{"id":29692,"date":"2025-06-04T10:00:53","date_gmt":"2025-06-04T08:00:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29692"},"modified":"2025-06-04T13:10:44","modified_gmt":"2025-06-04T11:10:44","slug":"microsoft-365-purchase-email-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/microsoft-365-purchase-email-scam\/29692\/","title":{"rendered":"Truffatori che sfruttano le notifiche aziendali Microsoft per lanciare attacchi"},"content":{"rendered":"

Affinch\u00e9 un attacco e-mail abbia esito positivo, la prima cosa che i cybercriminali devono fare \u00e8 inviare i propri messaggi alle potenziali vittime. In un post<\/a> recente abbiamo illustrato in che modo i truffatori hanno sfruttato le notifiche di GetShared, un servizio completamente legittimo per la condivisione di file di grandi dimensioni. Oggi esamineremo un altro metodo per l\u2019invio di e-mail dannose. Gli operatori dietro a questa truffa hanno imparato a inserire testi personalizzati nei messaggi di ringraziamento autentici inviati da Microsoft 365 ai nuovi abbonati aziendali.<\/p>\n

Una vera e-mail Microsoft con una brutta sorpresa all\u2019interno<\/h2>\n

L\u2019attacco inizia con un messaggio di posta elettronica legittimo in cui Microsoft ringrazia il destinatario per aver acquistato un abbonamento a Microsoft 365 Apps for Business<\/a>. L\u2019e-mail, infatti, arriva da un indirizzo legittimo del colosso della tecnologia di Redmond: microsoft-noreply@microsoft.com. Difficile immaginare un indirizzo e-mail con una reputazione pi\u00f9 attendibile, quindi il messaggio supera facilmente qualsiasi filtro del server e-mail.<\/p>\n

Ancora una volta, solo per essere chiari: si tratta di un\u2019e-mail autentica di Microsoft. Il contenuto corrisponde a una tipica conferma di acquisto. Nello screenshot seguente, l\u2019azienda ringrazia il destinatario per aver acquistato 55 abbonamenti a Microsoft 365 Apps for Business per un valore totale di 587,95 dollari.<\/p>\n

\"Truffa<\/a>

Esempio di notifica aziendale Microsoft in cui gli utenti malintenzionati hanno inserito il proprio messaggio nella sezione Informazioni di fatturazione<\/p><\/div>\n

Il nocciolo della truffa sta nel testo aggiunto dagli utenti malintenzionati nella sezione Informazioni di fatturazione. In genere, questa sezione contiene il nome dell\u2019azienda abbonata e l\u2019indirizzo di fatturazione. Tuttavia, i truffatori scambiano tali informazioni con il proprio numero di telefono, oltre a una nota che incoraggia il destinatario a chiamare \u201cMicrosoft\u201d in caso necessiti di assistenza. I tipi di abbonamento \u201cacquistati\u201d indicano che i truffatori prendono di mira i dipendenti di aziende.<\/p>\n

Sfruttano la paura comune dei dipendenti: fare un acquisto costoso e inutile potrebbe causare problemi sul lavoro. E poich\u00e9 la risoluzione del problema tramite e-mail non \u00e8 un\u2019opzione (il messaggio proviene da un indirizzo al quale non \u00e8 possibile rispondere), alla vittima non resta che chiamare il numero di telefono fornito.<\/p>\n

Chi risponde alle chiamate e cosa succede dopo?<\/h2>\n

Se la vittima abbocca e decide di chiamare per chiedere informazioni sugli abbonamenti che avrebbe acquistato, i truffatori implementano trucchi di social engineering<\/a>.<\/p>\n

Un utente Reddit, che aveva ricevuto un\u2019e-mail simile e aveva chiamato il numero, ha condiviso la propria esperienza<\/a>. Secondo la vittima, la persona che ha risposto alla chiamata ha insistito per installare un software di supporto e ha inviato un file EXE. La conversazione che \u00e8 seguita suggerisce che il file contenesse un qualche tipo di RAT<\/a>.<\/p>\n

La vittima non ha sospettato di nulla fino a quando il truffatore non ha promesso di rimborsare il denaro sul suo conto bancario. Quello \u00e8 stato il campanello d\u2019allarme, poich\u00e9 non avrebbe dovuto avere accesso alle coordinate bancarie della vittima. Il truffatore ha chiesto alla vittima di accedere al proprio account di home banking per verificare se la transazione era andata a buon fine.<\/p>\n

La vittima ritiene che il software installato nel proprio computer fosse un malware che avrebbe consentito agli autori dell\u2019attacco di intercettare le credenziali di accesso. Per fortuna, avendo compreso il pericolo abbastanza presto, ha riattaccato. All\u2019interno dello stesso thread, altri utenti di Reddit hanno segnalato e-mail simili<\/a> con vari dettagli di contatto.<\/p>\n

In che modo i truffatori inviano e-mail di phishing da un indirizzo Microsoft autentico<\/strong><\/h2>\n

Il modo esatto con cui gli autori degli attacchi riescono a inviare notifiche Microsoft alle proprie vittime resta ancora un mistero. La spiegazione<\/a> pi\u00f9 plausibile arriva da un altro utente di Reddit, il quale ha suggerito che gli operatori della truffa stessero utilizzando credenziali rubate o versioni di prova per accedere a Microsoft 365. Utilizzando la copia nascosta o semplicemente immettendo l\u2019indirizzo e-mail della vittima al momento dell\u2019acquisto di un abbonamento, la vittima pu\u00f2 inviare messaggi come quello mostrato nello screenshot sopra.<\/p>\n

Una teoria alternativa \u00e8 che i truffatori ottengano l\u2019accesso a un account con un abbonamento a Microsoft 365 attivo e quindi utilizzino la funzionalit\u00e0 di invio delle informazioni di fatturazione, specificando l\u2019utente preso di mira come destinatario.<\/p>\n

Qualunque sia la verit\u00e0, l\u2019obiettivo degli autori degli attacchi \u00e8 sostituire i dati di fatturazione, l\u2019unica parte della notifica Microsoft che possono modificare, con il proprio numero di telefono.<\/p>\n

Come proteggervi da tali attacchi<\/h2>\n

Gli utenti malintenzionati continuano a trovare nuove scappatoie in servizi noti e perfettamente legittimi da utilizzare per campagne di phishing e truffe. Ecco perch\u00e9, per garantire la protezione di un\u2019organizzazione, sono necessarie non solo le protezioni tecniche, ma anche i controlli amministrativi. Ecco cosa consigliamo:<\/p>\n