Un’allerta significativa arriva dal team di ricerca di Check Point Research: una nuova campagna di phishing, sofisticata e mirata, sta sfruttando Microsoft Dynamics 365 Customer Voice per colpire un ampio numero di organizzazioni, principalmente negli Stati Uniti, ma con potenziale impatto globale. Dynamics 365 Customer Voice è una piattaforma CRM molto diffusa utilizzata per raccogliere feedback dei clienti, registrare chiamate e gestire sondaggi, e la sua popolarità l’ha resa un bersaglio ideale per i cybercriminali.
La portata del fenomeno è preoccupante: Microsoft 365 è presente in oltre 2 milioni di organizzazioni nel mondo, e almeno 500.000 aziende fanno uso di Dynamics 365 Customer Voice, inclusa la quasi totalità (97%) delle aziende Fortune 500. L’uso esteso di questo strumento rende l’attacco particolarmente insidioso, poiché si basa sull’invio di e-mail apparentemente legittime da account compromessi, con oggetti che parlano di fatture, estratti conto o trasferimenti di fondi.

esempio di pagina di phishing bloccata da Microsoft

Attacco ben congegnato

I criminali informatici coinvolti in questa campagna hanno già inviato oltre 3.370 e-mail fraudolente, raggiungendo più di un milione di caselle di posta elettronica in oltre 350 organizzazioni. Le vittime comprendono enti pubblici, istituzioni educative, testate giornalistiche, organizzazioni culturali e sanitarie. Il messaggio tipico contiene un link mascherato da notifica di un nuovo messaggio vocale o da documento PDF ospitato su Dynamics 365. Il trucco sta nella struttura dell’e-mail: graficamente curata, con contenuti coerenti e riferimenti apparentemente autentici, induce i destinatari a cliccare su link malevoli. Una volta cliccato, l’utente viene reindirizzato a una pagina CAPTCHA, elemento che serve a rafforzare la percezione di autenticità del messaggio. Successivamente, l’utente approda su una pagina di phishing che imita perfettamente la schermata di login di Microsoft, dove vengono richieste le credenziali personali.

Obiettivi e rischi

L’intento principale della campagna è il furto di credenziali. Una volta ottenute, gli attaccanti possono accedere a dati sensibili, manomettere sistemi interni, intercettare comunicazioni riservate, e persino causare interruzioni operative. Non è esclusa nemmeno la possibilità di sottrarre fondi o diffondere ulteriori malware sfruttando gli accessi rubati. Nonostante Microsoft abbia già bloccato diverse pagine di phishing legate alla campagna, alcuni messaggi sono comunque riusciti a eludere i sistemi di protezione e a raggiungere gli utenti prima che i link malevoli venissero disattivati. Questo sottolinea la velocità e l’adattabilità delle minacce informatiche moderne, che spesso riescono ad anticipare o aggirare anche i sistemi di difesa più avanzati.

esempio di email di phishing

I consigli degli esperti

Check Point, che ha identificato la minaccia, è riuscita a bloccare la campagna su vari fronti, grazie a tecnologie capaci di estrarre e neutralizzare i link nocivi, e all’integrazione di nuovi livelli di sicurezza nei propri sistemi per intercettare minacce simili in futuro. Tuttavia, la protezione tecnologica non è sufficiente da sola: è fondamentale un approccio integrato che includa formazione del personale, vigilanza continua e l’adozione delle migliori pratiche nella gestione delle comunicazioni digitali.

I responsabili IT e della sicurezza delle organizzazioni dovrebbero quindi:

• Informare regolarmente i dipendenti sull’esistenza di campagne di phishing sempre più sofisticate;

• Invitare a verificare attentamente l’autenticità delle e-mail, soprattutto quelle che sembrano provenire da servizi Microsoft o che trattano temi finanziari;

• Assicurarsi di disporre delle soluzioni di protezione per la posta elettronica più aggiornate e avanzate, in grado di identificare anomalie comportamentali e link sospetti;

• Implementare sistemi di autenticazione a più fattori (MFA) per ridurre il rischio di compromissione degli account anche in caso di furto delle credenziali.

I ricercatori di Check Point hanno osservato truffe simili in passato, come documentato in questo articolo.

