OAuth: perché la sicurezza delle autenticazioni è sotto assedio
Gli attacchi che sfruttano il reindirizzamento OAuth stanno cambiando il volto del phishing e rendendo più insidiose le truffe digitali di ogni giorno. Non si vedono più solo email e-mal scritte, ma interi flussi di login che, a prima vista, sembrano impeccabili.
Sempre più applicazioni si sono appoggiate a OAuth 2.0 per delegare l’accesso a servizi come posta elettronica, archivi cloud e piattaforme collaborative. Il meccanismo di reindirizzamento verso siti terzi è diventato la colonna portante di questo ecosistema distribuito.
Bastano però pochi parametri URL manipolati per trasformare un innocuo passaggio tecnico in una porta d’ingresso per malware e furti di credenziali ad alta sofisticazione. La linea di confine tra flusso legittimo e truffa si nasconde spesso in dettagli minimi, come un dominio leggermente alterato o uno scope che non torna.
In queste righe analizzeremo la logica tecnica del reindirizzamento, le campagne documentate da Microsoft Defender e Proofpoint, oltre ai casi Moodle e Traccar. Vedremo anche quali segnali pratici aiutano a riconoscere le nuove truffe e quali misure adottare, lato utente e lato amministratore, per ridurre l’esposizione agli abusi basati su oauth.
Cos’è oauth e perché il redirect è un punto critico
Per capire come difendersi dagli attacchi che sfruttano OAuth, occorre innanzitutto chiarire la natura di questo meccanismo di delega.
OAuth è un framework di autorizzazione che consente a un’applicazione di accedere a risorse per conto dell’utente, senza che debba conoscere o conservare direttamente le sue credenziali.
Nel flusso più comune, l’utente veniva reindirizzato verso il provider di identità, ad esempio login.microsoftonline.com, per effettuare l’autenticazione.
Una volta concluso il login, il provider eseguiva un redirect verso l’URL registrato dall’applicazione, passando un codice o un token di accesso.
È proprio questo reindirizzamento apparentemente banale a trasformarsi in un punto di vulnerabilità delicato.
Se il parametro redirect_uri è controllato, o anche solo influenzato, da un hacker informatico, l’utente può finire su una pagina malevola dopo un login perfettamente legittimo.
Immagina un’app che richiede l’accesso alla tua posta aziendale tramite OAuth.
Se tutto è configurato correttamente, il codice di autorizzazione torna all’applicazione ufficiale. Se invece qualcuno è riuscito a registrare un URL molto simile, o a sfruttare un open redirect, quel codice può essere inviato a un dominio criminale, senza che tu abbia percepito anomalie.
Come funziona un attacco via reindirizzamento oauth passo dopo passo
Le campagne più recenti hanno mostrato che un attacco via reindirizzamento OAuth non richiede più la creazione di pagine di login fasulle. Al contrario, sfrutta l’infrastruttura dei provider legittimi, rendendo il phishing più credibile e difficile da individuare.
Nel caso documentato il 3 marzo 2026 da Microsoft Defender Security Research, i criminali informatici hanno creato un’applicazione malevola su Azure AD, configurando un redirect_url che puntava a un dominio di loro proprietà.
A inizio febbraio 2026 l’applicazione era già pronta; a metà mese sono partite le prime email, con inviti a finti meeting Teams o inesistenti richieste di reset password.
I messaggi includevano link OAuth con parametri manipolati come client_id e scope. Quando il destinatario faceva clic, veniva condotto su login.microsoftonline.com.
La pagina era autentica, il certificato valido e l’utente inseriva le proprie credenziali senza sospetti.
Subito dopo, grazie al redirect registrato in precedenza, il browser veniva indirizzato in automatico verso un sito sotto controllo dell’attaccante, che ospitava un archivio ZIP pronto per il download.
All’interno dello ZIP erano presenti collegamenti .lnk, script PowerShell o un installer MSI che, una volta eseguiti, installavano un documento civetta e un DLL malevolo tramite side-loading.
Così, mentre l’utente vedeva soltanto un file apparentemente innocuo, sul sistema risultava già in esecuzione il malware distribuito attraverso un flusso OAuth in tutto e per tutto legittimo.
Campagne reali: Microsoft Defender, Proofpoint, Moodle e Traccar
Gli attacchi informatici basati su reindirizzamento OAuth non hanno rappresentato episodi isolati, ma si sono inseriti in un’evoluzione continua delle tecniche di compromissione. Negli ultimi anni diversi attori della sicurezza hanno osservato campagne in contesti molto diversi, accomunate dall’abuso di flussi di autorizzazione progettati per garantire protezione.
Oltre alla campagna del marzo 2026 monitorata da Microsoft Defender, Proofpoint ha segnalato il 22 dicembre 2025 un’ampia ondata di device code phishing contro account Microsoft 365.
In questo scenario, l’utente riceveva un codice e un link, talvolta veicolati anche tramite QR code.
