Microsoft segnala phishing fiscale contro Microsoft 365

Introduzione

La stagione fiscale si sta dimostrando ancora una volta un periodo ideale per i criminali informatici. Microsoft segnala un chiaro aumento delle campagne di phishing e malware che sfruttano l’urgenza delle dichiarazioni fiscali, degli avvisi di rimborso, dei moduli payroll e delle comunicazioni dei commercialisti per indurre gli utenti a cedere le proprie credenziali o ad avviare malware.

Per i team IT e di sicurezza, questo è importante perché queste campagne non sono semplice spam generico. Molte sono altamente mirate, personalizzate e progettate per eludere i rilevamenti tradizionali tramite codici QR, catene di link in più passaggi, file ospitati nel cloud e l’abuso di strumenti legittimi di remote monitoring and management (RMM).

Cosa c’è di nuovo

Microsoft ha evidenziato diversi schemi di attacco a tema fiscale osservati all’inizio del 2026:

• Phishing a tema CPA con Energy365
  Email con oggetti come "See Tax file" usavano allegati Excel che rimandavano a file OneNote ospitati su OneDrive, reindirizzando infine gli utenti verso pagine di raccolta credenziali basate sul kit phishing-as-a-service Energy365.

• Phishing W-2 con codice QR tramite SneakyLog
  Messaggi intitolati "2025 Employee Tax Docs" includevano documenti Word contenenti codici QR personalizzati. La scansione del codice portava gli utenti a false pagine di accesso Microsoft 365 gestite tramite il kit di phishing SneakyLog/Kratos, progettato per rubare credenziali e informazioni 2FA.

• Richiami 1099 che distribuiscono ScreenConnect
  Domini a tema moduli fiscali impersonavano brand finanziari e fiscali, inducendo gli utenti a scaricare 1099-FR2025.exe, che installava ScreenConnect. Pur essendo legittimo, ScreenConnect può essere abusato dagli attaccanti come strumento di accesso remoto.

• Phishing a tema IRS e crypto
  Un’altra campagna utilizzava falsi messaggi IRS e social engineering legato alle criptovalute, inclusi URL da copiare e incollare invece di link cliccabili per ridurre il rilevamento automatico.

Perché è importante per gli amministratori

Queste campagne mostrano come gli attaccanti stiano combinando:

• un contesto aziendale stagionale convincente
• piattaforme phishing-as-a-service che scalano rapidamente
• allegati e landing page personalizzati
• tecniche di bypass dell’MFA
• strumenti RMM legittimi e firmati per persistenza e accesso hands-on-keyboard

Sono state osservate come obiettivi organizzazioni nei servizi finanziari, nella sanità, nell’istruzione, nel manifatturiero, nel retail e nell’IT, con commercialisti e ruoli vicini alla funzione finance particolarmente a rischio.

Prossimi passaggi consigliati

Gli amministratori IT dovrebbero intraprendere immediatamente le seguenti azioni:

• Rafforzare la consapevolezza degli utenti sulle email a tema fiscale, in particolare messaggi inattesi relativi a W-2, 1099, CPA e IRS.
• Bloccare o ispezionare attentamente il phishing basato su codici QR e le catene di allegati multistadio che coinvolgono Excel, OneNote e link a cloud storage.
• Riesaminare le policy di sicurezza email per la protezione dalle impersonificazioni, la scansione degli allegati e la detonazione degli URL.
• Cercare eventuali abusi di strumenti RMM come ScreenConnect e SimpleHelp, soprattutto quando installati al di fuori dei canali approvati.
• Rafforzare le protezioni dell’identità con MFA resistente al phishing dove possibile e monitorare attività di accesso Microsoft 365 sospette.
• Usare le indicazioni di rilevamento e hunting di Microsoft Defender presenti nell’avviso per identificare indicatori di compromissione correlati.

In sintesi

La stagione fiscale offre agli attaccanti una finestra prevedibile per sfruttare urgenza e fiducia. Le ultime evidenze di Microsoft ricordano che le organizzazioni dovrebbero trattare i messaggi legati al fisco come una categoria di phishing ad alto rischio e convalidare sia l’attività delle identità sia gli strumenti di accesso remoto in tutto l’ambiente.