Leggi anche: “Phishing 3D: la nuova frontiera del phishing“

*illustrazione articolo progettata da CheckPoint

Il recente blackout che ha colpito Spagna, Portogallo e parte della Francia ha messo in luce la vulnerabilità delle infrastrutture digitali moderne. Secondo Akamai, questo evento dimostra quanto sia urgente adottare strategie di cyber resilience, capaci di affrontare non solo attacchi informatici, ma anche eventi tecnici con effetti simili.

A rafforzare l’attenzione su queste tematiche è anche la serie Netflix Zero Day, che pur essendo di finzione, rappresenta uno scenario realistico di attacco informatico contro infrastrutture critiche nazionali.

I dati parlano chiaro: Akamai ha registrato un aumento del 143% delle vittime di ransomware tra il 2022 e il 2023. Il National Cyber Security Centre del Regno Unito identifica il ransomware come la principale minaccia per le aziende, confermando l’urgenza di un approccio strutturato alla sicurezza. Gli esperti sottolineano l’importanza di misure concrete come backup offline, audit dei dati critici, test di penetrazione regolari e soprattutto l’adozione del modello Zero Trust, basato sul principio “never trust, always verify”.

Accanto alla tecnologia, è fondamentale un cambiamento culturale: serve una just culture ispirata all’aviazione civile, che favorisca la trasparenza e la segnalazione degli incidenti senza timori di ritorsione. Le nuove normative NIS2 e DORA impongono alle aziende la segnalazione obbligatoria degli incidenti entro 24 ore.

“La sicurezza informatica oggi non è più una questione di se, ma di quando. L’approccio Zero Trust è l’unico modo per garantire che un’eventuale violazione non si trasformi in una catastrofe. Le organizzazioni devono smettere di pensare solo alla prevenzione e iniziare a costruire resilienza, perché gli attacchi continueranno ad aumentare in complessità e intensità”, ha affermato Richard Meeus, Director of Security Technology and Strategy EMEA di Akamai.

Il blackout iberico è stato un campanello d’allarme: non possiamo più considerare gli attacchi informatici come eventi eccezionali. Occorre prepararsi, con strumenti tecnologici, strategie efficaci e una cultura della sicurezza condivisa.

Leggi anche: “Blackout in Spagna e Portogallo“

*illustrazione articolo progettata da NCSC

In occasione della Giornata Internazionale della Famiglia (15 maggio), Kaspersky ha pubblicato un’analisi che evidenzia un preoccupante aumento del 38% nei cyberattacchi che sfruttano i brand più amati da bambini e genitori, come LEGO, Disney, Toca Boca e altri. Secondo i dati raccolti tra il secondo trimestre del 2024 e il primo trimestre del 2025, i tentativi di attacco sono passati da 89.000 a quasi 123.000, per un totale di oltre 432.000 rilevamenti in meno di un anno.

Numeri di tentativi di attacco nei confronti di bambini dal Q2 2024 al Q1 2025

Tecniche utilizzate

I criminali informatici utilizzano brand famosi e associati all’infanzia come esche per diffondere malware, ingannare le famiglie e spingere al download di file dannosi. LEGO è stato il marchio più sfruttato, con oltre 306.000 tentativi di attacco, seguito da Disney (62.000) e Toca Boca (45.000). Anche nomi noti come Paw Patrol e Peppa Pig sono stati utilizzati, seppur in misura minore.
Kaspersky sottolinea come le minacce non siano sempre facilmente riconoscibili. I downloader – apparentemente innocui – rappresentano la minaccia più diffusa, con circa 400.000 casi, spesso camuffati da giochi o video dei brand più noti. Seguono i trojan (7.800 rilevamenti), capaci di sottrarre dati sensibili o fornire accesso remoto ai dispositivi, e gli adware (6.400 casi), che inondano i dispositivi di pubblicità indesiderate.

