Il mittente è autentico. Il dominio è quello ufficiale. I sistemi di sicurezza non alzano bandiere. Eppure l’email è una truffa. Questa è la struttura di una campagna phishing segnalata a maggio 2026 che colpisce gli utenti Microsoft sfruttando l’indirizzo msonlineservicesteam@microsoftonline.com, lo stesso normalmente usato dall’azienda per notifiche di sicurezza e codici di autenticazione a due fattori.
Il meccanismo è meno sofisticato di quanto sembri, ma proprio per questo efficace. I criminali creano nuovi tenant Microsoft 365 e modificano il nome associato all’account inserendo testi fraudolenti. A quel punto chiedono al sistema di inviare una notifica autentica alla vittima designata. Il risultato è un’email tecnicamente generata dall’infrastruttura Microsoft, con contenuti manipolati per spingere l’utente a fidarsi e cliccare.
Email truffa che aggira i sistemi di sicurezza
L’aspetto che rende questa campagna concretamente pericolosa riguarda i protocolli di autenticazione della posta elettronica. SPF, DKIM e DMARC — le tre tecnologie standard progettate per bloccare lo spoofing — non intercettano questi messaggi perché il dominio mittente è reale e validato. Molte aziende, poi, configurano i propri filtri interni per considerare attendibili per default le comunicazioni provenienti dai domini Microsoft.
Il che significa che, in contesti aziendali, questi messaggi possono arrivare direttamente in inbox senza passare nemmeno per la cartella spam. A segnalare pubblicamente il problema è stato The Spamhaus Project, organizzazione no-profit specializzata nel monitoraggio delle campagne malevole, che ha documentato come l’abuso andasse avanti da mesi.
La critica dell’organizzazione non è rivolta soltanto ai criminali: il sistema di notifiche automatiche di Microsoft consentirebbe un livello di personalizzazione sufficiente a renderlo sfruttabile in questo modo, e l’azienda avrebbe impiegato troppo tempo a intervenire.
Il paradosso di questa truffa è che smonta il consiglio più ripetuto nella cultura della sicurezza informatica: controlla il mittente. In questo caso controllarlo non basta. L’indirizzo è corretto, il dominio è autentico, e la struttura grafica del messaggio replica quella delle comunicazioni ufficiali. Il vettore di attacco non è tecnico — è cognitivo. Sfrutta la fiducia consolidata verso un brand e un sistema che milioni di persone usano ogni giorno.
La vicenda si inserisce in un momento in cui Microsoft sta già ridisegnando il proprio approccio all’autenticazione. L’azienda ha annunciato l’abbandono progressivo degli SMS come metodo per la verifica a due fattori, considerati vulnerabili a tecniche come il SIM swapping. Al loro posto vengono promossi passkey, indirizzi email verificati e app di autenticazione dedicate.
Una transizione che ha senso sul piano della sicurezza, ma che in questo momento specifico crea una sovrapposizione: gli utenti stanno ricevendo messaggi legittimi che li invitano a modificare le proprie impostazioni di accesso, proprio mentre circolano email fraudolente con la stessa struttura e lo stesso mittente.
Distinguere un avviso reale da uno falso, in queste condizioni, richiede un livello di attenzione che nessuna campagna di sensibilizzazione riesce a garantire su scala larga. Il dato che resta aperto riguarda quanti account siano già stati compromessi prima che la campagna venisse resa pubblica.
