Attacco MFA: token rubati e vishing nei servizi finanziari

Nell’ultimo anno, il gruppo più attivo contro i servizi finanziari non ha rubato una sola password. Ha chiamato il supporto IT, convinto un dipendente a resettare l’MFA e registrato un proprio dispositivo sulla rete.

Il rapporto CrowdStrike 2026 Financial Services Threat Landscape, pubblicato a maggio e basato sull’attività da aprile 2025 a marzo 2026, identifica Mutant Spider come la minaccia singola più pervasiva per il settore finanziario. La loro tecnica principale: vishing su Microsoft Teams. Gli operatori si spacciavano per IT interno, convincevano gli impiegati a resettare credenziali e autenticazione a più fattori, e poi registravano un proprio dispositivo. Il controllo di sicurezza funzionava esattamente come progettato — ed era proprio quello il problema.

A giorni di distanza, l’FBI ha pubblicato un avviso pubblico su Kali365, una piattaforma phishing-as-a-service venduta su Telegram a partire da 250 dollari al mese. Kali365 cattura i token OAuth di Microsoft 365 attraverso il flusso di autenticazione legittimo del codice dispositivo. L’MFA scatta sul dispositivo della vittima, non su quello dell’attaccante. Il token concede accesso persistente a Outlook, Teams e OneDrive senza richiedere un’altra richiesta MFA.

Il Verizon 2026 Data Breach Investigations Report, sempre di maggio, conferma che il furto di credenziali è sceso al 13% dei vettori di accesso iniziale. Lo sfruttamento delle vulnerabilità ha preso la prima posizione al 31%, scalzando quella che Verizon chiama la categoria leader di lunga data. Tre fonti indipendenti, la stessa conclusione strutturale: l’MFA protegge l’autenticazione basata su password, ma gli attacchi dominanti bypassano sempre più il furto di password attraverso reset, concessioni di token e sfruttamento di vulnerabilità.

Attacco MFA: il settore sotto pressione costante

Il rapporto CrowdStrike colloca i servizi finanziari al quarto posto tra i settori più presi di mira nel Q1 2026, con il 12% di tutta l’attività avversaria osservata. A livello globale, gli istituti finanziari hanno subito il 43% in più di intrusioni manuali rispetto a due anni prima. In Nord America, la cifra sale al 48%.

Il lato e-crime è cresciuto più velocemente del previsto. Gli operatori di big game hunting hanno piazzato 423 entità finanziarie su siti di leak dedicati nel periodo di riferimento, un aumento del 27% rispetto alle 334 dell’anno precedente. REVENANT SPIDER, che gestisce il programma ransomware-as-a-service Qilin, ha pubblicato il maggior numero di vittime finanziarie di qualsiasi avversario e-crime: da 14 a 97 vittime.

Adam Meyers, SVP delle operazioni controadversariali di CrowdStrike, ha sintetizzato il cambiamento strutturale: «Chi ha bisogno di uno zero day se tutto quello che devi fare è chiamare l’help desk e dire ‘Ho dimenticato la password’?».

La ripartizione delle intrusioni mostra chi entra davvero in queste reti: gli attori e-crime hanno guidato il 75% delle intrusioni manuali contro i servizi finanziari, gli stati nazionali il restante 25%. Il rapporto non è cambiato dal 2023. È cambiato il volume totale e la sofisticazione delle tecniche di accesso.

Scattered Spider e gruppi statali: due facce dello stesso problema

Scattered Spider è tornato a condurre campagne ransomware aggressive contro assicurazioni da aprile a luglio 2025, dopo una pausa operativa iniziata a dicembre 2024. Lo stesso manuale: social engineering all’help desk, richieste di reset di credenziali e MFA, movimento laterale attraverso applicazioni SaaS integrate per localizzare dati da estorcere.

Dal fronte statale, gli avversari legati alla Corea del Nord hanno rubato 2,02 miliardi di dollari in asset digitali nel 2025, un aumento del 51% rispetto all’anno precedente. A febbraio 2025, Pressure Chollima ha eseguito il furto singolo più grande mai riportato, sottraendo 1,46 miliardi di dollari in criptovalute compromettendo SafeWallet dopo che la macchina di uno sviluppatore era stata infettata da un progetto Python trojanizzato. I gruppi legati alla Cina hanno condotto campagne sostenute contro istituti finanziari in più continenti.

Ogni campagna statale documentata da CrowdStrike condivideva un filo comune: la prima mossa dell’avversario prendeva di mira un’identità, una credenziale o un percorso di accesso fidato.

Kali365 e il flusso del codice dispositivo: feature, non bug

La piattaforma Kali365 sfrutta il flusso di autorizzazione del codice dispositivo di OAuth 2.0 di Microsoft, un meccanismo progettato per dispositivi come smart TV e sistemi per sale conferenze che non possono supportare il login interattivo. Kali365 invia email di phishing che impersonano servizi fidati come Adobe Acrobat Sign, DocuSign e SharePoint. L’email contiene un codice dispositivo e le istruzioni per visitare una pagina di verifica Microsoft legittima. La vittima si autentica normalmente. L’MFA scatta. Il token va all’attaccante.

Arctic Wolf ha documentato una struttura commerciale a tre livelli: amministratore per gli sviluppatori, agente per i rivenditori e client per gli affiliati paganti. I prezzi vanno da 250 dollari per 30 giorni a 2.000 per un anno. La piattaforma supporta 14 lingue e include esche phishing generate dall’IA, modelli di campagne automatizzate e una dashboard di tracciamento in tempo reale.

Il flusso del codice dispositivo non è una vulnerabilità. È una feature. Microsoft l’ha progettato per dispositivi che non possono supportare il login interattivo. Il problema è che le configurazioni predefinite di Entra ID non ne limitano l’uso e la maggior parte delle organizzazioni non ha mai verificato se un flusso di lavoro legittimo lo richiede effettivamente. Kali365 sfrutta quel divario tra intento di progettazione e realtà di implementazione.

Il Verizon DBIR ha rafforzato la valutazione da un’altra angolazione. L’edizione 2026 ha analizzato oltre 22.000 violazioni confermate in 145 paesi. Lo sfruttamento delle vulnerabilità al 31% guida ora l’abuso di credenziali al 13%. Il tempo mediano per il patching completo è salito a 43 giorni, da 32. Le organizzazioni hanno patchato solo il 26% delle vulnerabilità critiche nel catalogo CISA Known Exploited Vulnerabilities, in calo dal 38% dell’anno precedente. I dati disegnano un quadro chiaro: l’industria ha speso due decenni a proteggere le password, ma gli attacchi hanno già spostato il bersaglio.