Si tratta di una campagna di truffa “ibrida” (email + telefono) che sfrutta notifiche legittime inviate dall’infrastruttura Microsoft, in particolare Power BI, da indirizzi come no-reply-powerbi@microsoft.com o simili, quindi con dominio microsoft.com autentico e pass SPF/DKIM.
Come funziona l’attacco
- I criminali creano un report Power BI e registrano indirizzi esterni come “abbonati” al report, così da far inviare le notifiche dalla piattaforma Microsoft stessa.
- La mail appare come notifica di un report o di una transazione (es. addebito di 399 dollari), contiene il recapito telefonico da chiamare per “annullare” o “verificare” l’operazione.
- Non ci sono allegati malevoli né link palesemente sospetti; il payload è il numero di telefono, che porta a una finta assistenza tecnica.
- Al telefono inducono la vittima a installare un software di accesso remoto (tipo “supporto remoto”) per prendere il controllo del sistema e rubare credenziali o dati sensibili.
Perché passa i filtri antispam
- Il mittente è un indirizzo reale Microsoft, utilizzato normalmente per notifiche di servizio, e consigliato da Microsoft stessa per essere messo in allow list.
- Le email transitano sui server Microsoft e superano SPF e DKIM, quindi agli occhi dei filtri risultano autentiche, con SCL basso o addirittura -1 se allowlistata.
- L’assenza di link/allegati malevoli riduce gli indicatori classici di phishing usati dai gateway.
Cosa fare lato utente finale
- Non chiamare il numero presente nella mail, anche se il mittente è microsoft.com e il contenuto sembra legittimo (addebiti, fatture, avvisi di sicurezza).
- Se temi che l’addebito sia reale, passa sempre da canali ufficiali:
- Segnala la mail come phishing nel client (Outlook/Outlook Web: “Segnala phishing” o “Report Junk”).
- Se hai contattato il numero e installato software di controllo remoto:
Cosa fare lato azienda / admin M365
- Analizza gli header dei messaggi sospetti per verificare Authentication-Results, compauth e SCL, e capire se stanno aggirando DMARC/SPF/DKIM grazie a allowlist o regole di trasporto.
- Rivedi:
- Implementa formazione mirata sugli utenti spiegando questa tecnica specifica (email legittima, payload telefonico, remote support scam).
Segnalazione a Microsoft
- Usa il pulsante integrato “Segnala phishing” in Outlook/Outlook Web o il portale Submissions di Microsoft Defender per caricare l’esempio (come admin).
- In caso di tech support scam, Microsoft invita a usare il form dedicato per le truffe di supporto tecnico.
Per un singolo utente la via principale è usare il pulsante di segnalazione in Outlook; come admin puoi usare anche il portale Defender (Submissions).
Se usi Outlook / Outlook Web
- Apri il messaggio sospetto nella posta in arrivo (non nel cestino).
- Clicca su Report (o “Segnala”, “Report message/Report phishing” a seconda della localizzazione).
- Scegli Report phishing se il contenuto è truffaldino (es. finta assistenza, finti addebiti) oppure Report junk se è semplice spam.
- Il messaggio viene inviato a Microsoft per analisi e, in base alle impostazioni del tenant, anche a una mailbox di reporting interna.
Se non vedi il pulsante, l’admin può abilitare l’add‑in “Report Message/Report Phishing” su M365.
Se non hai il pulsante Report
- Puoi inoltrare il messaggio come allegato (non semplice forward) a:
- phishing@office365.microsoft.com per phishing,
- junk@office365.microsoft.com per spam,
- not_junk@office365.microsoft.com per falsi positivi.
Se sei admin Microsoft 365
- Vai su https://security.microsoft.com con un account con ruolo adeguato.
- Naviga in Actions & submissions → Submissions oppure direttamente su https://security.microsoft.com/reportsubmission.
- Nella tab Emails inserisci:
- Seleziona “It appears suspicious” o “I’ve confirmed it’s a threat” e completa l’invio.
Se si tratta di tech support scam
Poiché questa ondata usa lo schema “chiama questo numero per annullare l’addebito”, puoi anche compilare il form specifico “Report a technical support scam” (link “Reportscam” nella documentazione Microsoft).
\ Get the latest news /
