Allla macchienetta del caffé: “Casella sommersa di mail per un attacco di mail bombing all’azeinda, come potrebbe iniziare peggio il lunedì?
Meno male che mi hanno chiamato subito dal supporto e hanno risolto” … e invece i problemi erano appena iniziati
Cosa era successo mezz’ora prima?
Ottocentocinquanta email in una notte. Tutte legittime — conferme di iscrizione, newsletter, registrazioni a servizi che nessuno ha mai richiesto. Apri la casella alle sette del mattino e ti chiedi se qualcuno ti stia facendo uno scherzo. Mentre cerchi di capire cos’è successo, su Microsoft Teams arriva un messaggio:
“Salve, ho visto che sta avendo problemi con la posta. Sono del supporto IT, posso aiutarla?”
Questa scena sta capitando, in queste settimane, in aziende di tutte le dimensioni. Google Threat Intelligence Group e Mandiant l’hanno documentata per prima e hanno chiamato il gruppo che la orchestra UNC6692.
Il punto interessante non è il malware. È quanto poco serve, oggi, per costruire la fiducia in un truffatore informatico.
Il problema: nessun exploit, solo una regia perfetta
L’attacco non sfrutta vulnerabilità tecniche. Non c’è una falla in Windows, non c’è una libreria bucata, non c’è una porta aperta. C’è solo una sequenza calibrata di eventi che porta una persona normale, in un’azienda normale, a installare con le proprie mani il malware che la compromette.
La sequenza è semplice. Prima fase: email bombing. Centinaia o migliaia di iscrizioni a servizi legittimi vengono fatte a nome della vittima nel giro di pochi minuti. Lo scopo non è rubare niente: è generare panico. La casella diventa inutilizzabile, la persona è disorientata, il telefono inizia a squillare.
Seconda fase, perfettamente sincronizzata: arriva il “tecnico” su Teams. Non un’email — Teams. Un canale che il dipendente associa a comunicazioni interne, sicure, verificate. L’attaccante si presenta come supporto IT e si offre di risolvere “il problema delle email”. A quel punto la persona è già in stato d’ansia, e accetta volentieri.
Terza fase: la vittima viene guidata a installare quello che sembra uno strumento di assistenza remota. In realtà è SNOW, una suite malware modulare che apre un canale cifrato verso l’attaccante, ruba le credenziali salvate nel browser e si rende persistente sul sistema.
Quarta fase: gli attaccanti raccolgono le password dalla memoria del computer, si muovono lateralmente nella rete e arrivano al Domain Controller di Active Directory — il sistema che gestisce utenti, password e accessi nelle reti Windows aziendali. Quando l’AD è compromesso, è compromessa l’azienda intera: email, file server, gestionale, backup, VPN. Tutto.
Cosa si può fare
La buona notizia è che le contromisure esistono e sono in larga parte già disponibili in chi ha Microsoft 365.
La prima è la più scomoda perché tocca abitudini consolidate: limitare le comunicazioni esterne su Teams. Per impostazione predefinita, il tenant di un’azienda accetta messaggi da utenti esterni. Va valutato caso per caso se quell’apertura serve davvero, e configurata di conseguenza dal pannello di amministrazione. In parallelo, abilitare la distinzione visiva degli account esterni dentro l’interfaccia di Teams: una piccola etichetta che fa la differenza tra il sospetto e la fiducia automatica.
La seconda è l’autenticazione a più fattori (MFA, Multi-Factor Authentication) su tutti gli account Microsoft 365, helpdesk e amministratori inclusi. Non è una novità, ma il numero di tenant aziendali italiani senza MFA completa è ancora sorprendentemente alto.
La terza riguarda l’infrastruttura: un audit di Active Directory secondo il principio del minimo privilegio. Quanti utenti hanno permessi che non usano da mesi? Quanti account amministrativi esistono che nessuno sa più a chi appartengano? Questi sono i punti di appoggio che gli attaccanti cercano dopo essere entrati.
C’è infine la parte che pesa di più sulle PMI italiane, e che spesso fa la differenza: la formazione. Non in senso burocratico — un corso annuale da archiviare. In senso operativo: ogni dipendente deve sapere con certezza chi può chiedergli di fare qualcosa sul proprio computer, attraverso quale canale, e come verificarlo. Se questa informazione è ambigua, l’azienda è già vulnerabile prima ancora di ricevere il primo attacco.
La lezione
Il caso UNC6692 non racconta una novità tecnica. Racconta un cambio di strategia: gli attaccanti hanno smesso di forzare la porta e hanno iniziato a bussare suonando il campanello — finché qualcuno apre.
La regola pratica che possiamo portarci a casa è una sola, ed è semplice da spiegare al primo collaboratore che incontri domani mattina: nessun tecnico vero arriva su Teams non richiesto, offrendoti aiuto per un problema che non gli hai segnalato. L’helpdesk legittimo ha un canale ufficiale, un ticket, un protocollo. Tutto il resto è un campanello che suona — magari mille volte — a una porta che non va aperta.
Se ti sei reso conto che le procedure di helpdesk della tua azienda sono più informali di quanto vorresti, parliamone.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Verificare le procedure di sicurezza
✅Analizzare insieme i punti migliorabili
✅Formare il vostro team affinchè aumenti la consapevolezza dei pericoli in rete
Contattaci e parliamone insieme
