Una ricerca condotta dal team Email & Collaboration Security di Check Point Software Technologies ha individuato una campagna di phishing estesa che utilizza Microsoft Teams come veicolo principale. Gli attacchi sfruttano inviti che appaiono come notifiche ufficiali di fatturazione o abbonamento, con l’obiettivo di spingere le vittime a contattare numeri di assistenza fraudolenti.
Come funziona l’attacco
Il meccanismo osservato si basa su una sequenza precisa. L’attaccante crea un nuovo gruppo in Microsoft Teams e gli assegna un nome a tema finanziario, costruito per simulare un avviso urgente legato a pagamenti o rinnovi. Nei nomi compaiono riferimenti a fatture, importi e ID, con un linguaggio che richiama comunicazioni tipiche dei servizi Microsoft.
Per superare i controlli automatici, i nomi dei gruppi includono tecniche di offuscamento come sostituzioni di lettere, caratteri Unicode misti e simboli visivamente simili. Il testo resta leggibile per l’utente ma risulta meno individuabile dai sistemi di filtraggio.
Una volta creato il gruppo, l’attaccante utilizza la funzione “Invita un ospite”. Il destinatario riceve un’e-mail proveniente da un indirizzo Microsoft legittimo, con il nome del gruppo evidenziato. L’assenza di link malevoli e la presenza di un mittente affidabile aumentano la credibilità del messaggio. Al posto dei collegamenti, l’invito chiede di chiamare un numero di assistenza, trasformando l’attacco in un caso di vishing, cioè phishing vocale.
Secondo Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies, questa scelta consente agli aggressori di eludere i filtri basati sui link e di sfruttare un flusso di lavoro aziendale considerato affidabile.
Dimensioni della campagna
L’analisi ha rilevato 12.866 messaggi di phishing, con una media giornaliera di 990 e 6.135 utenti coinvolti. I volumi indicano un’operazione strutturata, con un impatto significativo su organizzazioni di dimensioni diverse.
Settori più colpiti
La distribuzione per mercato mostra una diffusione trasversale. Il manifatturiero, l’ingegneria e l’edilizia rappresentano il 27,4% dei casi, seguiti dal comparto tecnologico e SaaS (18,6%), dall’istruzione (14,9%), dai servizi professionali (11,2%), dalla Pubblica Amministrazione (8,1%) e dalla finanza (7,3%). Il dato riflette l’adozione estesa di Microsoft Teams in questi ambiti, più che una selezione mirata di specifici verticali.
Distribuzione geografica
Le aziende con sede negli Stati Uniti risultano le più colpite (67,9%), seguite dall’Europa (15,8%) e dall’Asia (6,4%). Completano il quadro Australia e Nuova Zelanda (3,9%), Canada (3,1%), America Latina (2,4%), Medio Oriente (0,4%) e Africa (0,1%).
Perché l’attacco è efficace
Questa campagna dimostra come le piattaforme di collaborazione possano diventare un vettore di phishing senza l’uso di link malevoli o mittenti falsificati. L’affidabilità percepita degli inviti di Microsoft Teams riduce la soglia di attenzione degli utenti, soprattutto quando i nomi dei team includono termini urgenti legati alla fatturazione o formattazioni insolite.