Esempio di pagina phishing simile al sito del Tokyo Disney Resort

I ricercatori hanno anche individuato siti di phishing costruiti per imitare fedelmente quelli originali, come una finta pagina del Tokyo Disney Resort. Questi portali fraudolenti inducono le vittime a fornire dati personali e bancari per acquistare presunti biglietti, esponendole al rischio di furti finanziari. Un’altra truffa molto diffusa ha sfruttato la popolarità dello youtuber MrBeast, promettendo regali digitali come carte per Roblox, Xbox o PlayStation. Le vittime venivano attirate con countdown e attività da completare, per poi essere dirottate su altre pagine truffaldine e indotte a pagare piccole somme senza ricevere alcuna ricompensa.

Esempio di pagine phishing simili al brand MrBeast

“I cybercriminali sfruttano l’emotività legata ai contenuti per bambini per manipolare e ingannare. Brand famosi o influencer come MrBeast creano un senso di fiducia che porta gli utenti ad abbassare la guardia”, ha spiegato Evgeny Kuskov, Security Expert di Kaspersky.

I consigli degli esperti

Per tutelare le famiglie, Kaspersky consiglia di:

• Parlare apertamente con i figli dei rischi online.

• Informarsi costantemente sulle nuove minacce e monitorare le attività online dei più piccoli.

• Utilizzare strumenti educativi come il Kaspersky Cybersecurity Alphabet, un libro gratuito pensato per insegnare ai bambini le basi della sicurezza digitale.

• Scaricare app di parental control come Kaspersky Safe Kids, che aiutano i genitori a proteggere i figli online e offline, gestendo contenuti, tempo di utilizzo e posizione.

*illustrazione articolo progettata da Kaspersky

Secondo il nuovo report Cybercrime Trends 2025 di SoSafe, l’87% delle aziende a livello globale ha subito almeno un attacco informatico basato sull’intelligenza artificiale nell’ultimo anno. La ricerca, condotta su 500 esperti di sicurezza in 10 Paesi, fotografa un panorama in cui l’uso malevolo dell’IA sta rapidamente trasformando lo scenario delle minacce.

A preoccupare è soprattutto il gap tra l’adozione crescente dell’IA e la capacità di rilevare e contrastare i rischi associati. Il 91% dei professionisti intervistati prevede un aumento significativo di attacchi AI-driven nei prossimi tre anni, ma solo il 26% si sente in grado di affrontarli efficacemente.

“La crescente sofisticazione degli attacchi, favorita dall’IA, rende le minacce più mirate, credibili e difficili da individuare,” spiega Andrew Rose, CSO di SoSafe. “Nonostante la consapevolezza, la capacità di risposta resta limitata.”

Il report segnala anche una forte crescita degli attacchi multicanale, che combinano email, SMS, social media e piattaforme di collaborazione. Il 95% dei professionisti ha registrato un aumento di questo tipo di attacchi. Un caso emblematico riguarda un attacco al CEO di una società, in cui i criminali hanno sfruttato WhatsApp per instaurare fiducia, Microsoft Teams per comunicazioni dirette e una voce deepfake generata dall’IA per estorcere denaro.

Questa nuova frontiera del phishing, definita “phishing 3D”, integra audio, video e testo per truffe sempre più convincenti. Secondo Rose, colpire le vittime su più canali permette agli attaccanti di replicare modalità comunicative familiari, aumentando le probabilità di successo.

Non solo l’IA come strumento di attacco: anche le soluzioni IA interne alle aziende rappresentano un potenziale rischio. Chatbot interni e tool automatizzati, se non adeguatamente protetti, possono diventare veicoli involontari di fuga di informazioni o manipolazione. Fenomeni come il data poisoning o le cosiddette “allucinazioni dell’IA” possono portare a gravi conseguenze operative e di sicurezza.

Nonostante ciò, il 55% delle aziende ammette di non aver ancora implementato controlli adeguati per mitigare i rischi legati all’utilizzo interno dell’IA.

Tra le principali preoccupazioni degli esperti di sicurezza emergono:

• L’uso dell’IA per offuscare l’origine e gli obiettivi dell’attacco (51%);

• La creazione di nuove modalità di attacco (45%);

• L’accelerazione e automazione delle offensive informatiche (38%).

Clicca qui per scaricare il report completo.

