Ondata di spam proveniente da un indirizzo Microsoft ufficiale

Nel panorama sempre più complesso della sicurezza digitale, anche i servizi più affidabili possono trasformarsi in strumenti al servizio della criminalità informatica.

Un caso emblematico riguarda l’abuso di Power BI, piattaforma di business intelligence di casa Microsoft, sfruttata dai truffatori per orchestrare campagne sofisticate e difficili da intercettare. L’aspetto più insidioso di questa minaccia è rappresentato dalla capacità dei criminali di utilizzare notifiche autentiche e domini ufficiali, aggirando i tradizionali filtri antispam e conferendo alle comunicazioni fraudolente un’aura di assoluta legittimità.

Il meccanismo alla base di queste truffe si fonda su una semplicità disarmante, che ne spiega l’efficacia. I malintenzionati realizzano dashboard e report apparentemente regolari su Power BI, aggiungendo manualmente gli indirizzi delle potenziali vittime come destinatari delle notifiche. È proprio il servizio a occuparsi della diffusione dei messaggi, inviati da un dominio Microsoft autentico: ciò permette di superare senza ostacoli i sistemi di protezione automatica e di guadagnare la fiducia immediata di chi riceve la comunicazione.

Come è strutturato l’attacco?

Il modus operandi si articola in quattro fasi ben definite: creazione di contenuti ingannevoli, come finte fatture o avvisi di transazioni sospette; registrazione delle vittime come utenti dei report; invio automatico delle notifiche tramite l’infrastruttura ufficiale e, infine, inserimento di un recapito telefonico che le vittime sono invitate a contattare per risolvere presunti problemi. A questo punto, chi chiama il numero indicato viene indotto a concedere accesso remoto al proprio dispositivo o a condividere informazioni riservate, aprendo la strada a ulteriori abusi.

Un esempio particolarmente significativo ha visto la ricezione di una comunicazione relativa a un addebito di 399 dollari. Contattando il numero fornito, la vittima veniva persuasa a scaricare un software di accesso remoto con la promessa di una rapida risoluzione della questione. In realtà, l’obiettivo dei truffatori era il controllo illecito dei sistemi informatici e il furto di credenziali o di dati personali sensibili.

La pericolosità di questa tecnica risiede nel fatto che i messaggi utilizzati dai cybercriminali provengono da indirizzi autentici e non includono link sospetti o allegati facilmente rilevabili dai sistemi di sicurezza. Inoltre, le notifiche transitano attraverso i server ufficiali, superando anche controlli come SPF e DKIM: ciò rende l’individuazione della frode particolarmente complessa, persino per gli strumenti più avanzati di protezione.

I consigli degli esperti

Gli esperti raccomandano un approccio pragmatico: ignorare qualsiasi richiesta di contatto, sia telefonico sia tramite link, proveniente da messaggi di dubbia provenienza, e rifiutare categoricamente l’installazione di programmi su suggerimento di operatori telefonici sconosciuti. La verifica dell’autenticità di eventuali addebiti deve avvenire sempre e solo attraverso l’accesso diretto alle piattaforme ufficiali Microsoft o ai servizi bancari, senza mai affidarsi a recapiti forniti via email.

Dal punto di vista organizzativo, le aziende possono adottare misure concrete per ridurre i rischi: la disattivazione delle sottoscrizioni report esterne da Power BI, la revisione delle impostazioni di distribuzione dei contenuti e l’applicazione di policy centralizzate tramite il pannello amministrativo rappresentano soluzioni efficaci per limitare la propagazione delle notifiche verso utenti non autorizzati. Fondamentali rimangono anche i programmi di formazione e sensibilizzazione: corsi dedicati al riconoscimento delle email truffa e procedure chiare di segnalazione verso il team IT possono ridurre drasticamente l’impatto delle campagne malevole.

Microsoft ha confermato di essere a conoscenza dell’abuso della propria piattaforma e di aver avviato un’indagine, con la promessa di bloccare tempestivamente gli account sospetti non appena identificati.