La superficie d’attacco delle truffe informatiche continua ad ampliarsi: non si tratta più solo di email fraudolente, ma anche di telefonate e di chiamate attraverso piattaforme di collaborazione. Un recente intervento del Detection and Response Team (DART) di Microsoft ha evidenziato come il vishing possa essere orchestrato direttamente su Microsoft Teams, con l’obiettivo di ottenere accesso remoto alle macchine e rubare credenziali.
Parallelamente, le forze dell’ordine italiane hanno documentato operazioni in cui gruppi organizzati, riconducibili a clan come i Mazzarella e i Casalesi, hanno monetizzato le frodi digitali usando phishing, vishing e smishing, oltre a tecniche come il SIM swapping. Comprendere il meccanismo tecnico e la rete criminale è fondamentale per adottare contromisure efficaci.
Il meccanismo dell’attacco via Teams
Nell’episodio rilevato da Microsoft, uno o più dipendenti di un cliente sono stati contattati con telefonate effettuate tramite Teams da un utente esterno. Dopo due tentativi falliti di vishing, l’attaccante ha convinto un terzo dipendente fingendosi un responsabile del supporto IT, ottenendo l’avvio di Quick Assist, lo strumento di accesso remoto di Windows. Questo passaggio è stato il punto di svolta: con il controllo del desktop l’aggressore ha guidato la vittima a inserire le proprie credenziali in un form web e a scaricare file malevoli.
Tecniche di ingegneria sociale e strumenti sfruttati
L’azione combinava convincimento telefonico e istruzioni tecniche: la vittima ha scaricato tre file da un sito controllato dall’attaccante, uno dei quali era un installer MSI che ha piazzato una DLL utile a stabilire una connessione verso un server di command and control (C2).
Questo esempio dimostra come la social engineering possa aggirare anche sistemi di difesa avanzati quando l’utente viene indotto a collaborare.
Payload e conseguenze tecniche
Dalle analisi emerse, oltre alla DLL per il collegamento al C2 sono stati utilizzati payload destinati a nascondere il traffico di rete e a installare un infostealer noto come RustyStealer. Questo tipo di malware è progettato per esfiltrare credenziali e cookie di sessione, elementi che possono permettere un controllo quasi totale degli account compromessi e bypassare meccanismi di autenticazione a fattore singolo.
Intervento e limitazioni del danno
Nel caso analizzato i tentativi di accesso degli aggressori ai servizi non sono andati a buon fine; il team di Microsoft ha comunque ripulito il dispositivo e verificato l’assenza di meccanismi di persistenza.
La lezione tecnica è chiara: la rimozione delle infezioni è necessaria, ma altrettanto importante è limitare i vettori che hanno permesso l’attacco, come gli strumenti di accesso remoto non strettamente necessari.
Il quadro italiano: clan e frodi digitali
Le indagini condotte tra il 2026 e il 2026 hanno dimostrato che gruppi criminali tradizionali hanno investito nelle truffe informatiche come nuova fonte di reddito. I Carabinieri del Nucleo Investigativo di Napoli, coordinati dalla Direzione Distrettuale Antimafia, hanno arrestato 16 persone legate al clan Mazzarella per reati tra cui frode informatica e accesso abusivo, sequestrando circa un milione di euro. Tecniche come il Caller ID spoofing venivano usate per rendere credibili le telefonate verso le vittime.
Modalità operative e impatto economico
In altri casi la Guardia di Finanza ha arrestato due persone ritenute vicine al clan dei Casalesi per associazione per delinquere e autoriciclaggio, con l’aggravante di aver favorito l’organizzazione; circa 800.000 euro sono stati sottratti a 38 vittime, e il 40% delle somme sarebbe confluito nelle casse del clan.
La strategia era spesso la medesima: contatto via email, SMS o telefono, induzione a effettuare bonifici istantanei e uso del SIM swapping per intercettare i codici OTP necessari ai trasferimenti.
Consigli pratici per ridurre i rischi
Per limitare l’esposizione a episodi simili è opportuno adottare misure organizzative e tecniche: ridurre le collaborazioni esterne non verificate, impiegare allowlist per le chiamate in entrata sulle piattaforme di collaborazione e disabilitare strumenti di accesso remoto come Quick Assist quando non necessari. La formazione continua del personale è una difesa essenziale contro la social engineering.
Raccomandazioni operative
Implementare l’autenticazione a più fattori avanzata, monitorare i log di accesso per attività sospette e prevedere procedure di risposta rapide può fare la differenza. Infine, in caso di sospetta compromissione, è consigliato isolare i dispositivi coinvolti e contattare specialisti per una bonifica completa e per verificare l’eventuale presenza di meccanismi di persistenza.
