Una mail con un codice Microsoft che non avete mai richiesto. Nessun accesso effettuato, nessuna password dimenticata, eppure nella casella di posta compare un messaggio che invita a usare un codice temporaneo per entrare nell’account. Una situazione che, come riportato dal Corriere della Sera, molti utenti stanno segnalando sempre più spesso e che, dietro un’apparente normalità, può nascondere un tentativo di truffa informatica. Non sempre, va detto, c’è da allarmarsi. Può capitare che qualcuno sbagli indirizzo email durante un accesso o che inserisca per errore un account simile al nostro. Ma in altri casi quel messaggio è il segnale che i propri dati stanno circolando all’interno di campagne automatiche portate avanti dai cybercriminali.
Il meccanismo più diffuso si chiama credential stuffing. In pratica, i cybercriminali utilizzano database di email e password finite online dopo vecchie violazioni di dati e le testano in automatico su servizi diversi, nel tentativo di trovare combinazioni ancora valide. Non si tratta quindi di attacchi “mirati”, ma di operazioni su larga scala gestite da software che provano migliaia di accessi al minuto. Se una persona ha riutilizzato la stessa password su più piattaforme, il rischio aumenta sensibilmente. In questi casi, infatti, una singola combinazione rubata può aprire più porte digitali, dall’email ai servizi Microsoft, fino ai social network o ad altri account collegati.
Ed è proprio qui che entra in gioco il codice monouso inviato via email o app di autenticazione. Quando le credenziali non bastano, questo codice diventa l’ultimo passaggio di sicurezza prima dell’accesso. Per questo motivo può capitare di ricevere notifiche inattese: non sempre significa che qualcuno stia puntando direttamente al vostro account, ma che il vostro indirizzo è finito in uno dei tentativi automatici in corso. Il vero pericolo, però, non è la mail in sé, ma ciò che accade dopo. I criminali possono provare a contattare la vittima fingendosi operatori Microsoft, tecnici della sicurezza o assistenza clienti. Il loro obiettivo è convincere l’utente a comunicare il codice ricevuto, magari con la scusa di bloccare un accesso sospetto o risolvere un problema urgente. Una volta ottenuto quel codice, l’accesso all’account può diventare immediato. E da lì, il controllo della casella di posta o dei servizi collegati.
Le email-trappola sempre più credibili
Negli ultimi mesi le campagne si sono evolute ulteriormente. Alcuni gruppi sfruttano strumenti e servizi reali collegati all’ecosistema Microsoft per inviare messaggi che sembrano autentici a tutti gli effetti. L’utente vede un dominio ufficiale, una grafica familiare e comunicazioni apparentemente legittime: elementi che abbassano la soglia di attenzione e rendono la truffa molto più credibile.
Il meccanismo è studiato per colpire un gran numero di persone contemporaneamente. Mail automatiche, numeri di telefono dedicati e falsi avvisi di pagamento vengono usati per spingere gli utenti a reagire d’istinto, senza verificare l’autenticità della richiesta.
Come difendersi dalla truffa
La buona notizia è che difendersi resta relativamente semplice. Un codice di accesso temporaneo non deve mai essere condiviso con nessuno, indipendentemente da chi lo richieda. Microsoft, così come le altre grandi piattaforme, non contatta gli utenti chiedendo di comunicare codici di sicurezza via telefono o email. In presenza di notifiche sospette, la soluzione migliore è entrare direttamente nel proprio account dal sito ufficiale, evitando link ricevuti nei messaggi, e controllare eventuali tentativi di accesso insoliti. Cambiare password e attivare l’autenticazione a due fattori può inoltre impedire che un eventuale furto di credenziali si trasformi in un accesso reale.