Leggi anche: “Nuovi attacchi Phishing“

Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, ha pubblicato il rapporto sul Brand Phishing relativo al primo trimestre del 2025. Lo studio evidenzia come i criminali informatici continuino a sfruttare i nomi dei brand più popolari per rubare dati personali, finanziari e aziendali, confermando l’urgenza di rafforzare le difese digitali.

Microsoft si conferma in testa alla classifica, con il 36% degli attacchi totali. A seguire, Google (12%) e Apple (8%), seguite da Amazon (4%). Il dato più interessante è il ritorno di Mastercard, che rientra nella top 10 per la prima volta dal 2023, posizionandosi al quinto posto con il 3% degli attacchi. In questo caso, una campagna mirata ha preso di mira utenti giapponesi, attraverso siti fraudolenti che simulavano il portale ufficiale del noto circuito di pagamento, nel tentativo di carpire informazioni sensibili come numeri di carta e codici CVV.

Tra i domini identificati figurano indirizzi come mastercard-botan[.]aluui[.]cn e mastercard-transish[.]gmkt7e[.]cn, ora disattivati. L’attenzione rivolta al settore finanziario conferma l’interesse crescente dei cybercriminali verso servizi che gestiscono transazioni e dati economici, considerati ad alto valore.

Il report segnala anche un attacco degno di nota legato a Microsoft OneDrive: è stato scoperto un falso dominio (login[.]onedrive-micrasoft[.]com) progettato per imitare fedelmente la pagina di login del servizio cloud. Lo scopo era il furto di credenziali, come indirizzi email e password, attraverso una tecnica di spoofing altamente sofisticata.

Complessivamente, i settori più impersonati risultano essere quello tecnologico, i social network e il retail. Oltre ai già citati big tech, rientrano nella top 10 anche WhatsApp, Facebook, LinkedIn e Adobe. Questo trend riflette la crescente esposizione degli utenti a minacce digitali proprio attraverso i servizi digitali di uso quotidiano.

“Gli attacchi di phishing che sfruttano brand fidati continuano a rappresentare una minaccia rilevante”, spiega Omer Dembinsky, Data Research Manager di Check Point. “Il ritorno di Mastercard tra i brand più imitati sottolinea l’interesse dei criminali per i servizi finanziari come mezzo di frode”.

Il report di CPR è un campanello d’allarme per utenti e aziende: prestare attenzione ai domini visitati, verificare l’autenticità delle comunicazioni e utilizzare soluzioni di sicurezza aggiornate è fondamentale per difendersi da minacce sempre più evolute. Il phishing continua a evolversi in termini di ingegneria sociale e sofisticazione tecnica, sfruttando fiducia e disattenzione come principali vettori di attacco.

Leggi anche: “Phishing a tema PagoPA“

Il CERT-AGID ha rilevato una nuova ondata di phishing, via email e SMS, che sfrutta fraudolentemente il nome PagoPA per inviare falsi avvisi di sanzioni stradali. Obiettivo: indurre le vittime a pagare somme non dovute cliccando su link malevoli. L’allarme arriva anche da Check Point Software, che invita gli utenti a prestare la massima attenzione e a non farsi cogliere impreparati.

David Gubiani, Regional Director Southern Europe di Check Point Software, sottolinea come il phishing continui a essere una minaccia efficace proprio perché fa leva sull’urgenza e sulla paura, soprattutto se collegata a comunicazioni da enti pubblici. “Ricevere un messaggio da Agenzia delle Entrate o simili – spiega – spinge spesso a reagire impulsivamente, senza le necessarie verifiche“.

Esempio di Email di phishing PagoPA 

Come difendersi?

Per proteggersi, Check Point consiglia di controllare sempre l’URL dei link ricevuti, leggere con attenzione il testo delle email, verificare logo e contesto, e prestare attenzione a eventuali errori. Anche se l’uso dell’intelligenza artificiale sta rendendo questi messaggi più sofisticati, piccoli segnali possono ancora tradire i truffatori. Inoltre, è bene utilizzare password forti per le app di pagamento e prendersi il tempo necessario prima di agire: una vera sanzione consente 5 giorni per il pagamento con tariffa ridotta. Se si è incerti, meglio rivolgersi direttamente alla pubblica amministrazione per un riscontro ufficiale. Pagare una finta multa non solo comporta la perdita di denaro, ma anche l’esposizione dei propri dati personali, con il rischio di ulteriori truffe.

