Microsoft ha descritto una vasta campagna di phishing mirata al furto di credenziali che combina esche legate al codice di condotta aziendale con l’uso di servizi email legittimi. L’obiettivo è portare le vittime su domini controllati dagli attaccanti e sottrarre token di autenticazione, un passaggio chiave per prendere il controllo degli account anche in presenza di misure di sicurezza avanzate.
La campagna è stata osservata tra il 14 e il 16 aprile 2026 e ha colpito oltre 35.000 utenti appartenenti a più di 13.000 organizzazioni in 26 paesi. La maggior parte dei bersagli risulta negli Stati Uniti. I settori più presi di mira includono sanità e scienze della vita, servizi finanziari, servizi professionali e tecnologia e software. Questo conferma quanto il phishing moderno punti su contesti credibili e su organizzazioni dove un accesso rubato può generare impatti elevati.
Le email utilizzano template HTML curati in stile enterprise, con impaginazione ordinata e frasi pensate per rafforzare la credibilità, ad esempio dichiarazioni che indicano canali interni autorizzati e link approvati per accesso sicuro. Le esche ruotano intorno a presunte revisioni o segnalazioni sul comportamento, con nomi visualizzati come comunicazioni interne e oggetti che parlano di casi di non conformità o promemoria urgenti. La pressione psicologica è un elemento centrale, grazie a richieste con scadenze e inviti ripetuti ad agire subito.
Un dettaglio rilevante è l’uso di allegati PDF che rimandano a link malevoli. Il flusso di attacco è multistadio e include pagine intermedie e passaggi CAPTCHA, utili sia a sembrare legittimi sia a ostacolare le difese automatiche. La fase finale sfrutta tecniche adversary in the middle per catturare in tempo reale credenziali Microsoft e token di sessione, consentendo di aggirare la multi factor authentication.
Nel quadro più ampio delle minacce email del 2026, emerge anche la crescita del phishing tramite QR code e la diffusione di campagne con allegati HTML o ZIP orientate soprattutto al credential harvesting. Si osservano inoltre ecosistemi phishing as a service che cambiano infrastruttura e hosting per eludere le interruzioni e continuare a distribuire pagine di accesso fraudolente.