Il furto di token: la nuova minaccia che può colpire Microsoft 365, Google Workspace e molti servizi web protetti con MFA 2

Cybersecurity / MFA / Servizi cloud

Il furto di token: la nuova minaccia per Microsoft 365, Google Workspace e i servizi web protetti con MFA Il furto di token: la nuova minaccia che può colpire Microsoft 365, Google Workspace e molti servizi web protetti con MFA (autenticazione a più fattori)

Non è il classico furto di password: oggi gli attaccanti cercano di impossessarsi della sessione già autenticata, sfruttando token e accessi web apparentemente legittimi.

Negli ultimi mesi si sta diffondendo una tecnica di attacco informatico particolarmente insidiosa: il furto di token di autenticazione. L’utente inserisce le proprie credenziali, completa correttamente l’autenticazione a due fattori e crede di aver effettuato un accesso normale. In realtà, l’attaccante può intercettare il token di sessione e usarlo per entrare nell’account.

È importante chiarire subito un punto: questo rischio non riguarda solo Microsoft 365, ma può estendersi anche a Google Workspace e, più in generale, a tutti quei servizi web che utilizzano MFA, sessioni persistenti e login via browser.

In sintesi

  • Il token è il pass digitale che mantiene autenticata la tua sessione
  • Se il token viene sottratto, l’attaccante può entrare senza ripetere login e MFA
  • Il rischio non riguarda solo Microsoft 365, ma anche Google Workspace e molti altri servizi cloud
  • Il problema non è la piattaforma in sé, ma il modello di autenticazione web moderna
  • La difesa richiede tecnologia, attenzione e formazione degli utenti

Cos’è un token di autenticazione

Dopo il login, il sistema rilascia un token, cioè una prova digitale che conferma che l’utente è già stato autenticato correttamente. È il meccanismo che ti evita di reinserire continuamente password e secondo fattore mentre usi servizi come Outlook, Teams, OneDrive, Gmail, Drive, Calendar o altre piattaforme cloud.

Questo comportamento è normale e utile: rende il lavoro più fluido e permette ai servizi web moderni di funzionare senza interrompere l’esperienza dell’utente. Il problema nasce quando questo “pass” digitale viene intercettato o rubato.

autenticazione a due fattori diventerà obbligatoria nel 2025

autenticazione e identità digitale.

La password è l’accesso iniziale. L’MFA è il secondo controllo. Il token è il pass che ti permette di restare dentro senza rifare tutta la procedura.

Perché questa minaccia riguarda molti servizi web, non solo Microsoft 365

Spesso questo tema viene raccontato parlando di Microsoft 365, ma il meccanismo è più ampio. Lo stesso principio può riguardare anche Google Workspace e numerosi altri servizi SaaS, portali documentali, webmail, CRM online, piattaforme di collaborazione e strumenti aziendali accessibili via browser.

In sostanza, quando un servizio utilizza login web, MFA, sessioni persistenti e token di accesso, esiste la possibilità che un attacco tenti di colpire proprio quel livello. Il punto quindi non è il marchio del servizio, ma l’architettura di autenticazione tipica delle piattaforme moderne.

Il furto di token: la nuova minaccia che può colpire Microsoft 365, Google Workspace e molti servizi web protetti con MFA 3

email ingannevoli, login falsi e phishing avanzato.

Come funziona il furto di token

Nella maggior parte dei casi, l’attacco parte da una email ingannevole che invita a eseguire un login urgente o a visualizzare un documento. Il link porta a una pagina molto simile a quella originale, e proprio questa somiglianza abbassa la soglia di attenzione dell’utente.

  1. Ricevi una email che sembra provenire da Microsoft, Google o da un servizio aziendale.
  2. Clicchi sul link e arrivi a una pagina di login falsificata ma credibile.
  3. Inserisci email, password e completi l’MFA.
  4. Il sistema malevolo intercetta il token rilasciato dopo il login.
  5. L’attaccante usa quel token per aprire la tua sessione come se fosse legittima.

Il punto critico è questo: l’utente può anche aver inserito correttamente password e secondo fattore. L’attacco non punta solo alle credenziali, ma al risultato finale dell’autenticazione.

Cosa può fare un attaccante

  • Leggere email e conversazioni riservate
  • Accedere a file archiviati nel cloud
  • Inviare messaggi a tuo nome a clienti o colleghi
  • Creare regole di inoltro o automazioni sospette
  • Usare l’account compromesso per estendere l’attacco ad altri utenti

Perché è così pericoloso

  • La pagina di login può sembrare perfettamente autentica
  • L’utente completa davvero l’MFA e pensa di essere al sicuro
  • Le attività anomale possono partire senza segnali immediati evidenti
  • La sessione rubata può sembrare legittima ai sistemi e all’utente stesso

I segnali da non sottovalutare

Email sospette

Messaggi urgenti, toni allarmistici, richieste insolite o mittenti molto simili agli originali ma non identici.

URL non ufficiali

Domini che sembrano corretti, ma includono variazioni, parole aggiuntive o sottodomini ingannevoli.

Attività anomale

Richieste MFA inattese, accessi sospetti, email inviate senza motivo o modifiche non previste all’account.

Come difendersi in pratica

  • Evita di cliccare i link nelle email quando riguardano login, reset password o documenti urgenti.
  • Accedi manualmente ai servizi usando indirizzi salvati nei preferiti o digitati direttamente nel browser.
  • Verifica sempre il dominio prima di inserire credenziali.
  • Non approvare richieste MFA inattese: se non stai accedendo, quella richiesta è un segnale di rischio.
  • Mantieni browser e dispositivi aggiornati.
  • Attiva controlli avanzati dove disponibili: policy di accesso, alert, monitoraggio delle sessioni e protezioni anti-phishing.
  • Forma gli utenti, perché la tecnologia da sola non basta se il contesto di accesso non viene verificato.

Il concetto da ricordare

Oggi il bersaglio degli attaccanti non è soltanto la password. Sempre più spesso l’obiettivo è il token di sessione, cioè la prova che l’utente si è già autenticato. Questo vale per Microsoft 365, Google Workspace e per molti altri servizi web moderni.

Conclusione

Il furto di token è una minaccia trasversale che riguarda molti ambienti cloud e servizi web aziendali. Non rende inutile l’MFA, che resta fondamentale, ma mostra che oggi la sicurezza non si gioca solo sulla password o sul secondo fattore: conta anche il contesto in cui avviene l’accesso.

La regola più utile da tenere a mente è semplice: non fidarti solo del fatto che il login richieda l’MFA. Verifica sempre dove stai accedendo, perché ti viene richiesto il login e se il dominio è davvero quello corretto.

Vuoi verificare la sicurezza dei tuoi accessi cloud?

Una verifica mirata delle configurazioni, delle policy di accesso e dei comportamenti a rischio può aiutare a individuare criticità prima che si trasformino in problemi concreti, sia in ambienti Microsoft 365 sia in Google Workspace o in altri servizi web aziendali.

Richiedi una verifica