Leggi anche: “Truffa con la voce del Ministro“

Il massiccio blackout che il 28 aprile ha paralizzato gran parte della Spagna e del Portogallo, lasciando milioni di cittadini senza elettricità e causando gravi disagi nei trasporti, nelle comunicazioni e nei servizi essenziali, è stato rivendicato sui social media dai gruppi di hacktivisti filorussi DarkStorm e NoName057(16). Tuttavia, le autorità spagnole e portoghesi, insieme agli operatori delle reti elettriche, escludono al momento la pista dell’attacco informatico, attribuendo l’incidente a cause tecniche legate alla rete elettrica europea.

Le rivendicazioni sull’accaduto

Poche ore dopo l’inizio del blackout, i gruppi DarkStorm e NoName057(16) hanno pubblicato messaggi sui loro canali social, attribuendosi la responsabilità dell’interruzione di corrente. Questi gruppi sono noti per le loro attività di propaganda e per aver rivendicato in passato attacchi informatici di dubbia autenticità.

Red Eléctrica, l’operatore della rete elettrica spagnola, ha dichiarato che, dopo consultazioni con i servizi di intelligence, non sono emerse evidenze di intrusioni nei sistemi di controllo della rete che possano aver causato l’incidente. Secondo le prime analisi, il blackout sarebbe stato provocato da un’improvvisa interruzione nella rete elettrica europea, in particolare nelle linee ad alta tensione tra Perpignano e Narbona, nel sud-ovest della Francia. Questo ha causato la disconnessione temporanea della Penisola Iberica dal sistema elettrico continentale, generando un improvviso squilibrio tra domanda e offerta di energia. In Spagna, Red Eléctrica ha rilevato un improvviso calo della domanda di oltre 10 gigawatt, un evento che ha innescato l’intervento immediato dei sistemi di protezione automatica (SIPS – System Integrity Protection Schemes) per prevenire il collasso della rete e proteggere le infrastrutture critiche. In Portogallo, E-Redes ha attivato meccanismi di load shedding controllato, eseguendo disconnessioni selettive di carico per riequilibrare in tempo reale la frequenza di rete e contenere le fluttuazioni destabilizzanti.

L’analisi degli esperti

Sergey Shykevich, Threat Intelligence Group Manager di Check Point Software Technologies, ha commentato:​“Sebbene il gruppo di hacktivisti DarkStorm abbia rivendicato sui social media la responsabilità del recente blackout elettrico che ha colpito Spagna, Portogallo e parte dell’Europa, al momento non ci sono prove effettive che si tratti di un attacco informatico o che DarkStorm sia in qualche modo collegato all’interruzione di corrente. DarkStorm è considerato un gruppo relativamente debole, noto per il suo comportamento opportunistico e per essersi spesso preso il merito di incidenti che non ha effettivamente causato. Sebbene abbia avuto occasionalmente successo – spesso per fortuna – il suo comportamento attuale, compresa l’assenza di dettagli tecnici credibili e l’attenzione alla promozione dei suoi servizi a prezzi scontati, suggerisce che si tratta di un altro tentativo di generare attenzione piuttosto che di una rivendicazione legittima. Eventi come questo, spesso, generano disinformazione ed è fondamentale che il pubblico e i media si affidino a fonti verificate e a canali ufficiali piuttosto che amplificare false narrazioni. Indipendentemente dalla causa, l’interruzione del servizio serve a ricordare quanto possano essere vulnerabili le infrastrutture critiche e come il rafforzamento della resilienza digitale in Europa debba rimanere una priorità assoluta.“​

Mentre le autorità continuano le indagini per determinare le cause esatte del blackout, l’episodio evidenzia la necessità di rafforzare la resilienza delle infrastrutture critiche e di contrastare efficacemente le campagne di disinformazione. La collaborazione tra operatori di rete, agenzie di sicurezza e aziende specializzate in cybersecurity sarà fondamentale per prevenire e mitigare futuri incidenti di questa portata.

Leggi anche: “Energia sotto attacco hacker“

*illustrazione articolo progettata da Freepik