TLDR
- Il ghost phishing punta a sembrare innocuo durante i controlli iniziali e a rivelarsi solo nel browser della vittima.
- Link, SVG, HTML cifrato e logiche client-side possono ridurre l'efficacia dei controlli basati solo su URL statici.
- Quando l'attacco arriva al browser, device-code phishing e account takeover diventano più credibili.
- Difesa: analisi dinamica, isolamento browser, log di login, training specifico e blocco dei flussi non necessari.
Perché conta ora
Il phishing non vuole più solo sembrare legittimo all'utente.
Vuole sembrare noioso agli strumenti di sicurezza.
Il ghost phishing è interessante perché gioca su questo doppio pubblico: da una parte la vittima, dall'altra scanner, gateway email, sandbox leggere e motori di URL reputation. Il messaggio può sembrare pulito, il link può non mostrare subito il payload, l'allegato può comportarsi come un oggetto quasi innocente fino al momento giusto.
Poi arriva il browser.
E il browser è un ambiente ricco: esegue codice, interpreta formati, gestisce storage, redirect, autenticazioni, sessioni e pagine reali di provider reali.
Il falso arriva tardi
Nel phishing classico, il falso era spesso visibile subito: dominio strano, pagina clonata male, logo sgranato, form sospetto.
Nel modello più moderno, il falso può arrivare dopo:
- contenuto cifrato o offuscato che si apre lato client;
- SVG o HTML che sembrano file innocui;
- redirect condizionati;
- payload diverso per scanner e browser reale;
- pagine che si attivano solo in certe geografie o user agent;
- flussi OAuth legittimi usati nel contesto sbagliato.
Il risultato è scomodo: controllare solo il link non basta più.
Serve capire cosa succede quando quel link vive.
Perché l'account cloud è il premio
Molte campagne non cercano il file sul desktop. Cercano la sessione cloud.
Microsoft 365, Google Workspace, Slack, GitHub, CRM, storage, documenti condivisi. Un account aziendale vale perché contiene relazioni, conversazioni, fatture, allegati, contatti e privilegi.
Il device-code phishing è perfetto in questo scenario: l'utente vede una pagina vera, inserisce un codice, completa MFA e autorizza una sessione che non controlla.
La pagina non è falsa.
La regia sì.
Cosa controllare nei log
Indicatori utili:
- Login da device-code flow inattesi.
- Accessi cloud subito dopo click email.
- User agent insoliti.
- Geografie o ASN non coerenti.
- Creazione di nuovi token OAuth.
- Accesso massivo a posta o file.
- Regole mailbox create dopo il login.
- Più utenti colpiti dallo stesso tema email.
Il singolo evento può sembrare normale. La catena racconta l'attacco.
Difesa pratica
Per un team piccolo:
- abilita analisi dinamica degli allegati;
- isola apertura di file sospetti;
- limita device-code flow se non serve;
- crea alert su app OAuth nuove;
- blocca login da location impossibili;
- addestra gli utenti a riconoscere codici non richiesti;
- conserva log di email, browser e identity provider nello stesso posto;
- prepara un playbook per revocare sessioni e token.
Il punto non è inseguire ogni kit. È accorciare il tempo tra click e revoca.
La lezione Able2Code
Il phishing moderno non deve più travestirsi da sito falso.
A volte basta aspettare che il browser faccia il suo lavoro.
Se la difesa guarda solo l'URL, vede una fotografia. L'attacco invece è un film.
E il momento pericoloso arriva quando premi play.
FAQ
Che cos'è il ghost phishing?
È una famiglia di tecniche in cui il contenuto malevolo resta nascosto o inattivo durante l'ispezione iniziale e si attiva nel browser della vittima.
Perché gli SVG possono essere rischiosi?
Perché sono documenti attivi: possono contenere riferimenti, script o comportamenti che non vanno trattati come semplici immagini statiche.
URL reputation basta contro questi attacchi?
No. Aiuta, ma se il payload cambia lato client o si attiva solo in certe condizioni, serve anche analisi dinamica e controllo del comportamento.
Qual è il legame con Microsoft 365?
Molte campagne puntano a sessioni cloud e account aziendali. Il device-code phishing è un esempio: usa pagine reali per autorizzare accessi sbagliati.
Cosa deve fare un utente?
Non aprire allegati o link inattesi, non inserire codici ricevuti da altri e segnalare pagine che chiedono login o verifiche fuori contesto.