Email “interne” false in Microsoft 365: un errore di routing MX spalanca il phishing e ruba credenziali

News
Visite: 124

Una configurazione errata del routing delle email può aprire la porta a un tipo di phishing particolarmente insidioso, in cui i messaggi sembrano provenire dallo stesso dominio interno dell’organizzazione. Questo scenario colpisce soprattutto ambienti con flussi di posta complessi, dove il record MX non punta direttamente a Microsoft 365 ma passa prima da un server Exchange on premises o da un servizio terzo, ad esempio filtri antispam o sistemi di archiviazione. In assenza di controlli anti-spoofing applicati in modo rigoroso, gli attaccanti possono sfruttare il gap creato dal percorso di inoltro per far arrivare email falsificate che appaiono come comunicazioni interne legittime.

Il rischio principale è il furto di credenziali, spesso con l’obiettivo di accedere a servizi cloud, caselle di posta e applicazioni aziendali. Una volta ottenuto l’accesso, le conseguenze possono includere furto di dati, movimenti laterali e Business Email Compromise con tentativi di frode verso reparti amministrativi e finanziari. Negli ultimi mesi si è osservato un aumento di campagne opportunistiche che sfruttano questa tecnica, con esche basate su voicemail, documenti condivisi, comunicazioni HR, reset o scadenza password e finte richieste di verifica account.

Un elemento che rende queste campagne più efficaci è l’uso di piattaforme phishing-as-a-service, kit pronti all’uso che permettono anche a criminali con competenze limitate di lanciare attacchi su larga scala. Questi strumenti offrono template personalizzabili, infrastruttura già predisposta e tecniche per aggirare la multi-factor authentication, ad esempio tramite phishing adversary-in-the-middle.

Oltre al credential phishing, sono stati rilevati messaggi orientati alla truffa finanziaria con finte fatture e allegati costruiti per aumentare la credibilità, come moduli fiscali e lettere bancarie. In molti casi la particolarità visibile per l’utente è che il campo From e To può mostrare lo stesso indirizzo o comunque un mittente interno familiare, riducendo la diffidenza.

Per ridurre la superficie di attacco è fondamentale applicare policy DMARC in modalità reject, configurare SPF in hard fail, verificare con attenzione i connettori di terze parti e limitare funzioni non necessarie come Direct Send. I tenant con MX puntato direttamente a Office 365 risultano in genere non esposti a questo specifico vettore.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. All rights reserved.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta