Le passkey sono la migliore difesa quotidiana contro il phishing quando accedi: non c’è password da rubare, e la credenziale è legata al sito reale, così una pagina di accesso falsa non cattura nulla di utile. Ma una campagna emersa nel 2026 mostra dove si è spostato il punto debole. Gli aggressori non combattono l’accesso - puntano alla registrazione: chiamano gli utenti Microsoft 365 e fanno registrare loro una passkey che controlla l’aggressore. Ecco come funziona, e come non cascarci.
Come funziona l’attacco
Secondo BleepingComputer, un attore malevolo chiama al telefono gli utenti Microsoft 365 - phishing vocale, o vishing - da aprile 2026, spacciandosi per IT o sicurezza e spingendoli a registrare una nuova passkey Entra "per una protezione migliore". Per vendere l’inganno, la vittima viene indirizzata a un kit di phishing che imita il flusso di registrazione autentico di Microsoft, gestito da un pannello controllato dall’operatore che guida il bersaglio passo passo e si adatta al metodo multifattore usato.
Il risultato è la trappola: la vittima crede di registrare una passkey sul proprio account, mentre l’aggressore registra in realtà una passkey che controlla lui. Okta, che traccia l’attore come O-UNC-066 (un’operazione di estorsione che chiama Pink), ha segnalato lo stesso gruppo che prende di mira organizzazioni di alimentari e bevande, tecnologia, sanità, automotive, edilizia e aviazione.

Perché le passkey non fermano questo
Vale la pena essere precisi su cosa proteggono le passkey. All’accesso, una passkey resiste al phishing per progettazione: la chiave privata non lascia mai il tuo dispositivo e funziona solo sul dominio autentico, così una pagina di accesso copiata non ha nulla da phishare. Questo attacco non lo tocca.
La registrazione è un altro momento. Qui ti viene chiesto di aggiungere una credenziale, e il bersaglio è la decisione umana di procedere, non la crittografia. Se ti convincono a completare una registrazione guidata dall’aggressore, la matematica ha funzionato perfettamente - ha solo registrato la chiave sbagliata. Ecco perché "resistente al phishing" descrive l’accesso, non una registrazione manipolata socialmente.

Il colpo di scena: sfrutta una vera funzione Microsoft
Ciò che rende il pretesto così convincente è il tempismo. A maggio 2026 Microsoft ha dato agli amministratori la capacità di lanciare campagne di registrazione delle passkey - richieste legittime che invitano gli utenti a registrare una passkey per un’autenticazione più forte. È un miglioramento genuino. Ma significa anche che i dipendenti ora si aspettano che venga chiesto loro di configurare una passkey, così una chiamata che dice "abbiamo bisogno che tu registri la tua passkey ora" non suona più strana. Una vera funzione di sicurezza è diventata una copertura già pronta.
Come proteggerti
- Non registrare mai una passkey per una chiamata in arrivo. I veri team IT non ti telefonano per guidarti in diretta nella registrazione di una credenziale.
- Registra solo da una sessione che hai avviato. Digita l’indirizzo ufficiale nel browser o apri tu l’app ufficiale - non seguire un link né un’istruzione dettata da chi chiama.
- Verifica prima. Se ricevi una chiamata o un messaggio che ti dice di registrare una passkey ora, confermalo tramite un canale interno noto prima di fare qualsiasi cosa.
- Amministratori: monitorate le registrazioni delle passkey, allertate su credenziali appena aggiunte e ricordate al personale che le richieste di registrazione devono essere avviate dall’utente, mai completate in diretta durante una chiamata non richiesta.
Anche per i tuoi account personali
La stessa logica vale fuori dal lavoro. Aggiungi una passkey solo quando tu hai avviato l’azione nell’app autentica, e tieni le tue passkey reali e i codici a due fattori in un luogo affidabile per sapere sempre cosa hai davvero registrato. Una chiamata di vishing ha molto meno su cui lavorare quando hai un quadro chiaro delle tue credenziali.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Tieni passkey e 2FA in un caveau affidabile → NordPassMemorizza passkey e codici TOTP · crittografia XChaCha20 · caveau zero-knowledge · così sai sempre cosa hai davvero registrato→In sintesi
Le passkey battono ancora le password, e dovresti continuare a usarle - ma "resistente al phishing" descrive l’accesso, non la registrazione. La campagna di vishing Entra ricorda che il passo umano di aggiungere una credenziale è il nuovo bersaglio. Non registrare mai una passkey perché qualcuno ti ha chiamato; solo da un flusso che hai avviato tu.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→Domande frequenti
Le passkey sono ancora sicure dopo questo attacco?
Sì, per accedere. Una passkey è una coppia di chiavi crittografiche legata al dominio reale del sito, quindi una pagina di accesso falsa non può catturare nulla di riutilizzabile - quella parte resiste davvero al phishing. Questa campagna non rompe la crittografia. Punta a un altro momento: il passo di registrazione, dove una persona viene manipolata a registrare la passkey di un aggressore. La soluzione non è diffidare delle passkey, ma fare attenzione a quando e come ne registri una.
Come funziona l’attacco vishing alle passkey di Entra?
Secondo BleepingComputer, un attore malevolo chiama al telefono gli utenti Microsoft 365 (phishing vocale, o vishing), spacciandosi per IT o sicurezza, e li spinge a registrare una nuova passkey Entra. La vittima viene indirizzata a un kit di phishing che imita la registrazione reale di Microsoft, con un operatore che la guida in tempo reale. Mentre la vittima crede di registrare la propria passkey, l’aggressore registra una passkey che controlla lui - ottenendo accesso persistente all’account.
Una passkey può subire phishing?
Non all’accesso. Poiché la chiave privata di una passkey non lascia mai il tuo dispositivo ed è legata al dominio autentico, una pagina di accesso falsa non ha nulla da rubare. Ciò che può subire phishing è la registrazione: tramite una chiamata di vishing e una pagina di registrazione clonata, possono ingannarti per aggiungere una credenziale che appartiene all’aggressore. Perciò la frase onesta è che le passkey resistono al phishing all’accesso, non in una registrazione manipolata socialmente.
Come evito la truffa di registrazione della passkey?
Non registrare né approvare mai una passkey per una chiamata inaspettata. I veri team IT non ti chiamano per guidarti in diretta nella registrazione di una credenziale. Registra una passkey solo da una sessione che hai avviato tu, digitando l’indirizzo ufficiale nel browser o aprendo l’app ufficiale. Se ricevi una chiamata o un messaggio che ti dice di registrare una passkey ora, verificalo prima tramite un canale interno noto.
Perché questo attacco è diventato possibile ora?
A maggio 2026 Microsoft ha dato agli amministratori una funzione per lanciare campagne di registrazione delle passkey - richieste legittime che invitano gli utenti a registrare passkey per una sicurezza più forte. È un buon cambiamento, ma significa anche che gli utenti ora si aspettano che venga chiesto loro di registrare una passkey, il che rende più credibile una richiesta falsa. Gli aggressori sfruttano questa aspettativa, trasformando un vero miglioramento della sicurezza in un pretesto già pronto.
