L’aggressore che ha colpito la maggior parte delle organizzazioni di servizi finanziari negli ultimi 12 mesi non ha mai rubato alcuna password. Hanno chiamato una linea di supporto IT, hanno convinto un dipendente a reimpostare il proprio MFA e hanno registrato il proprio dispositivo sulla rete.
Quello di CrowdStrike Rapporto 2026 sul panorama delle minacce ai servizi finanziaripubblicato questo mese e che copre l’attività da aprile 2025 a marzo 2026, ha identificato Mutant Spider come la minaccia più attiva per il settore dei servizi finanziari. La tecnica principale del gruppo period il phishing vocale su Microsoft Groups. Gli operatori si sono spacciati per il supporto IT interno, hanno convinto i dipendenti a reimpostare le proprie credenziali e l’autenticazione a più fattori, quindi hanno registrato i propri dispositivi sulle reti aziendali. Il controllo di sicurezza ha funzionato esattamente come previsto: e questo period il problema.
Nel giro di pochi giorni, l’FBI pubblicò un avviso di servizio pubblico avvertimento su Kali365, una piattaforma di phishing-as-a-service venduta su Telegram per soli $ 250 al mese. Kali365 acquisisce i token OAuth di Microsoft 365 tramite il flusso di autenticazione del codice del dispositivo legittimo. L’MFA si attiva sul dispositivo della vittima, non su quello dell’aggressore. Il token garantisce l’accesso permanente a Outlook, Groups e OneDrive senza attivare un’altra richiesta di MFA.
IL Rapporto Verizon 2026 sulle indagini sulla violazione dei datianch’esso pubblicato a maggio, ha confermato che il furto di credenziali è sceso al 13% dei vettori di accesso iniziale di violazione. Lo sfruttamento delle vulnerabilità ha preso la prima posizione con il 31%, sostituendo quella che Verizon ha definito la categoria di accesso iniziale chief da molto tempo. Sono tre fonti indipendenti, stesso risultato strutturale. L’MFA protegge l’autenticazione basata su password, ma gli attacchi che dominano i servizi finanziari aggirano sempre più il furto delle password attraverso reimpostazioni, concessioni di token e sfruttamento. La griglia di controllo dell’esposizione al bypass dell’MFA alla nice di questo articolo mappa tutte e cinque le superfici di attacco confermate dai rapporti CrowdStrike, FBI e Verizon, ciò che MFA non rileva su ciascuna di esse e la soluzione specifica per lunedì mattina.
I numeri di CrowdStrike dipingono un settore sotto pressione sostenuta
Secondo il rapporto CrowdStrike, i servizi finanziari si sono classificati come il quarto settore più preso di mira nel primo trimestre del 2026, rappresentando il 12% di tutte le attività degli avversari osservate. A livello globale, nel 2025 gli istituti finanziari hanno dovuto affrontare il 43% in più di intrusioni tramite tastiera rispetto a due anni prima. Nel Nord America, quella cifra period del 48%.
Il lato del problema legato al crimine elettronico è cresciuto più rapidamente di quanto la maggior parte dei difensori si aspettasse. Durante il periodo di riferimento gli operatori di caccia grossa hanno nominato 423 entità di servizi finanziari su siti dedicati alle perdite. Si tratta di un aumento del 27% rispetto alle 334 entità nominate nei 12 mesi precedenti. REVENANT SPIDER, che gestisce il programma ransomware-as-a-service Qilin, ha pubblicato il maggior numero di servizi finanziari vittime di qualsiasi avversario di crimine elettronico sul suo sito dedicato alle perdite. Il numero delle vittime dei servizi finanziari del gruppo è passato da 14 a 97 nel periodo in esame.
“Chi ha bisogno di un giorno zero se tutto quello che devi fare è chiamare l’assist desk e dire: ‘Ho dimenticato la password’?” Adam Meyers, vicepresidente senior delle operazioni di contrasto presso CrowdStrike, ha detto a VentureBeat. Quella frase cattura il cambiamento strutturale documentato dal suo staff nel corso di dodici mesi di intrusioni nei servizi finanziari.
La ripartizione interattiva delle intrusioni racconta la storia di chi sta effettivamente entrando in queste reti. Gli autori del crimine elettronico hanno causato il 75% delle intrusioni manuali contro i servizi finanziari. Gli avversari sponsorizzati dallo Stato rappresentavano il restante 25%. Questo rapporto non è cambiato dal 2023. Ciò che è cambiato è il quantity totale e la sofisticazione delle tecniche di accesso.
Le campagne di vishing di Mutant Spider su Microsoft Groups rappresentano un cambiamento strutturale nell’accesso iniziale. Il gruppo si spaccia per il supporto IT, manipola i dipendenti per reimpostare l’MFA, quindi distribuisce strumenti post-accesso personalizzati tra cui PrionFlaire, CalzeLoader e SleepyMutagen. CrowdStrike ritiene che il gruppo venda story accesso agli operatori di ransomware. La chiamata di Groups è il primo passo. La richiesta di riscatto è il quinto passaggio.
