“La tua password sta per scadere”: quando il phishing sembra arrivare dall’ufficio della porta accanto

Gli attacchi di phishing stanno diventando sempre più subdoli, al punto da imitare perfettamente le comunicazioni interne aziendali. È l’allarme lanciato da Microsoft, che ha osservato una crescita significativa di email malevole capaci di apparire come messaggi legittimi inviati da colleghi, reparti HR o dirigenti aziendali.

Secondo Microsoft Threat Intelligence, i cybercriminali stanno sfruttando configurazioni errate nei sistemi di posta Microsoft 365 e schemi di routing email complessi per aggirare i controlli anti-spoofing. In particolare, il problema emerge quando il record MX di un dominio non punta direttamente a Microsoft 365, ma passa prima da server Exchange locali o servizi email di terze parti.

In questo “vuoto” di sicurezza, i controlli sull’autenticità del mittente possono risultare meno efficaci. Il risultato è pericoloso: email con indirizzi falsificati ma appartenenti allo stesso dominio dell’organizzazione riescono a superare i filtri e vengono visualizzate come comunicazioni interne. In alcuni casi, i campi “Da” e “A” coincidono, rafforzando ulteriormente l’illusione di legittimità.
Microsoft segnala che questa tecnica è utilizzata in campagne opportunistiche attive almeno da maggio 2025, rivolte a organizzazioni di diversi settori. Le email rimandano spesso a pagine progettate per rubare credenziali e sono collegate a piattaforme di phishing-as-a-service (PhaaS), in particolare al toolkit Tycoon 2FA.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Solo nell’ottobre 2025, l’azienda di Redmond ha bloccato oltre 13 milioni di messaggi dannosi associati a questa infrastruttura.
Le piattaforme PhaaS abbassano drasticamente la soglia di ingresso per i criminali informatici, offrendo template pronti, hosting e strumenti avanzati, inclusi attacchi Adversary-in-the-Middle (AitM) in grado di aggirare l’autenticazione a più fattori.

Il contenuto delle email è studiato per essere credibile e “da ufficio”: messaggi vocali, documenti condivisi, comunicazioni delle risorse umane, richieste di reset password o avvisi di scadenza delle credenziali. Particolarmente insidiosi sono gli scenari finanziari, in cui le vittime vengono spinte a pagare fatture inesistenti.

Le email possono apparire come il seguito di una conversazione con il CEO o con l’ufficio contabilità e includere allegati realistici: fatture per importi elevati, moduli W-9 con coordinate bancarie e persino false lettere di conferma bancaria.

Le conseguenze sono quelle tipiche di un phishing riuscito: furto di credenziali, compromissione di account email e documenti aziendali, fino ad arrivare a casi di Business Email Compromise (BEC) con danni economici significativi.
Microsoft sottolinea però un punto chiave: se il record MX del dominio punta direttamente a Microsoft 365, questo tipo di spoofing basato su routing complesso non risulta efficace.

Per ridurre il rischio, l’azienda raccomanda di rafforzare le configurazioni di sicurezza della posta elettronica: implementare criteri DMARC rigorosi in modalità “reject”, configurare lo SPF con hard fail, verificare attentamente i connettori verso servizi di terze parti (come antispam o archiviazione) e disabilitare Direct Send se non strettamente necessario, così da bloccare le email che tentano di impersonare il dominio aziendale.

In sintesi, anche le email che “sembrano arrivare dall’interno” non dovrebbero mai essere considerate affidabili per default. Nel nuovo panorama delle minacce, la fiducia cieca è diventata un lusso che le aziende non possono più permettersi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.