Attenzione al phishing: possono rubare la tua email con Microsoft 365

Una nuova ondata di attacchi informatici sfrutta una funzione legittima ma poco conosciuta di Microsoft 365 per far apparire le email fraudolente come se arrivassero dall’interno dell’azienda. I rischi per la sicurezza aziendale sono concreti e sottovalutati.

Nel panorama sempre più sofisticato del phishing aziendale, l’ultima tecnica scoperta dagli esperti di cybersicurezza merita attenzione. Non si tratta di un virus o di un bug, ma di una configurazione predefinita di Microsoft 365, chiamata Direct Send, utilizzata per inviare email senza autenticazione, e che può essere sfruttata dai truffatori per simulare comunicazioni interne.

Cos’è Direct Send e perché è un rischio

Pensato per semplificare l’invio di email da dispositivi come stampanti, scanner o software aziendali, Direct Send permette a un messaggio di uscire tramite l’infrastruttura Microsoft, senza richiedere credenziali o controlli particolari.

Il problema nasce quando i criminali informatici utilizzano questo canale per inviare email falsificate con mittenti interni. Grazie a semplici script (ad esempio in PowerShell), gli aggressori possono simulare un messaggio autentico proveniente dall’azienda stessa. Il messaggio, pur non superando i controlli SPF o DKIM, transita da un server affidabile Microsoft e arriva così indisturbato nella casella della vittima.

L’inganno è semplice ma efficace

I messaggi fraudolenti non contengono link sospetti, ma allegati apparentemente legittimi, come PDF con intestazioni aziendali. Al loro interno, spesso si trova un QR code, presentato come collegamento a un messaggio vocale. Una volta scansionato, l’utente viene portato su una falsa pagina di accesso Microsoft, creata per sottrarre le credenziali di posta elettronica.

Questo tipo di phishing visivo è particolarmente difficile da rilevare con i sistemi tradizionali, poiché l’inganno non è nel testo, ma nel contenuto grafico.

Come proteggere l’infrastruttura aziendale

Microsoft ha riconosciuto il problema e introdotto un nuovo parametro, Reject Direct Send, disponibile da aprile 2025 in anteprima su Exchange Online. Questo filtro consente di bloccare i messaggi inviati senza autenticazione attraverso il relay SMTP dell’organizzazione.

Per mitigare il rischio, è raccomandabile adottare anche le seguenti misure:

• Configurare il DMARC con politica p=reject, per rifiutare i messaggi che non rispettano i criteri di autenticazione.

• Applicare lo SPF con hardfail per impedire l’ingresso di messaggi non autorizzati.

• Attivare le funzioni anti-spoofing di Microsoft 365.

• Monitorare attivamente l’invio di messaggi interni non autenticati.

Formazione e consapevolezza: il vero primo scudo

Considerando che il trucco passa da PDF legittimi e QR code, serve investire anche nella formazione del personale. Le campagne di phishing odierne sono meno tecniche e più psicologiche: giocano sull’abitudine, sulla fiducia e sulla velocità con cui si agisce. Un QR code scansionato con superficialità può compromettere interi account aziendali.

Conclusione

La sicurezza informatica non è solo questione di firewall e antivirus. Spesso le minacce più pericolose si nascondono nei dettagli, nelle configurazioni predefinite e nelle abitudini quotidiane. Per questo, anche un piccolo parametro come Direct Send, se mal configurato, può trasformarsi in un vettore di attacco. Il consiglio, oggi più che mai, è unire tecnologia, policy e consapevolezza umana per proteggere davvero dati e infrastrutture.

Articoli simili :

• Attenzione a queste 4 truffe via email che circolano al momento
• Truffe online : non cadere più nella trappola delle false email finanziarie
• Truffe online : 4 email fraudolente da evitare subito
• Attenzione alla Truffa Nexi: Finto Addebito come Esca per Inganni Reali!
• La tua email è stata hackerata? Il metodo rapido per scoprirlo