Il collegamento conduceva alla vera pagina di login di Microsoft e, inserendo il codice, la vittima finiva per concedere il consenso a un’applicazione controllata dall’attaccante. Non appariva nessuna pagina fasulla: tutto si reggeva su un uso astuto di OAuth e sulla fiducia riposta nell’interfaccia ufficiale.
In un rapporto del 31 luglio 2025, Proofpoint ha inoltre individuato campagne di impersonificazione di applicazioni oauth che si fingevano servizi noti come RingCentral o DocuSign, con l’obiettivo di aggirare l’MFA aziendale. Parallelamente, vulnerabilità come CVE‑2026‑25649 in Traccar e CVE‑2025‑67852 in Moodle hanno mostrato quanto possa essere pericoloso un semplice open redirect.
Segnali concreti per riconoscere le nuove truffe digitali
Individuare in tempo un attacco via reindirizzamento OAuth significa allenarsi a cogliere dettagli che spesso passano inosservati. Non basta più verificare l’aspetto grafico della pagina di login, perché molto spesso è autentica in ogni sua parte.
Quando ricevi un invito a un meeting o un’email di reset password con un link di autorizzazione OAuth, chiediti innanzitutto se quella richiesta è coerente con ciò che stai facendo.
Se il messaggio arriva fuori contesto, vale la pena fermarsi e verificare con il mittente attraverso un canale diverso.
In secondo luogo, osserva l’URL completo: dopo il dominio del provider, concentrati sui parametri, in particolare redirect_uri e state, che indicano dove proseguirà il flusso. Un dominio mai usato dalla tua organizzazione, o un percorso troppo generico, dovrebbe insospettire.
Ecco alcuni controlli rapidi che possono fare la differenza:
- Verifica che il dominio finale dopo il login sia previsto dalla tua organizzazione
- Controlla se l’applicazione che chiede accesso ti è realmente necessaria
- Leggi con attenzione gli scope richiesti, evitando permessi eccessivi
- Diffida di link a login inviati via QR in canali informali
Questi passaggi non richiedono competenze tecniche avanzate su oauth, ma solo l’abitudine a leggere ciò che solitamente si ignora.
Strategie tecniche e organizzative per ridurre il rischio
Affidarsi unicamente alla prudenza degli utenti non è più sufficiente, soprattutto quando gli attacchi sfruttano flussi oauth perfettamente legittimi. Occorrono controlli tecnici solidi e decisioni organizzative coerenti, in grado di ridurre la superficie d’attacco senza paralizzare l’operatività quotidiana.
Dal punto di vista tecnico, è fondamentale restringere con rigore gli URL di redirect_uri ammessi per ciascuna applicazione, evitando wildcard generiche e disabilitando ogni funzionalità di open redirect.
Nei casi di Traccar e Moodle, proprio una configurazione eccessivamente permissiva ha reso possibile il dirottamento dei codici di autorizzazione.
Ugualmente importante è predisporre un monitoraggio centralizzato dei consensi concessi alle applicazioni di terze parti tramite oauth. Una revisione periodica consente di revocare rapidamente i permessi alle app inutilizzate o sospette, riducendo il rischio che un attaccante sfrutti autorizzazioni dimenticate nel tempo.
Sul piano organizzativo, conviene definire politiche chiare su quali applicazioni OAuth siano autorizzate in azienda, in quali reparti e con quali livelli di permesso. Anche brevi simulazioni di phishing interno, senza trasformarle in percorsi formativi complessi, possono evidenziare i punti deboli del comportamento quotidiano.
L’obiettivo non è demonizzare OAuth, ma usarlo con maggior rigore: meno permessi superflui, meno URL aperti e molta più visibilità su chi sta chiedendo accesso a quali dati strategici. Solo così il malware faticherà a sfruttare i flussi di autorizzazione come cavallo di Troia.
Verso un uso più consapevole delle identità digitali
Gli attacchi che hanno sfruttato i reindirizzamenti OAuth hanno messo in luce una verità scomoda: la sicurezza non dipende solo da crittografia e protocolli, ma soprattutto da come li configuriamo e li utilizziamo ogni giorno.
Dalle campagne analizzate da Microsoft Defender e Proofpoint fino alle vulnerabilità in Moodle e Traccar, è emerso un filo conduttore chiaro. Ovunque esista un punto in cui un URL decide dove proseguirà il viaggio dell’utente, esiste anche un potenziale spazio di manipolazione.
Osservare con più attenzione questi passaggi, ridurre le eccezioni nelle configurazioni e pretendere trasparenza nelle richieste di accesso significa ripensare il rapporto con le nostre identità digitali.
Non si tratta di temere ogni clic, ma di riconoscere che dietro un semplice redirect può nascondersi l’infrastruttura di un’intera truffa online.
Il vero cambio di paradigma arriverà quando considereremo il flusso di autenticazione non come un automatismo da subire, ma come un dialogo in cui ogni deviazione merita una domanda in più.
