AccountRights.
Inizia la diagnosi
AccountRights.
English EN Français FR Italiano IT
Inizia la diagnosi Il mio spazio
Account Takeover Microsoft 365 Phishing GDPR Recovery

Account Microsoft rubato con furto di token? Come capirlo e recuperarlo

L'FBI ha lanciato l'allarme su kit di phishing che aggirano l'autenticazione a due fattori rubando i token di accesso. Come capire se il tuo account Microsoft è stato compromesso, i passaggi di recupero efficaci e quando intensificare.

AC
AccountRights Legal Research
11 min

Account Microsoft rubato con furto di token? Come capirlo e recuperarlo

Nel maggio 2026 l'FBI ha compiuto il passo insolito di diramare un avviso pubblico su un singolo kit di phishing. Anche i ricercatori di sicurezza di Malwarebytes lo hanno documentato: una piattaforma di phishing-come-servizio soprannominata « Kali365 » che dirotta gli account Microsoft 365 non rubando la password, ma rubando il token di accesso che il tuo account usa per restare autenticato.

Questa distinzione è tutto il problema. Poiché l'attaccante se ne va con il token anziché con la password, l'autenticazione a più fattori non lo ferma — il codice o l'approvazione tramite app sono già avvenuti. E poiché il token rubato mantiene la sessione « ricordata », può restare nel tuo Outlook, OneDrive e Teams a lungo, in silenzio, senza mai più effettuare l'accesso.

Verrebbe da archiviarlo come « problema informatico aziendale ». Non è solo quello. Lo stesso trucco funziona contro chiunque abbia un Outlook personale o un abbonamento Microsoft 365. Se pensi che il tuo account sia stato compromesso in questo modo, ecco come confermarlo e cosa fare.

Come capire se l'account è stato davvero compromesso

Il furto di token è progettato per essere silenzioso, quindi i segnali sono spesso minimi. Anche uno solo di questi merita un controllo più attento:

  • Un dispositivo o un accesso che non riconosci quando controlli l'attività del tuo account su account.microsoft.com/devices.
  • Email nella cartella Posta inviata che non hai mai scritto, o messaggi spariti dalla posta in arrivo.
  • Nuove regole della posta in arrivo che non hai creato — soprattutto quelle che inoltrano la posta altrove o eliminano automaticamente certi messaggi. Gli attaccanti le aggiungono per continuare a leggere la tua posta e nascondere gli avvisi di reimpostazione della password.
  • Avvisi di reimpostazione password o di sicurezza per altri account (la banca, i social) che non hai richiesto, segno che qualcuno potrebbe usare la tua casella come trampolino.
  • Contatti che ti dicono di aver ricevuto uno strano « documento condiviso » o una richiesta di accesso dal tuo indirizzo.

Se noti questi segnali, considera l'account compromesso e muoviti in fretta. Con il furto di token il tempo conta più del solito, perché l'accesso dell'intruso dura solo finché il token rubato resta valido — e il tuo compito è invalidarlo.

La procedura di recupero, passo dopo passo

Fallo da un dispositivo di cui ti fidi e che sai essere pulito, non da quello che sospetti sia stato coinvolto.

  1. Cambia la password — ma sappi che da sola non basta. Reimpostare la password è il primo passo, ma un token di sessione rubato può talvolta sopravvivere a un cambio di password. Per questo il passo successivo conta altrettanto.
  2. Esci da ogni sessione e revoca le sessioni attive. Nelle impostazioni di sicurezza del tuo account Microsoft, usa l'opzione per disconnetterti da tutte le sessioni e i dispositivi. Per un account aziendale o scolastico, è il momento di chiamare l'amministratore IT: solo lui può forzare la revoca dei token di aggiornamento in tutta l'organizzazione ed espellere l'intruso per sempre.
  3. Rimuovi dispositivi e app collegate sconosciuti. Controlla i dispositivi elencati nel tuo account e rimuovi quelli che non riconosci. Verifica poi quali app di terze parti hanno il permesso di accedere al tuo account e revoca tutto ciò che non ti è familiare — un consenso concesso a un'app malevola è un modo comune con cui gli attaccanti restano dentro.
  4. Ricontrolla e reimposta l'autenticazione a più fattori. Esamina le voci dell'autenticatore e i numeri di telefono registrati per la sicurezza. Rimuovi tutto ciò che non hai aggiunto e registra di nuovo i tuoi.
  5. Dai la caccia alle regole nascoste della posta. Esamina con attenzione le regole di posta e le impostazioni di inoltro ed elimina tutto ciò che non hai configurato. È il passo che si tende a saltare, ed è esattamente così che un attaccante continua a leggere la tua posta dopo che hai cambiato la password.
  6. Conferma che email e telefono di recupero siano ancora tuoi. Gli attaccanti spesso li sostituiscono per poter rientrare tramite reimpostazione. Assicurati che entrambi puntino a te.
  7. Verifica cosa è stato toccato. Controlla i link di condivisione di OneDrive e SharePoint e scorri la casella di posta per capire cosa è stato letto o inviato, così da sapere chi altro va avvisato.

