblocca" completando l'accesso.

In sostanza, il 2FA protegge il processo di login, ma il Device Code Phishing non attacca il processo di login: attacca il meccanismo di delega dell'accesso. È una distinzione sottile ma devastante.

Chi sono i bersagli preferiti degli attaccanti

Il Device Code Phishing è una tecnica sofisticata, motivo per cui viene spesso utilizzata in attacchi mirati. I bersagli più comuni includono:

  • Dipendenti aziendali con accesso a dati sensibili o sistemi critici
  • Amministratori IT e di sistema, il cui account compromesso può dare accesso all'intera infrastruttura
  • Dirigenti e manager (attacchi "whale phishing") con poteri decisionali e accesso a informazioni riservate
  • Professionisti del settore finanziario e legale
  • Ricercatori e accademici con accesso a dati di ricerca proprietari
  • Enti governativi e pubbliche amministrazioni

Gruppi di hacker avanzati, inclusi alcuni associati a stati nazionali, hanno già utilizzato questa tecnica in campagne documentate. Il gruppo russo Midnight Blizzard (noto anche come APT29 o Cozy Bear) è stato più volte identificato come uno degli attori che sfrutta attivamente il Device Code Phishing contro organizzazioni NATO, governi europei e aziende tecnologiche.

Come riconoscere un tentativo di Device Code Phishing

Riconoscere questo tipo di attacco non è semplice, proprio perché tutto sembra legittimo. Tuttavia, ci sono segnali d'allarme a cui prestare attenzione:

  • Ricevi un messaggio non sollecitato che ti chiede di inserire un codice su una pagina di login
  • Il mittente ti chiede di completare un'operazione "urgente" o "entro pochi minuti" (i codici device hanno una scadenza breve, tipicamente 15 minuti)
  • La richiesta arriva tramite canali insoliti come Teams, Slack, WhatsApp o LinkedIn, e non attraverso i normali canali aziendali
  • Non hai avviato tu stesso nessuna procedura di autenticazione o richiesta di accesso
  • Il messaggio proviene da un contatto che non ti ha mai inviato richieste simili in precedenza

Come difendersi dal Device Code Phishing: le contromisure efficaci

La buona notizia è che esistono misure concrete che individui e organizzazioni possono adottare per proteggersi. Ecco le principali:

1. Disabilita il Device Code Flow quando non è necessario

Per le organizzazioni aziendali, la prima difesa è disabilitare o limitare il Device Authorization Grant tramite le policy di accesso condizionale. In ambienti come Microsoft Entra ID (ex Azure AD) è possibile bloccare questo flusso di autenticazione per tutti gli utenti o limitarlo a dispositivi e applicazioni specifiche.

2. Implementa policy di accesso condizionale avanzate

Le Conditional Access Policy permettono di richiedere che i token vengano rilasciati solo a dispositivi conformi, registrati e gestiti dall'azienda. Questo rende inutilizzabile il token rubato su un dispositivo non autorizzato.

3. Utilizza chiavi di sicurezza hardware (FIDO2)

Le chiavi hardware come YubiKey o altri dispositivi FIDO2 offrono una protezione superiore rispetto agli OTP e ai codici SMS, perché legano l'autenticazione al dominio specifico del sito. Tuttavia, va ricordato che anche questo non è una protezione completa contro il token theft.

4. Forma e sensibilizza gli utenti

La formazione sulla sicurezza informatica è essenziale. Gli utenti devono sapere che nessun helpdesk IT legittimo chiederà mai di inserire un codice su una pagina di login se non è stata la persona stessa ad avviare il processo. La regola d'oro è: se non hai iniziato tu l'autenticazione, non completarla mai.

5. Monitora i log di accesso e i token anomali

Le organizzazioni dovrebbero implementare sistemi di monitoraggio continuo dei log di autenticazione per identificare accessi da IP insoliti, geolocalizzazioni anomale o pattern di utilizzo sospetti, specialmente subito dopo l'emissione di nuovi token.

6. Adotta il principio del minimo privilegio

Limitare i permessi di ogni account al minimo necessario per svolgere le proprie mansioni riduce drasticamente i danni in caso di compromissione. Un account compromesso con pochi privilegi è molto meno pericoloso di uno con accesso illimitato.

Il futuro dell'autenticazione: verso un modello Zero Trust

Il Device Code Phishing ci ricorda una verità scomoda: nessuna soluzione di sicurezza è infallibile se presa singolarmente. Il modello Zero Trust — che parte dal presupposto che nessun utente, dispositivo o rete sia intrinsecamente affidabile — rappresenta l'approccio più robusto per il futuro.

In un'architettura Zero Trust, ogni richiesta di accesso viene valutata continuamente in base a molteplici fattori: identità dell'utente, stato del dispositivo, posizione geografica, comportamento storico e contesto della richiesta. Anche se un attaccante ottiene un token valido, le policy Zero Trust possono bloccare l'accesso se il contesto risulta anomalo.

Conclusione: il 2FA è necessario, ma non sufficiente

Attivare l'autenticazione a due fattori rimane una pratica fondamentale e assolutamente consigliata. Ma come dimostra il Device Code Phishing, non è più sufficiente da sola a garantire la sicurezza dei tuoi account e delle tue informazioni.

La sicurezza informatica moderna richiede un approccio multistrato e consapevole: strumenti tecnologici adeguati, policy organizzative rigorose e — soprattutto — utenti informati e vigili. La prossima volta che ricevi un messaggio che ti chiede di inserire un codice di autenticazione che non hai richiesto, fermati un secondo. Quella pausa potrebbe salvarti da una violazione devastante.

Ricorda: il link è autentico, la pagina è reale, ma la truffa è concreta. Conoscere il pericolo è il primo passo per evitarlo.

Also available in: Italiano English Español
Il tuo 2FA è davvero sicuro contro questo attacco?
Il Device Code Phishing bypassa le protezioni che ritieni più solide. I nostri esperti di cybersecurity analizzano gratuitamente la tua infrastruttura di autenticazione e ti mostrano dove sei realmente esposto.
Richiedi analisi gratuita ora