03.02.2026 - Nelle ultime settimane, l’UFCS ha ricevuto segnalazioni relative all’invio di e-mail secondo cui i rispettivi mittenti avrebbero condiviso con i destinatari un file sulla piattaforma Microsoft «SharePoint». I link riportati nelle e-mail rimandano effettivamente all’autentica piattaforma «SharePoint». Nella retrospettiva di questa settimana illustriamo lo scopo perseguito dai criminali con l’invio delle e-mail, il contesto in cui questi attacchi sono realizzati e le relative implicazioni per gli utenti.
Le attuali e-mail di phishing sono molto più difficili da individuare, poiché i moderni strumenti di traduzione basati sull’intelligenza artificiale consentono di evitare errori linguistici. Nemmeno il mittente indicato è sicuro, poiché può essere facilmente falsificato. I criminali utilizzano inoltre informazioni personali, raccolte tramite fughe di dati, per inserire appellativi corretti e dettagli esatti, rendendo i messaggi ancora più credibili.
In questo contesto, il link riportato in un’e-mail fraudolenta è spesso l’unico indizio per identificare un potenziale attacco. Ma ormai i criminali riescono a trarre in inganno le vittime servendosi anche di quest’ultimo elemento. Nelle ultime settimane l’UFCS ha riscontrato numerosi tentativi di phishing realizzati in maniera mirata secondo le nuove modalità. I link riportati nelle e-mail rimandano effettivamente all’autentica piattaforma «SharePoint». Il tema è oggetto di discussioni anche a livello internazionale (in inglese).
Procedura adottata
Nella versione attuale della frode «SharePoint», le vittime di solito ricevono (apparentemente) da un loro conoscente un invito ad aprire un documento salvato su «SharePoint». Gli inviti sono inviati alle vittime automaticamente da «SharePoint».
Per scaricare il documento da «SharePoint», i destinatari devono prima autenticarsi. Per questo motivo, cliccando sul link riportato nell’e-mail fraudolenta, si attiva un formulario autentico da compilare con il proprio indirizzo e-mail.
Dopodiché il server invia una «password monouso» all’indirizzo e-mail indicato dall’utente. Dalla verifica dell’e-mail risulta che il messaggio è stato effettivamente inviato da «Microsoft» o, più precisamente, da «SharePoint».
La «password monouso» (codice di verifica dell’account) ricevuta al proprio indirizzo e-mail deve essere inserita, per conferma, in un ulteriore formulario. Finora tutto si svolge correttamente. Ma a questo punto scatta la truffa: in «SharePoint» è stato inserito un link al presunto documento PDF. Nel momento in cui clicca su questo link, per scaricare il documento, la vittima riceve un’ulteriore richiesta di verifica. Questa volta non è invitata a immettere un codice, ma a fornire le informazioni necessarie per l’accesso diretto a Microsoft (login), password compresa.
Il caso qui descritto è un cosiddetto «phishing in tempo reale». Con questo metodo i criminali non si limitano a sottrarre il nome utente e la password: in tempo reale è effettuato anche un accesso all’account Microsoft («in background», ovvero senza che l’utente se ne accorga). La richiesta del secondo fattore (finalizzato a proteggere l’account) appare sul sito di phishing e la vittima risponde anche a questo messaggio. In tal modo i criminali aggirano pure l’autenticazione a due fattori.
Da dove provengono i dati ottenuti dai criminali?
In molti casi, queste e-mail di phishing sono inviate in modo mirato alle aziende. Sorge quindi spontanea la seguente domanda: in che modo i criminali riescono a stabilire un collegamento tra le aziende e i rispettivi collaboratori?
In questi casi sono possibili tre varianti:
- I dati necessari provengono da fonti accessibili al pubblico: ad esempio, i criminali ricercano direttamente sui siti web delle aziende informazioni sui collaboratori, sui rapporti commerciali o sulle aziende partner. Spesso le informazioni così ottenute sono sufficienti per sferrare un attacco mirato.
- I dati possono provenire anche da un account Microsoft precedentemente compromesso con lo stesso metodo. Pure in questo caso, i criminali hanno potuto accedere ai dati necessari.
- I messaggi in relazione con «SharePoint» possono anche essere inviati alla cieca. Nel caso di un’e-mail inviata direttamente all’UFCS, non è stato possibile individuare alcun precedente contatto. L’UFCS non ha mai avuto contatti via e-mail con l’azienda in questione e sul corrispondente sito web non è ravvisabile alcun legame con l’UFCS.
Raccomandazioni
- Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link ricevuto via e-mail o con un messaggio di testo.
- Diffidate sempre delle e-mail non richieste o insolite.
- Se un’e-mail sembra provenire da una persona che conoscete, ma la sua autenticità non è evidente, vi consigliamo di verificarne la provenienza tramite un canale di comunicazione alternativo.
- Informate continuamente i collaboratori sulle nuove varianti di phishing.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 03.02.2026
