Nuova truffa via e-mail usa Microsoft per bypassare l’autenticazione 2FA
Una campagna phishing sfrutta e-mail autentiche Microsoft per rendere i messaggi più credibili e superare parte dei controlli di sicurezza.
- Una campagna di phishing sfrutta l'indirizzo msonlineservicesteam@microsoftonline.com per inviare e-mail fraudolente apparentemente autentiche.
- I criminali creano tenant Microsoft 365 modificati per inviare notifiche genuine che possono superare SPF, DKIM e DMARC.
- Microsoft abbandona progressivamente gli SMS per la 2FA e consiglia passkey, e-mail verificate e app di autenticazione; utenti restino vigili.
Una nuova campagna di phishing sta sfruttando un indirizzo e-mail ufficiale di Microsoft per diffondere messaggi fraudolenti che, almeno in apparenza, sembrano autentici. Il problema riguarda l’account "msonlineservicesteam [at] microsoftonline.com", utilizzato normalmente dall’azienda per notifiche di sicurezza e codici legati all’autenticazione a due fattori.
Negli ultimi mesi, diversi utenti e ricercatori specializzati in cybersicurezza hanno segnalato la ricezione di e-mail sospette provenienti proprio da quell’indirizzo. L’aspetto più delicato della vicenda è che i messaggi non arrivano da domini contraffatti o da account imitati, ma da un indirizzo realmente collegato all’infrastruttura Microsoft. Una circostanza che rende più difficile individuare la truffa e che rischia anche di aggirare parte dei sistemi automatici di filtraggio antispam.
- Come funziona la truffa che sfrutta l’infrastruttura Microsoft?
- Perché questi messaggi possono superare i controlli di sicurezza?
- Microsoft punta a sostituire gli SMS per la 2FA
Come funziona la truffa che sfrutta l’infrastruttura Microsoft?
Secondo quanto emerso dalle analisi pubblicate nelle ultime settimane, i cybercriminali sarebbero riusciti a sfruttare un sistema di notifiche automatiche associato agli account Microsoft 365. In alcuni casi, le e-mail utilizzano oggetti che simulano avvisi di sicurezza o presunte attività sospette rilevate sull’account della vittima. In altri, invece, invitano l’utente a cliccare su link esterni con il pretesto di leggere comunicazioni private o completare verifiche dell’account.
Anche la struttura grafica delle e-mail richiama quella delle comunicazioni ufficiali Microsoft, un dettaglio che contribuisce a rendere l’attacco ancora più credibile, soprattutto per gli utenti meno esperti.
A segnalare pubblicamente il problema è stato anche The Spamhaus Project, organizzazione no-profit specializzata nel monitoraggio dello spam e delle campagne malevole online. L’associazione ha spiegato che l’abuso del sistema andrebbe avanti da mesi, criticando inoltre il livello di personalizzazione consentito dal meccanismo automatico di invio delle notifiche.
Un report pubblicato nei mesi scorsi dalla società di cybersicurezza Abnormal ha descritto anche uno dei possibili metodi utilizzati dai malintenzionati. Secondo l’analisi, i criminali creerebbero nuovi tenant Microsoft 365 modificando il nome associato all’account con messaggi fraudolenti. Successivamente chiederebbero al sistema Microsoft di inviare un codice di verifica alla vittima. Il risultato sarebbe una e-mail tecnicamente autentica, ma con contenuti manipolati per spingere l’utente a fidarsi.
Perché questi messaggi possono superare i controlli di sicurezza?
Normalmente, controllare il mittente rappresenta uno dei primi consigli per riconoscere un tentativo di phishing. In questo caso, però, il dominio risulta reale e validato dai sistemi di autenticazione utilizzati nella posta elettronica.
Secondo gli esperti, questo permette ai messaggi di superare più facilmente controlli come SPF, DKIM e DMARC, tecnologie progettate per impedire lo spoofing delle e-mail. Inoltre, molte aziende configurano i propri sistemi interni in modo da considerare attendibili le comunicazioni provenienti dai domini Microsoft.
Microsoft punta a sostituire gli SMS per la 2FA
La vicenda arriva in un momento in cui Microsoft sta già modificando il proprio approccio alla sicurezza degli account personali. L’azienda ha infatti confermato che inizierà progressivamente ad abbandonare gli SMS come metodo per l’autenticazione a due fattori e per il recupero degli account.
Microsoft considera gli SMS una delle principali fonti di rischio per le frodi digitali, soprattutto a causa di attacchi come il SIM swapping e il phishing tramite messaggi di testo. Al loro posto, la società sta promuovendo sistemi alternativi come passkey, e-mail verificate e applicazioni di autenticazione.
Nel frattempo, gli esperti invitano gli utenti a mantenere alta l’attenzione anche davanti a e-mail apparentemente legittime. Controllare con attenzione i link presenti nei messaggi ed evitare di inserire credenziali dopo aver cliccato su collegamenti ricevuti via posta elettronica resta una delle difese più efficaci contro le campagne di phishing più sofisticate.
FAQ
Verifica sempre i link prima di cliccare, non inserire credenziali e contatta Microsoft se il messaggio è sospetto.
I criminali sfruttano tenant Microsoft 365 autentici che producono e-mail inviate dall'infrastruttura ufficiale.
Sì, perché il dominio è reale e validato, permettendo talvolta di aggirare i controlli automatici.
Microsoft promuove passkey, e-mail verificate e app di autenticazione al posto degli SMS.
Non usare il codice, cambia la password, abilita app di autenticazione e segnala l'evento a Microsoft.
