Sta arrivando nelle caselle di posta di migliaia di italiani e si tratta di una mail apparentemente innocua, con tanto di logo Microsoft, grafica pulita e tono rassicurante. Contiene un codice temporaneo per accedere al proprio account ma c’è un unico problema: quel codice non lo ha richiesto nessuno.
Nessuna password dimenticata, nessun tentativo di accesso consapevole. Eppure il messaggio è lì, perfettamente credibile. E dietro quella normalità si nasconde una delle truffe informatiche più insidiose degli ultimi mesi, come stanno segnalando sempre più utenti e come riportato da numerose testate. Non sempre c’è da allarmarsi, dato che può capitare che qualcuno sbagli a digitare il proprio indirizzo email durante un accesso, inserendo per errore una combinazione simile alla nostra. Ma in molti altri casi, quel messaggio rappresenta il segnale che i nostri dati stanno circolando all’interno di campagne automatiche orchestrate da cybercriminali.
Il meccanismo più utilizzato si chiama credential stuffing, dove in pratica i truffatori sfruttano enormi database di email e password finite online dopo violazioni di dati avvenute anni fa su siti e servizi poi dismessi o compromessi. Questi archivi digitali vengono poi testati in automatico su piattaforme diverse, nel tentativo di individuare combinazioni ancora valide. Non si tratta quindi di attacchi mirati contro singole persone, ma di operazioni su larga scala gestite da software che provano migliaia di accessi al minuto.
Ed è proprio qui che entra in gioco il codice monouso inviato via email o attraverso app di autenticazione. Quando le credenziali da sole non bastano, quel codice diventa l’ultimo passaggio di sicurezza prima dell’accesso effettivo. Per questo motivo può capitare di ricevere notifiche inattese: non sempre significa che qualcuno stia puntando specificamente al nostro account, ma che il nostro indirizzo è finito in uno dei tanti tentativi automatici in corso.
Il vero pericolo, però, non è la mail in sé, ma ciò che può accadere subito dopo, poiché i criminali informatici possono tentare di contattare direttamente la vittima, fingendosi operatori Microsoft, tecnici della sicurezza o personale dell’assistenza clienti. Il loro obiettivo è uno solo: convincere l’utente a comunicare il codice ricevuto. Le scuse utilizzate sono sempre le stesse: bloccare un accesso sospetto, risolvere un problema urgente, verificare l’identità per motivi di sicurezza. Tutto costruito per creare un senso di urgenza e spingere la persona a reagire d’istinto, senza fermarsi a riflettere. Una volta ottenuto quel codice, l’accesso all’account diventa immediato.
Negli ultimi mesi le campagne si sono evolute ulteriormente, con alcuni gruppi criminali che sono riusciti a sfruttare strumenti e servizi reali collegati all’ecosistema Microsoft per inviare messaggi che sembrano autentici sotto ogni punto di vista. L’utente vede un dominio ufficiale, una grafica familiare, comunicazioni apparentemente legittime. Elementi che abbassano la soglia di attenzione e rendono la truffa incredibilmente più credibile.
screenworld.it
La buona notizia è che difendersi resta relativamente semplice, a patto di conoscere le regole base. Un codice di accesso temporaneo non deve mai essere condiviso con nessuno. Microsoft, così come le altre grandi piattaforme tecnologiche, non contatta mai gli utenti chiedendo di comunicare codici di sicurezza via telefono, WhatsApp o email.
In presenza di notifiche sospette, la soluzione migliore è sempre la stessa: entrare direttamente nel proprio account attraverso il sito ufficiale, evitando qualsiasi link ricevuto nei messaggi, e controllare la sezione dedicata agli accessi recenti o alle attività sospette. Cambiare la password con regolarità e attivare l’autenticazione a due fattori può inoltre impedire che un eventuale furto di credenziali si trasformi in un accesso reale. Un altro consiglio fondamentale è smettere di usare la stessa password ovunque. È comodo da ricordare, ma è meglio password diverse per servizi diversi, magari gestite attraverso un password manager che le ricorda tutte al posto nostro.
Attenzione anche ai QR code e ai link che promettono aggiornamenti urgenti, dato che le nuove campagne di phishing stanno diventando sempre più creative: email con codici QR falsi che rimandano a pagine di login truffa, finti aggiornamenti di Windows, inviti a riunioni inesistenti su Teams o Zoom. Tutto costruito per spingere le persone a cliccare senza riflettere, approfittando della distrazione o della fretta.