“Chi ha bisogno di un giorno zero se tutto quello che devi fare è chiamare l’assist desk e dire: ‘Ho dimenticato la password’?”
Scattered Spider è tornato a svolgere operazioni ransomware aggressive contro le compagnie assicurative da aprile a luglio 2025, dopo una significativa pausa operativa iniziata a dicembre 2024. Il gruppo ha gestito lo stesso programma che utilizza dal 2022: ingegneria sociale dell’assist desk; richieste di reimpostazione di credenziali e MFA; quindi movimento laterale attraverso applicazioni SaaS combine per individuare i dati a scopo di estorsione. Nel settembre 2025, la Nationwide Crime Company del Regno Unito ha arrestato e accusato due membri di aver presumibilmente preso di mira Transport for London. Il Dipartimento di Giustizia degli Stati Uniti separatamente accusato uno di loro in relazione a molteplici attacchi informatici contro le infrastrutture critiche americane.
I gruppi sponsorizzati dallo Stato hanno aumentato la portata e la velocità
I risultati del rapporto sponsorizzato dallo Stato rafforzano il problema dell’identità da una direzione diversa. Gli avversari del nesso RPDC hanno rubato 2,02 miliardi di dollari in asset digitali nel 2025, un aumento del 51% rispetto all’anno precedente. Nel febbraio 2025, Stress Chollima ha eseguito il più grande furto mai segnalato, rubando 1,46 miliardi di dollari in criptovalute compromettendo Protected{Pockets}, una piattaforma di gestione delle risorse digitali che supporta l’alternate Bybit, dopo che la macchina di uno sviluppatore è stata infettata tramite un progetto Python contenente trojan. I gruppi legati alla Cina hanno condotto campagne prolungate contro le istituzioni finanziarie in più continenti. Hole Panda ha sfruttato le apparecchiature VPN di Test Level per prendere di mira le banche nelle Filippine, Indonesia e Brasile. Vault Panda ha ottenuto l’accesso iniziale tramite VPN e dispositivi firewall compromessi in quattro continenti. Ogni campagna sponsorizzata dallo stato documentata da CrowdStrike condivideva un filo conduttore comune. La prima mossa dell’avversario ha preso di mira un’identità, una credenziale o un percorso di accesso attendibile.
Elia Zaitsev, CTO di CrowdStrike, ha dichiarato a VentureBeat in aprile che la velocità di queste operazioni sta superando i modelli di difesa tradizionali. “Gli approcci tradizionali semplicemente non sono progettati per questo tipo di comportamento”, ha detto Zaitsev.
Kali365 trasforma il furto di token in un servizio in abbonamento
L’annuncio di servizio pubblico dell’FBI del 21 maggio su Kali365 ha confermato il secondo percorso di attacco che rende questo problema complesso. La piattaforma sfrutta il flusso di concessione dell’autorizzazione del dispositivo OAuth 2.0 di Microsoft, un meccanismo progettato per dispositivi come good TV e sistemi per sale conferenze che non supportano l’accesso interattivo. Kali365 invia e-mail di phishing spacciandosi per servizi affidabili come Adobe Acrobat Signal, DocuSign e SharePoint. L’e-mail contiene un codice dispositivo e istruzioni per visitare una pagina di verifica Microsoft legittima. La vittima si autentica normalmente. L’AMF viene licenziato. Il gettone va all’attaccante.
Lupo articoche in aprile ha pubblicato un approfondimento tecnico su Kali365, ha documentato una struttura commerciale a tre livelli. Un livello amministratore per gli sviluppatori, un livello agente per i rivenditori e un livello consumer per il pagamento degli affiliati. Il prezzo dell’abbonamento va da $ 250 per 30 giorni a $ 2.000 per un anno. La piattaforma supporta 14 lingue e embrace esche di phishing generate dall’intelligenza artificiale, modelli di campagne automatizzate e una dashboard di monitoraggio in tempo reale.
Il flusso del codice del dispositivo non è una vulnerabilità. È una caratteristica. Microsoft lo ha progettato per dispositivi che non supportano l’accesso interattivo. Il problema è che le configurazioni predefinite dell’ID Entra non ne limitano l’utilizzo e la maggior parte delle organizzazioni non ha mai verificato se un flusso di lavoro legittimo lo richieda effettivamente. Kali365 sfrutta il divario tra l’intento progettuale e la realtà dell’implementazione.
Il Verizon DBIR ha rafforzato questa valutazione da una prospettiva diversa. L’edizione del 2026 ha analizzato oltre 22.000 violazioni confermate in 145 paesi. Lo sfruttamento delle vulnerabilità al 31% porta ora l’abuso di credenziali al 13%. Il tempo medio per l’applicazione completa delle patch è aumentato a 43 giorni, rispetto a 32. Le organizzazioni hanno corretto solo il 26% dei difetti critici nel catalogo delle vulnerabilità sfruttate observe di CISA, in calo rispetto al 38% dell’anno precedente.
