Nei 12 mesi precedenti, i criminali informatici che hanno colpito le istituzioni finanziarie non hanno utilizzato il phishing delle password. Al contrario, hanno telefonato ai servizi IT, convinto un dipendente a resettare l’MFA e quindi registrato i propri dispositivi su una rete aziendale. Secondo il report 2026 di CrowdStrike, intitolato Financial Services Threat Landscape Report, il gruppo Mutant Spider è diventato una minaccia estremamente attiva. La loro principale strategia? Il vishing tramite Microsoft Teams. Gli operatori si travestono da supporto IT, inducono i dipendenti a resettare le credenziali e l'autenticazione a più fattori, quindi registrano i propri dispositivi sui reti aziendali. Il controllo di sicurezza funziona esattamente come progettato — ed è precisamente il problema.

Entro pochi giorni, l’FBI ha pubblicato un avviso pubblico sull’ultima tecnologia malevola: Kali365. Si tratta di una piattaforma phishing-as-a-service venduta su Telegram a partire da 250 dollari al mese. Questa piattaforma sfrutta il flusso OAuth di Microsoft 365, raccogliendo token di autenticazione. L'autenticazione a più fattori attiva sul dispositivo vittima, non su quello dell’attaccante. Una volta ottenuto il token, l’accesso a Outlook, Teams e OneDrive è stabile senza trigger aggiuntivi a più fattori.

Tra maggio 2026, il Verizon 2026 Data Breach Investigations Report ha confermato che il furto di credenziali aveva abbandonato la categoria principale di accesso iniziale alle intrusioni. Ora le vulnerabilità costituiscono il 31%, un balzo rispetto agli anni precedenti. Tre fonti indipendenti, tre scoperte simili. L’MFA protegge l'autenticazione basata sulle password, ma gli attacchi dominanti nei servizi finanziari attualmente bypassano il furto di password con riscrittura, token e sfruttamento di vulnerabilità.

L’audit esposto in fondo a questo articolo (Griglia di valutazione dell'esposizione al bypass MFA) mappa le cinque superfici d’attacco confermate nei report di CrowdStrike, FBI e Verizon: cosa l'MFA non rileva per ciascuna e le correzioni specifiche che si possono applicare in fretta.

Gli attacchi in aumento nella finanziaria

Secondo i dati di CrowdStrike, i servizi finanziari sono risultati, nel primo trimestre del 2026, il quarto settore più bersagliato, con il 12% di tutte le operazioni avversaria osservate globalmente. Ora le istituzioni finanziarie devono gestire una frequenza del 43% in più di intrusioni con accesso diretto rispetto a due anni fa, e del 48% in Nord America.

I gruppi di crimine cyber hanno colpito con maggiore frequenza di quanto si aspettasse. Negli ultimi 12 mesi, 423 entità del settore finanziario sono state elencate su siti dedicati dagli operatori di grandi caccie di ricavi. Questo è un aumento del 27% rispetto ai 334 nominativi segnalati nel precedente periodo. Il gruppo REVENANT SPIDER, che gestisce la piattaforma ransomware-as-a-service Qilin, ha segnalato 97 vittime finanziarie in questo periodo, un balzo da 14 all’inizio.

“Chi ha bisogno di zero days – vulnerabilità sconosciute – se basta chiamare in IT ed inventare una password perduta?” ha detto Adam Meyers, Senior Vice President di CrowdStrike. Questa frase sintetizza esattamente la trasformazione registrata dai cyber-investigatori in dodici mesi di intrusioni nel settore finanziario.

La percentuale di intrusioni realizzate tramite e-crimine è arrivata al 75% negli anni. Il rimanente 25% è stato effettuato da gruppi sostenuti da Stati. La proporzione non è variata da anni. Ciò che è cambiato è il volume totale e la sofisticazione delle tecniche di accesso.

Attacchi con Teams e ransomware come risultato

Le campagne di vishing di Mutant Spider su Microsoft Teams rappresentano un cambiamento strutturale negli accessi. Il gruppo si fa passare per il supporto IT, manipola i dipendenti a resettare l’MFA e quindi utilizza strumenti specifici come PrionFlaire, SocksLoader e SleepyMutagen. CrowdStrike ritiene che vendano questi accessi a operatori ransomware. La telefonata su Teams è solo l'inizio. La richiesta di riscatto è il passo conclusivo.

Il gruppo Scattered Spider ha tornato con forza alle operazioni di ransomware contro aziende assicurative da aprile a luglio 2025, seguito da un periodo di operazioni limitate. I membri del gruppo hanno utilizzato lo stesso piano adottato dal 2022: attacchi su IT, richiesta di reset di token e credenziali, seguiti da attacchi orizzontali su applicazioni SaaS integrate per ottenere dati da estorcere. Due membri del gruppo sono stati arrestati e accusati di aggressività informatica a Londra. Il Dipartimento della Giustizia negli USA ha accusato uno di loro in relazione ai cyberattack sulle infrastrutture critiche nazionali.

Gli Stati sfruttano l’identità al primo posto

I dati del report sugli Stati sponsorizzati rivelano che DPRK-nexus ha rubato 2,02 miliardi di asset digitali nel 2025, un aumento del 51% rispetto all’anno precedente. Nel febbraio 2025, Pressure Chollima ha eseguito il furto più alto mai registrato: 1,46 miliardi di criptovaluta tramite l’accesso sull'app Safewallet, una piattaforma digitale legata all’exchange Bybit, compromessa tramite un progetto di Python infetto. I gruppi con legami cinesi hanno condotto campagne estese in più continenti. Hollow Panda ha sfruttato Check Point VPN per colpire banche in Filippine, Indonesia e Brasile. Vault Panda ha ottenuto accesso iniziale attraverso appliance compromesse di rete in quattro continenti. Ogni campagna statale aveva una comune: l’attaccante mira in primis all’identità o alle credenziali.

Elia Zaitsev, CTO di CrowdStrike, ha commentato al VentureBeat che le operazioni di cybercriminalità stanno accelerando: “Le strategie tradizionali di difesa non sono progettate per questo livello di velocità”.

Kali365: il furto di token come abbonamento

L’avviso pubblico dell’FBI del 21 maggio sull’uso di Kali365 conferma un secondo percorso d'attacco che rende il problema composto. La piattaforma sfrutta il flusso di autorizzazione OAuth 2.0 di Microsoft, un meccanismo progettato per dispositivi senza access