Gli attacchi di phishing stanno diventando sempre più subdoli, al punto da imitare perfettamente le comunicazioni interne aziendali. È l’allarme lanciato da Microsoft, che ha osservato una crescita significativa di email malevole capaci di apparire come messaggi legittimi inviati da colleghi, reparti HR o dirigenti aziendali.
Secondo Microsoft Threat Intelligence, i cybercriminali stanno sfruttando configurazioni errate nei sistemi di posta Microsoft 365 e schemi di routing email complessi per aggirare i controlli anti-spoofing. In particolare, il problema emerge quando il record MX di un dominio non punta direttamente a Microsoft 365, ma passa prima da server Exchange locali o servizi email di terze parti.
In questo “vuoto” di sicurezza, i controlli sull’autenticità del mittente possono risultare meno efficaci. Il risultato è pericoloso: email con indirizzi falsificati ma appartenenti allo stesso dominio dell’organizzazione riescono a superare i filtri e vengono visualizzate come comunicazioni interne. In alcuni casi, i campi “Da” e “A” coincidono, rafforzando ulteriormente l’illusione di legittimità.
Microsoft segnala che questa tecnica è utilizzata in campagne opportunistiche attive almeno da maggio 2025, rivolte a organizzazioni di diversi settori. Le email rimandano spesso a pagine progettate per rubare credenziali e sono collegate a piattaforme di phishing-as-a-service (PhaaS), in particolare al toolkit Tycoon 2FA.
Solo nell’ottobre 2025, l’azienda di Redmond ha bloccato oltre 13 milioni di messaggi dannosi associati a questa infrastruttura.
Le piattaforme PhaaS abbassano drasticamente la soglia di ingresso per i criminali informatici, offrendo template pronti, hosting e strumenti avanzati, inclusi attacchi Adversary-in-the-Middle (AitM) in grado di aggirare l’autenticazione a più fattori.
Il contenuto delle email è studiato per essere credibile e “da ufficio”: messaggi vocali, documenti condivisi, comunicazioni delle risorse umane, richieste di reset password o avvisi di scadenza delle credenziali. Particolarmente insidiosi sono gli scenari finanziari, in cui le vittime vengono spinte a pagare fatture inesistenti.
Le email possono apparire come il seguito di una conversazione con il CEO o con l’ufficio contabilità e includere allegati realistici: fatture per importi elevati, moduli W-9 con coordinate bancarie e persino false lettere di conferma bancaria.
Le conseguenze sono quelle tipiche di un phishing riuscito: furto di credenziali, compromissione di account email e documenti aziendali, fino ad arrivare a casi di Business Email Compromise (BEC) con danni economici significativi.
Microsoft sottolinea però un punto chiave: se il record MX del dominio punta direttamente a Microsoft 365, questo tipo di spoofing basato su routing complesso non risulta efficace.
Per ridurre il rischio, l’azienda raccomanda di rafforzare le configurazioni di sicurezza della posta elettronica: implementare criteri DMARC rigorosi in modalità “reject”, configurare lo SPF con hard fail, verificare attentamente i connettori verso servizi di terze parti (come antispam o archiviazione) e disabilitare Direct Send se non strettamente necessario, così da bloccare le email che tentano di impersonare il dominio aziendale.
In sintesi, anche le email che “sembrano arrivare dall’interno” non dovrebbero mai essere considerate affidabili per default. Nel nuovo panorama delle minacce, la fiducia cieca è diventata un lusso che le aziende non possono più permettersi.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cyber Italia
Cyber News
Cultura
Cultura