Questi dati creano un quadro chiaro. Il settore ha trascorso due decenni a costruire difese contro il furto di credenziali. Gli attacchi che stanno effettivamente funzionando nei servizi finanziari rimuovono l’MFA attraverso l’ingegneria sociale o catturano token attraverso flussi di autenticazione legittimi in cui l’MFA non protegge la sessione dell’aggressore.
Griglia di controllo dell’esposizione per bypassare l’AMF
I direttori della sicurezza devono eseguire questo controllo sul loro ambiente questa settimana. Ogni riga rappresenta un percorso di attacco confermato dai tre rapporti sopra.
|
Superficie d’attacco |
Evento confermato |
Ciò che manca al Ministero degli Affari Esteri |
Azione |
|
Reimpostazione dell’MFA del vishing/assist desk dei staff |
L’aggressore più attivo di FS ha chiamato i dipendenti su Groups, ha ottenuto il ripristino dell’MFA, ha registrato il proprio dispositivo (CrowdStrike) |
L’assist desk verifica l’identità del chiamante senza conferma di fuori banda. L’ingegneria sociale rimuove completamente l’AMF. |
Verifica fuori banda per tutti i ripristini MFA. Chiavi {hardware} FIDO2. Richiamata su un canale separato. |
|
Flusso del codice del dispositivo OAuth |
Lo strumento da $ 250/mese acquisisce i token M365 tramite la pagina di accesso del dispositivo. L’MFA non si attiva sul dispositivo dell’utente malintenzionato. (FBI) |
Non limitato nelle configurazioni predefinite dell’ID Entra. Il canale di autenticazione separa la sfida MFA dell’utente dalla concessione del token dell’attaccante. |
Limita il flusso del codice dispositivo nell’accesso condizionato Entra ID. Blocca i dispositivi non gestiti. |
|
Persistenza dei token |
Entrambi i percorsi finiscono qui. I token validi possono garantire settimane o mesi di accesso silenzioso a seconda della configurazione della durata del token. (CrowdStrike + FBI) |
Il tradizionale monitoraggio del furto di credenziali non segnala l’accesso basato su token. I token sono artefatti al portatore equivalenti a credenziali, ma la maggior parte degli strumenti di rilevamento non li classifica in questo modo. |
Monitora l’utilizzo del token di aggiornamento OAuth da dispositivi sconosciuti. Politiche sulla durata dei token. |
|
Movimento SaaS post-accesso |
Dopo il ripristino, gli aggressori si sono rivolti alle app SaaS per ottenere credenziali e documenti. (CrowdStrike, settore assicurativo) |
DLP monitora i obtain di file, non l’attività della sessione post-reimpostazione o le chiamate API basate su token da sessioni autorizzate. |
Controlla l’accesso all’API Graph. Contrassegna le operazioni collettive dalle sessioni di ripristino o del codice dispositivo. |
|
Disallineamento del price range |
Furto di credenziali al 13%. Sfruttamento della vulnerabilità al 31%. (Verizon DBIR) Reverse engineering delle patch entro 72 ore. (Ivanti) |
Gli investimenti MFA legacy e solo per l’accesso affrontano la minaccia che è appena scesa al terzo posto. L’acquisizione di token e l’ingegneria sociale esulano da questo investimento. |
Ribilanciamento verso il monitoraggio dei token, la convalida della sessione, la verifica dell’identità per i ripristini. |
Mike Riemer, SVP e Discipline CISO di Ivanti, ha dichiarato a VentureBeat in un’intervista esclusiva che il problema della velocità aggrava il disallineamento del price range. “Gli autori delle minacce sono patch di reverse engineering e la velocità con cui lo fanno è stata notevolmente migliorata dall’intelligenza artificiale”, ha affermato Riemer. “Sono in grado di decodificare una patch entro 72 ore. Se rilascio una patch e un cliente non la installa entro 72 ore dal rilascio, è aperto agli exploit.”
Il problema strutturale è chiaro
“Le persone si stanno dimenticando della sicurezza di runtime”, ha affermato Zaitsev. “Lo abbiamo già fatto in passato, con endpoint, virtualizzazione e cloud. Le persone si sono davvero focus su, ehi, risolviamo tutte le vulnerabilità. Impossibile. Assicuriamoci di bloccare tutte le autorizzazioni. In qualche modo sembra sempre che manchi qualcosa.”
Gli aggressori che contano di più nei servizi finanziari in questo momento non stanno rubando le password. Stanno chiamando gli assist desk. Stanno sfruttando flussi di autenticazione legittimi. Stanno catturando token che persistono per mesi. Le difese che hanno consumato la quota maggiore dei price range per la sicurezza negli ultimi dieci anni sono rivolte a una minaccia che è appena scesa al terzo posto.
La soluzione non è l’aggiunta di un altro livello di MFA – lo hanno detto entrambi Zaitsev e Riemer. Si sta ripensando a ciò che l’AMF effettivamente protegge, a ciò che non protegge e alla destinazione successiva del bilancio.
