Truffa via email che ruba l’accesso a Microsoft 365
Cosa sta succedendo
È emersa una nuova organizzazione di truffatori che offre strumenti pronti all’uso per rubare le credenziali di Microsoft 365, cioè email, OneDrive e Teams. Funziona come un vero e proprio servizio in abbonamento per criminali: chiunque voglia truffare le persone può ‘affittare’ questi strumenti senza essere esperto di informatica. Il risultato è che arrivano email false che sembrano comunicazioni ufficiali di Microsoft, progettate per farti inserire la tua password su un sito falso identico a quello reale.
Esempio concreto
Immagina di ricevere sul telefono una email apparentemente da Microsoft che dice: ‘Il tuo account Outlook è stato bloccato per attività sospetta, clicca qui per sbloccare entro 24 ore.’ Clicchi il link, arrivi su una pagina identica a quella di Microsoft, inserisci email e password, e in pochi secondi i truffatori hanno accesso a tutta la tua posta, ai tuoi documenti e magari al tuo account aziendale. Tu non ti accorgi di nulla.
Cosa fare se hai un iPhone (Apple)
1. Attiva la verifica in due passaggi su Microsoft 365: apri Safari, vai su account.microsoft.com, accedi, tocca ‘Sicurezza’ poi ‘Verifica in due passaggi’ e segui le istruzioni per ricevere un codice sul telefono ogni volta che accedi da un nuovo dispositivo. 2. Controlla i mittenti sospetti: quando ricevi una email da Microsoft, tieni premuto sul nome del mittente in Mail per vedere l’indirizzo reale completo. Se non finisce esattamente per @microsoft.com è una truffa. 3. Non aprire link dalle email direttamente: vai sempre su Impostazioni > Safari e assicurati che ‘Avviso siti fraudolenti’ sia attivato. Se devi accedere a Microsoft, apri sempre il browser e scrivi tu stesso l’indirizzo microsoft.com. 4. Usa le password salvate di iPhone: vai su Impostazioni > Password, trova il tuo account Microsoft e controlla che la password salvata sia unica e non usata altrove. Se la usi su più siti, cambiala subito.
Cosa fare se hai un Android
1. Attiva la verifica in due passaggi su Microsoft 365: apri Chrome, vai su account.microsoft.com, accedi, tocca ‘Sicurezza’ poi ‘Verifica in due passaggi’ e segui le istruzioni per aggiungere il tuo numero di telefono come secondo controllo di sicurezza. 2. Controlla i mittenti sospetti: nell’app Gmail o nell’app di posta che usi, tocca il nome del mittente per espandere i dettagli e verificare l’indirizzo email completo. Un indirizzo vero di Microsoft finisce sempre con @microsoft.com. 3. Attiva la protezione da siti pericolosi: apri Chrome, tocca i tre puntini in alto a destra, vai su Impostazioni > Privacy e sicurezza > Navigazione sicura e seleziona ‘Protezione avanzata’. 4. Usa il Gestore delle password di Google: vai su Impostazioni > Google > Gestisci il tuo account Google > Sicurezza > Gestore delle password e verifica che la password del tuo account Microsoft sia unica. Se la usi altrove, cambiala immediatamente.
Cosa NON fare
- Non cliccare mai sui link contenuti in email che ti chiedono di verificare o sbloccare il tuo account, anche se sembrano urgenti e ufficiali
- Non inserire mai la tua password Microsoft su una pagina a cui sei arrivato tramite un link ricevuto via email o SMS
- Non fidarti dell’aspetto grafico di una pagina: i truffatori copiano perfettamente i siti originali, loghi inclusi
- Non ignorare gli avvisi del browser che segnalano un sito come pericoloso o non sicuro
- Non usare la stessa password di Microsoft 365 anche su altri siti o app: se una viene rubata, i truffatori provano subito le stesse credenziali ovunque
🔗 Fonte ufficiale: BleepingComputer — avviso originale →
Ogni settimana ricevi i nuovi avvisi spiegati in modo semplice, con i passi concreti per proteggere te e la tua famiglia. Gratis, solo avvisi utili.
Iscriviti alla newsletter gratuita