Segnalalo

La segnalazione da sola non ripristinerà il tuo account, ma crea una traccia che potrebbe servirti in seguito. Negli USA l'FBI raccoglie le segnalazioni tramite l'Internet Crime Complaint Center (ic3.gov). Nell'UE, segnala alla tua unità nazionale di criminalità informatica e — poiché gli account di posta contengono dati personali — puoi rivolgerti anche alla tua autorità nazionale per la protezione dei dati, in particolare se la violazione ha esposto informazioni su altre persone.

Quando il recupero si blocca — e dove interviene AccountRights

La maggior parte delle compromissioni di account può essere annullata con i passaggi qui sopra. Alcune no. Puoi trovarti con l'account bloccato in un ciclo di verifica, « messo in sicurezza » dall'attaccante con i dati di recupero ormai suoi, o semplicemente irraggiungibile perché il flusso di recupero automatico del provider continua a respingerti. È lo stesso muro che incontra chi ha gli account Facebook e Instagram compromessi: gli strumenti self-service si esauriscono e dall'altra parte non c'è nessun essere umano.

Per essere chiari su cosa facciamo e cosa non facciamo: AccountRights non è un supporto tecnico. Non possiamo reimpostare la tua password né riportarti dentro, e i passaggi qui sopra sono sempre il punto di partenza giusto. Noi entriamo in gioco nella fase successiva — quando un titolare legittimo ha fatto tutto correttamente e l'account resta irraggiungibile, oppure quando la perdita ha causato un danno reale.

A quel punto le leve passano dal tecnico al legale. In base al GDPR hai un diritto di accesso ai dati che un provider detiene su di te e alle decisioni che riguardano il tuo account, il che può spostare la questione su una scrivania legale anziché in una coda automatizzata e far emergere cosa è realmente accaduto. A seconda dei fatti e del tuo paese, possono applicarsi ulteriori vie. Il nostro diagnostico gratuito valuta, in meno di cinque minuti, se la tua situazione ha la solidità giuridica per intensificare — e in tal caso ti mettiamo in contatto con un avvocato partner indipendente che tratta direttamente con l'ufficio legale del provider. Sei tu a stipulare il contratto con quell'avvocato e a vederne gli onorari per iscritto prima dell'inizio di qualsiasi attività.

Avvia il mio diagnostico gratuito

Il recupero migliore è non averne bisogno

Vale la pena ripetere l'unica abitudine che sconfigge tutta questa categoria di attacchi: non inserire mai un codice di accesso su una pagina Microsoft solo perché un'email, una condivisione di documento o un invito di Teams te lo ha chiesto. Fallo solo quando sei tu ad aver avviato l'accesso, sul tuo dispositivo. Rallenta, leggi il messaggio e diffida delle richieste di accesso inattese anche quando la pagina sembra del tutto legittima — con questa truffa la pagina è davvero quella di Microsoft. È ciò che la rende efficace.

Avvertenza: AccountRights non è uno studio legale, non è un servizio di supporto tecnico e non fornisce consulenza legale. Questo articolo è un'informazione generale, non un consiglio sulla tua situazione specifica, ed è basato su informazioni pubbliche dell'FBI e di Malwarebytes. I risultati dipendono dai fatti di ogni caso e non sono mai garantiti. Per una consulenza, rivolgiti a un avvocato qualificato.

Fonti

Pensi che il tuo caso abbia merito?

La nostra diagnosi gratuita valuta la tua situazione rispetto ai quadri giuridici descritti in questo articolo.

Inizia la diagnosi
Avviso informativo legale: Questo articolo fornisce informazioni legali generali e non costituisce consulenza legale personalizzata. Solo un avvocato iscritto all'albo può valutare la tua situazione specifica. Per una revisione del tuo caso, utilizza il nostro strumento diagnostico o contatta direttamente un avvocato partner.

Non aspettare che la piattaforma agisca.

Ogni giorno che il tuo account rimane bloccato, le prove diventano più difficili da raccogliere e i termini si avvicinano. Inizia la tua diagnostica gratuita adesso.

Inizia la diagnosi