Truffa del finto supporto su Microsoft Teams: come riconoscerla e proteggere l’azienda

Gli attacchi crescono: criminali fingono di essere il servizio clienti su Teams e chiedono accessi urgenti per entrare nei tuoi sistemi. E in tanti ci cascano. Qui trovi segnali d’allarme, contromisure e procedure immediate per non regalare le chiavi dell’azienda a uno sconosciuto.

Il nuovo volto del phishing su Teams

Non parliamo di un bug tecnico. I criminali si presentano in chat o con una chiamata come help desk, IT support o colleghi di reparti tech, e spingono la vittima a compiere azioni rapide: verifiche account, aggiornamenti di sicurezza, controlli su problemi “critici”.

Secondo le segnalazioni circolate in rete e riprese anche da testate specializzate, questo schema è in aumento e sfrutta la fiducia che diamo agli strumenti di lavoro come Teams. Approfondimento: Punto Informatico.

Perché l’attacco funziona (non è un bug, è un inganno)

Il bersaglio non è il software: sei tu. Quando sei sotto pressione, con notifiche e riunioni a catena, l’urgenza finta abbatte le difese. L’uso di un canale “interno” come Teams crea un falso senso di legittimità. Da lì, la richiesta di accesso remoto è il cavallo di Troia perfetto.

Come si svolge la truffa, passo dopo passo

  • Contatto su Teams: messaggio o chiamata da qualcuno che si presenta come help desk (spesso con nome e logo credibili).
  • Allarme urgente: “Il tuo account è a rischio”, “C’è un ticket aperto”, “Dobbiamo verificare subito”. Il tempo è la leva psicologica.
  • Richiesta di accesso remoto: ti propongono strumenti come Quick Assist o link a sessioni remote per “aiutarti”.
  • Escalation: una volta dentro, raccolgono info sul sistema, privilegi, credenziali salvate.
  • Esfiltrazione e persistenza: dati aziendali rubati, account compromessi, eventuale vendita delle informazioni o uso per ulteriori attacchi.

Segnali d’allarme da non ignorare

  • Urgenza e pressione: chi ti supporta davvero evita toni minacciosi e ti rimanda a procedure ufficiali.
  • Richieste di accesso remoto non programmate: nessun reparto IT chiede il controllo del PC “al volo” senza ticket o approvazione.
  • Mittente esterno o poco chiaro: profili esterni abilitati su Teams, nomi generici, foto e descrizioni vaghe.
  • Link o allegati sospetti: domini strani, URL accorciati non riconoscibili, file eseguibili o richieste di disabilitare l’antivirus.
  • Canali alternativi evitati: rifiutano di confermare via email aziendale ufficiale, intranet o numero interno.

Le mosse giuste per difendersi

Regole operative per i dipendenti

  • Verifica l’identità fuori da Teams: chiama il numero IT ufficiale o scrivi al canale interno pubblicato in intranet. Mai fidarsi “solo” della chat.
  • Mai concedere accesso remoto su richiesta estemporanea: senza ticket, appuntamento e conferma del tuo responsabile, è no.
  • Non condividere credenziali: nessuno del supporto deve chiedere password o codici MFA. Se succede, è un segnale pericoloso.
  • Applica MFA e password manager: riduci l’impatto di eventuali furti ed evita riutilizzi pericolosi.
  • Segnala subito: se ricevi un contatto sospetto, avvisa il team IT/Security e il tuo responsabile. Meglio un falso positivo che un incidente.

Cosa può fare l’azienda e il C‑level

  • Policy chiare di helpdesk: definisci canali, orari, modalità, strumenti e numeri ufficiali. Comunicali regolarmente a tutta l’azienda.
  • Configurazione di Teams: limita chat/chiamate da soggetti esterni quando possibile, usa allowlist per domini fidati e abilita avvisi su contatti esterni.
  • Accesso remoto sicuro: disabilita strumenti non necessari (es. Quick Assist) o consentili solo tramite procedure approvate e monitorate.
  • Conditional Access e privilegi minimi: MFA ovunque, sessioni rischiose sotto controllo, ruoli amministrativi strettamente limitati e a tempo.
  • Formazione continua: simulazioni di phishing e tabletop exercise su scenari Teams. La preparazione batte la distrazione.
  • Rilevazione e risposta: log centralizzati e alert su creazione di sessioni remote.

Se hai già cliccato o concesso l’accesso

  • Stacca la rete: disconnetti il dispositivo da Internet per limitare i danni.
  • Avvisa subito IT/SOC: tempo e trasparenza sono tutto. Fornisci screenshot, link e orari del contatto.
  • Cambia credenziali: resetta la password, revoca le sessioni attive e rigenera i token dove possibile.
  • Controlla account e dispositivi: verifica aggiunte di utenti, modifiche a regole di posta, nuovi software non autorizzati.
  • Segnala e forma: condividi l’incidente (senza colpevolizzare). L’errore singolo diventa lezione collettiva.

In sintesi: fiducia sì, ingenuità no

Teams è uno strumento di lavoro potente, ma la fiducia cieca è un regalo ai criminali. Ogni richiesta urgente di supporto va trattata come sospetta fino a verifica indipendente. Con procedure chiare e allenamento, trasformi il fattore umano da punto debole a primo livello di difesa.

Vuoi ricevere ogni mattina la puntata e le fonti? Iscriviti alla newsletter.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.