Settimana 11: reazione a catena con il phishing di Microsoft 365

Service navigation

Ricerca

Navigazione

Settimana 11: reazione a catena con il phishing di Microsoft 365

18.03.2025 - La scorsa settimana, l’UFCS ha rilevato diversi tentativi di phishing contro account aziendali di Microsoft 365, con l’obiettivo di «frugare» negli account violati alla ricerca di dati sensibili da utilizzare per ulteriori attacchi. La particolarità di questi attacchi è il modo in cui si diffondono: dall’account violato viene inviata un’e-mail di phishing a tutti i contatti, innescando il fenomeno noto come «chain phishing» o phishing a catena, una modalità di diffusione che ricorda appunto una reazione a catena. Microsoft è una delle piattaforme più utilizzate per la comunicazione e la collaborazione aziendali, pertanto gli account di Microsoft 365 sono un obiettivo davvero appetibile per i cibercriminali.

Il phishing è un tentativo da parte dei criminali di mettere mano a password e altri dati personali tramite e-mail, SMS o messaggi falsi. I truffatori utilizzano messaggi che sembrano perfettamente reali per convincere le loro vittime a rivelare dati personali. Il cosiddetto phishing a catena è una modalità di diffusione particolarmente pericolosa, in cui vengono inviate, da account già violati, e-mail false all’intero elenco di contatti della vittima. Il metodo sfrutta l’effetto valanga e ricorda una reazione a catena che si intensifica (in inglese «chain»). Dal momento che i destinatari conoscono il presunto mittente, la probabilità che cadano vittime del phishing è notevolmente più alta. Essendo il mittente noto, i destinatari tendono a rispondere ai messaggi falsi e a rivelare più facilmente i propri dati di accesso, poiché il loro scetticismo si riduce. Un singolo attacco di phishing riuscito può quindi avere conseguenze di vasta portata e compromettere numerosi altri account.

Microsoft 365 nel mirino

Gli attacchi di phishing a catena spesso si concentrano sugli utenti della piattaforma Microsoft 365. La diffusione di Microsoft 365 rende la piattaforma un obiettivo davvero appetibile per i truffatori, che mirano ad accedere a un’ampia gamma di dati e funzioni sensibili. I truffatori utilizzano finte pagine di login di Office 365 per rubare i dati di accesso. Una tattica comune consiste nell’inviare e-mail che invitano gli utenti ad aggiornare le informazioni del proprio account o a verificare la propria password su una pagina Microsoft contraffatta, ma che assomiglia incredibilmente all’originale, con il pretesto di aprire un documento. Il design familiare della piattaforma aumenta la probabilità che gli utenti inseriscano i propri dati di accesso senza il benché minimo sospetto.

Un tipico esempio di attacco di phishing a catena si svolge nel modo seguente: un collaboratore di un’azienda riceve, da parte di un collega o di un partner commerciale, un’e-mail di phishing, che contiene un link a un documento presumibilmente salvato su una pagina Microsoft OneDrive o SharePoint e che richiede l’accesso a Microsoft 365 per essere visualizzato. Il collaboratore inserisce le proprie credenziali e le invia inconsapevolmente ai truffatori, i quali ottengono quindi l’accesso al suo account e lo utilizzano per inviare a loro volta e-mail di phishing a tutti i suoi contatti, in particolare colleghi, clienti o partner commerciali. Siccome queste nuove e-mail sembrano provenire da una fonte attendibile, è altamente probabile che anche i destinatari clicchino sui link, facendo così ripetere l’attacco.

E-mail contenente un link a un presunto documento
E-mail contenente un link a un presunto documento
Finta e-mail di Office 365
Finta e-mail di Office 365

Accesso non autorizzato a dati confidenziali

Tramite gli account violati di Microsoft 365, i truffatori non solo possono inviare messaggi di phishing, ma ottengono anche l’accesso a dati aziendali sensibili, incluse informazioni personali e comunicazioni di partner commerciali, clienti e colleghi. L’accesso non autorizzato a comunicazioni riservate e ad altre informazioni protette memorizzate in servizi come e-mail, SharePoint e OneDrive può avere gravi conseguenze. Tali fughe di dati rendono la vittima ricattabile e possono danneggiare la reputazione di un’azienda e comportare conseguenze legali ai sensi della legislazione svizzera in materia di protezione dei dati e, se del caso, del GDPR. È quindi fondamentale farsi un’idea dei dati potenzialmente trafugati e valutare il rischio per ogni singolo dato.

Allo stesso modo, un account violato di un collaboratore può anche fungere da punto di partenza per attacchi alla catena di fornitura. Anche le e-mail di phishing inviate da un account attendibile di un collaboratore a fornitori o clienti possono compromettere questi ultimi. Inoltre, gli account violati possono essere utilizzati per diffondere malware.

Attenzione alle regole per l’inoltro

Spesso negli account violati i truffatori creano una regola per l’inoltro per ricevere una copia di tutte le e-mail in arrivo: in questo modo continuano ad appropriarsi di tutte le informazioni anche se la password è stata reimpostata da tempo. Se così facendo il truffatore continua ad avere accesso all’account e-mail, in un secondo momento può persino effettuare il login in altri servizi, qualora questi offrano una funzione di ripristino della password via e-mail.

Misure e raccomandazioni

  • Controllare attentamente l’indirizzo e-mail del mittente.
  • Prestare attenzione alle e-mail in cui il nome visualizzato del mittente non corrisponde all’indirizzo e-mail effettivo.
  • Gli appellativi generici come «Gentile cliente» al posto del nome del destinatario sono spesso un segnale di avvertimento.
  • Prestare attenzione agli errori di grammatica e di ortografia.
  • Controllare sempre l’indirizzo Internet aperto (URL) prima di inserire una password.
  • Diffidare delle e-mail in cui si chiede di eseguire un’azione, come ad esempio cliccare su un link o aprire un allegato.
  • Non inserire mai dati sensibili su formulari aperti tramite un link in un’e-mail.
  • Attivare, se possibile, un’autenticazione a due fattori. Ciò garantisce un maggiore livello di protezione per impedire che l’account venga violato.
  • Non dimenticare che i mittenti delle e-mail possono essere falsificati facilmente.
  • Se vengono inviati messaggi manipolati a proprio nome, è presumibile che l’account/il sistema di posta elettronica sia stato violato. In tal caso, cambiare immediatamente la password e controllare i filtri e-mail e le regole per l’inoltro.
  • I truffatori creano spesso una regola per l’inoltro per ricevere una copia di tutte le e-mail in arrivo. L’UFCS raccomanda inoltre di controllare il sistema.
  • Informare i propri contatti, poiché potrebbero aver ricevuto un’e-mail.
  • Secondo l’articolo 24 della nuova legge federale sulla protezione dei dati (LPD), le violazioni della sicurezza dei dati devono essere notificate all’IFPDT se comportano un rischio elevato per la personalità o i diritti fondamentali delle persone interessate dalla fuga di dati. La disposizione si applica a privati, aziende e organi federali. La notifica all’IFPDT deve essere effettuata il prima possibile. Il formulario di notifica è disponibile qui:  https://databreach.edoeb.admin.ch/report

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 18.03.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_11.html