L'attacco sfrutta gli inviti per riprodurre notifiche di fatturazione e abbonamento, incoraggiando così le vittime a contattare un numero di telefono di assistenza fraudolento.
Autore: Redazione BitCity
Pubblicato il: 22/01/2026
Una ricerca condotta dal team Email & Collaboration Security di Check Point Software mostra come gli hacker stiano sfruttando su larga scala gli inviti sulla piattaforma Microsoft Teams, per distribuire contenuti di phishing che sembrano provenire da servizi Microsoft legittimi. L'attacco sfrutta gli inviti per riprodurre notifiche di fatturazione e abbonamento, incoraggiando così le vittime a contattare un numero di telefono di assistenza fraudolento.
“Al posto di link, gli inviti mostrano messaggi a tema finanziario che spingono i destinatari a chiamare un numero di assistenza, trasformando un flusso di lavoro Microsoft affidabile in una truffa di vishing, ovvero il phishing vocale, che elude i filtri basati sui link”, afferma Pierluigi Torriani, Security Engineering Manager per Check Point Software Technologies.
L’attaccante inizia creando un nuovo gruppo in Microsoft Teams e assegnandogli a scopo malevolo un nome a tema finanziario, progettato per assomigliare a un avviso urgente di fatturazione o di abbonamento. Un esempio del modello di denominazione osservato include contenuti come:
“Avviso di pagamento automatico dell'abbonamento (ID Invoice: 2025_614632PPOT_SAG Importo 629,98 $). Se non hai autorizzato o completato questo pagamento mensile, contatta urgentemente il nostro team di assistenza”.
Per eludere il rilevamento automatico, l'autore dell'attacco incorpora tecniche di offuscamento nel nome del gruppo, tra cui sostituzioni di lettere, caratteri Unicode misti e simboli visivamente simili. Ciò consente al testo di phishing di aggirare i controlli di sicurezza pur rimanendo leggibile per gli utenti.
Dopo aver creato il gruppo, l'autore dell'attacco utilizza la funzione Invita un ospite in Microsoft Teams. Il destinatario preso di mira riceve quindi un invito via e-mail da un indirizzo Microsoft legittimo, con il nome del gruppo visualizzato in caratteri grandi. A prima vista, il messaggio sembra essere una vera e propria notifica generata da Microsoft, aumentando la probabilità che gli utenti si fidino del contenuto e seguano le istruzioni.
Anziché indirizzare gli utenti a un link malevolo, la campagna si basa sul social engineering telefonico, istruendo i destinatari a chiamare un numero di assistenza fraudolento per risolvere il presunto problema di fatturazione.
L'analisi settoriale mostra che la campagna ha colpito organizzazioni in un'ampia gamma di mercati:
“Gli attacchi a questi settori riflettono probabilmente l'ampia diffusione di Microsoft Teams in questi mercati”, prosegue Pierluigi Torriani. “Ciò suggerisce che l'obiettivo principale dell'autore dell'attacco fosse quello di sfruttare su larga scala una piattaforma di collaborazione affidabile, piuttosto che concentrarsi su settori verticali specifici”.
Gli attacchi hanno principalmente colpito aziende con sede negli Stati Uniti (67,9%), seguite dall'Europa (15,8%) e dall'Asia (6,4%), Australia e Nuova Zelanda (3,9%), Canada (3,1%), America Latina (2,4%), Medio Oriente (0,4%) e Africa (0,1%).
BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007
Iscrizione ROC n. 15698
G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
