Attenzione: arriva una vera email da Microsoft… ma è una truffa

Quando un messaggio arriva da un indirizzo come msonlineservicesteam@microsoftonline.com, la prima reazione è fidarsi. Microsoft lo usa davvero per codici 2FA e notifiche sugli account. Ma i truffatori hanno imparato a sfruttare proprio questo indirizzo legittimo per inviare phishing.

Lo ha documentato Zach Whittaker di TechCrunch, che ha ricevuto diverse email da quell’indirizzo. I messaggi erano costruiti male, con link sospetti e oggetti come “attività fraudolenta sul tuo account” o “hai un nuovo messaggio privato”, seguiti da frasi sconnesse tipo “verify access account email verification code”. Non c’è una grande cura nella scrittura, ma la falsa autenticità del mittente basta a far abbassare la guardia.

Microsoft non ha commentato ufficialmente, ma ha confermato di aver ricevuto la segnalazione. Non è un caso isolato: servizi come Betterment e Namecheap hanno avuto problemi simili con abusi dei sistemi di comunicazione di terze parti.

Come difendersi
Il primo controllo è sull’indirizzo, ma qui non basta. Passa il mouse sui link dell’email senza cliccare: se vedi URL accorciati o pasticciati, siamo nella zona pericolo. Poi guarda la costruzione del messaggio: errori grammaticali, impaginazione strana o design diverso da quello che usano di solito sono bandiere rosse.

Regola base: nessuna azienda seria ti chiede di cliccare un link per “verificare” un account o fermare una frode. Se hai dubbi, apri il browser e vai sul sito ufficiale, non usare i link dell’email.