Scopri come il phishing “Helpdesk Support” inganna con loghi Microsoft per rubare le tue credenziali.
Gli schemi di truffa online non smettono mai di evolversi, così come l’ingegnosità dei cybercriminali che, sfruttando l’apparenza legittima di aziende rinomate come Microsoft, cercano nuove vittime. Recentemente, una rinnovata tattica di phishing a tema “Helpdesk Support” è stata identificata, prefiggendosi l’obiettivo di carpire credenziali utente mediante l’utilizzo di pagine web che imitano l’aspetto dei servizi Microsoft 365, in particolare Outlook. Questo metodo fraudolento costituisce una seria minaccia per la cyber security sia individuale che aziendale.
Questi attacchi di phishing sono particolarmente insidiosi perché coinvolgono il ricevimento di email che sembrano provenire da un supporto tecnico affidabile. Queste comunicazioni sollecitano l’utente a cliccare su un link per risolvere un problema inesistente o per migliorare la sicurezza del proprio account. Una volta che l’incauto destinatario segue il link, si trova di fronte a un form di autenticazione che replica con cura l’aspetto ufficiale e la branding di Outlook, stimolando così la fiducia e promuovendo l’inserimento delle proprie credenziali.
Per riconoscere e schivare questi stratagemmi, gli utenti devono sviluppare un occhio critico nei confronti delle email ricevute e astenersi dal cliccare su link di dubbia provenienza, soprattutto quando queste richieste di interazione non sono state previamente sollecitate o confermate tramite canali ufficiali. Emerge quindi l’importanza di una formazione adeguata sulla sicurezza informatica per individui e dipendenti aziendali, così come la necessità di implementare sistemi di sicurezza avanzati come filtri anti-phishing e autenticazione a più fattori.
Si consiglia inoltre di verificare sempre l’URL della pagina a cui si viene reindirizzati, e di evitare l’inserimento di dati personali in pagine web che non presentano un protocollo di sicurezza HTTPS, come rivelato dalla presenza del lucchetto nella barra degli indirizzi. In caso di dubbio, è buona norma contattare direttamente il supporto ufficiale, tramite i canali comunicativi verificati, per convalidare l’autenticità delle richieste ricevute.
Questa campagna di phishing, così come evidenziato dalle analisi del Centro di Risposta agli Incidenti Informatici Nazionali d’Italia (CSIRT-ITA), dovrebbe servire come monito sul pericoloso panorama delle minacce digitali che costantemente si adattano per eludere le difese degli utenti.