Security

Panorama minacce email Q1 2026: insights Microsoft

3 min di lettura

Riepilogo

Microsoft segnala 8,3 miliardi di email di phishing rilevate nel Q1 2026, con il phishing tramite QR code più che raddoppiato e campagne protette da CAPTCHA in rapida evoluzione. I dati sono rilevanti per i team di sicurezza perché gli attaccanti si stanno spostando verso il furto di credenziali basato su link, mentre le attività di disruption contro Tycoon2FA dimostrano che un’azione coordinata può ridurre l’impatto del phishing.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

L’analisi Microsoft sulle minacce email del Q1 2026 evidenzia quanto rapidamente stiano cambiando le tattiche di phishing. Per gli amministratori IT e della sicurezza, il report offre una panoramica utile su dove gli attaccanti stanno concentrando i propri sforzi e su quali difese dovrebbero avere priorità negli ambienti Microsoft 365 e Defender.

Cosa c’è di nuovo nel Q1 2026

Microsoft Threat Intelligence ha rilevato circa 8,3 miliardi di minacce di phishing via email tra gennaio e marzo 2026. Sebbene il volume mensile complessivo sia leggermente diminuito, diverse tecniche di attacco sono diventate più sofisticate e più efficaci.

Tendenze principali

  • Il phishing con QR code è aumentato da 7,6 milioni di attacchi a gennaio a 18,7 milioni a marzo, con un incremento del 146%.
  • Il phishing basato su link ha dominato, rappresentando il 78% delle minacce email durante il trimestre.
  • I payload dannosi hanno rappresentato il 19% degli attacchi a gennaio, per poi scendere al 13% a febbraio e marzo, suggerendo che gli attaccanti abbiano preferito sempre più pagine di phishing ospitate online rispetto alla distribuzione basata su file.
  • Il business email compromise (BEC) è rimasto un problema importante, con 10,7 milioni di attacchi osservati nel Q1.
  • Il phishing protetto da CAPTCHA ha continuato a evolversi, mentre gli attaccanti usavano falsi passaggi di verifica per rallentare l’analisi automatizzata e aumentare la fiducia degli utenti.

Impatto della disruption di Tycoon2FA

Microsoft ha inoltre evidenziato l’effetto della disruption di marzo 2026 della piattaforma di phishing-as-a-service Tycoon2FA. Dopo un’azione coordinata con Europol e altri partner, il volume di email collegato a Tycoon2FA è diminuito del 15% nel resto di marzo e l’accesso alle pagine di phishing attive è stato ridotto in modo significativo.

Sebbene la piattaforma si sia adattata cambiando provider di hosting e modelli di registrazione dei domini, Microsoft afferma che il recupero appare parziale piuttosto che un pieno ritorno alle capacità precedenti.

Perché è importante per gli amministratori

Queste tendenze confermano che il phishing resta ancora incentrato sul furto di credenziali, anche se cambiano i metodi di distribuzione. Il phishing con QR code è particolarmente preoccupante perché può indirizzare gli utenti verso dispositivi mobili non gestiti, aggirando alcune protezioni tradizionali focalizzate sul desktop.

Per gli amministratori di Microsoft 365 e Defender, il report ricorda anche che le operazioni di disruption sono importanti, ma non eliminano la minaccia. Gli attaccanti sono resilienti e spesso spostano rapidamente la propria infrastruttura dopo i takedown.

Prossimi passi consigliati

  • Rivedere le protezioni contro il phishing con QR code in email, allegati e immagini incorporate.
  • Rafforzare le difese contro il phishing AiTM con MFA resistente al phishing dove possibile.
  • Monitorare i modelli BEC, soprattutto l’impersonificazione a basso sforzo e i messaggi generici di outreach.
  • Usare le funzionalità di rilevamento e gli strumenti di hunting di Microsoft Defender per investigare il phishing basato su link e le attività sospette legate ai payload.
  • Formare gli utenti a prestare attenzione a QR code, schermate CAPTCHA e prompt di autenticazione inattesi.

Conclusioni

I dati Microsoft del Q1 2026 mostrano che gli attaccanti continuano a orientarsi verso un phishing di credenziali scalabile e basato su link, sperimentando al contempo QR code, evasione tramite CAPTCHA e metodi più recenti come il device code phishing. I team di sicurezza dovrebbero considerare questi risultati come un segnale per rafforzare il rilevamento, potenziare le protezioni dell’identità e aggiornare i programmi di awareness degli utenti.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft DefenderQR code phishingBEC

Articoli correlati

Security

Aggiornamenti Microsoft Security per Agent 365

Microsoft ha annunciato nuove funzionalità di sicurezza per Agent 365, Defender for Cloud, GitHub Advanced Security e Microsoft Purview. Gli aggiornamenti puntano a migliorare la visibilità sull’attività degli agenti AI, rafforzare la protezione dal codice al runtime e accelerare le indagini sulla sicurezza dei dati per i team IT e di sicurezza.

Security

Revisioni del rischio CISO: 8 best practice Microsoft

Microsoft ha pubblicato un framework pratico per aiutare CISO e responsabili della sicurezza a condurre revisioni del rischio più efficaci in un contesto di minacce informatiche sempre più alimentate dall’AI. Le linee guida si concentrano su otto aree di revisione — da asset e applicazioni fino ad autenticazione, autorizzazione e isolamento di rete — per aiutare le organizzazioni a passare da una risposta reattiva a una riduzione proattiva del rischio.

Security

Microsoft Sentinel UEBA amplia il rilevamento AWS

Microsoft Sentinel UEBA aggiunge ora analisi comportamentali più ricche per i dati AWS CloudTrail, offrendo ai team di sicurezza contesto integrato come geografia alla prima occorrenza, ISP non comune, azioni insolite e volume operativo anomalo. L’aggiornamento aiuta i difensori a rilevare più rapidamente attività AWS sospette e riduce la necessità di baseline KQL complesse e arricchimento manuale.

Security

Difesa Microsoft con AI contro nuove minacce AI

Microsoft afferma che l’AI sta accelerando il modo in cui le vulnerabilità vengono individuate e sfruttate, riducendo il tempo a disposizione dei difensori per reagire. In risposta, l’azienda sta ampliando il rilevamento delle vulnerabilità guidato dall’AI, la gestione dell’esposizione e le protezioni basate su Defender, oltre ad anticipare una nuova soluzione di scansione multi-modello per i clienti a giugno 2026.

Security

Rilevamento lavoratori IT infiltrati con Defender

Microsoft ha illustrato strategie di rilevamento per identificare attori di minaccia allineati alla Corea del Nord che si spacciano per assunzioni IT da remoto per infiltrarsi nelle organizzazioni. Le indicazioni si concentrano sulla correlazione dei segnali di HR SaaS, identità, email, conferenze e Microsoft 365, così che i team di sicurezza e HR possano individuare candidati sospetti prima e dopo l’onboarding.

Security

Prevenzione cyberattacchi opportunistici: guida Microsoft

Microsoft invita le organizzazioni a rendere più difficili i cyberattacchi opportunistici eliminando le credenziali, riducendo le superfici di attacco pubbliche e standardizzando modelli di piattaforma sicuri. Le indicazioni sono particolarmente rilevanti per i team che gestiscono workload Azure, Dynamics 365 e Power Platform su larga scala, dove architetture incoerenti e segreti esposti possono facilitare il movimento laterale degli attaccanti.