Finta richiesta di firma digitale via SharePoint: il nuovo phishing con QR Code
Sempre più aziende stanno ricevendo finte richieste di firma digitale via SharePoint con QR Code. Si tratta di una nuova tecnica di phishing (detta “Quishing”) che punta a rubare le credenziali Microsoft 365 bypassando i controlli antispam tradizionali. In questo articolo analizziamo come funziona la truffa e come proteggere la propria azienda.
Negli ultimi mesi molte aziende stanno ricevendo email apparentemente legate a Microsoft SharePoint o a servizi di firma digitale. L’aspetto è convincente: logo SharePoint, documento PDF allegato, richiesta di firma, persino un QR Code da scansionare.
Ma in molti casi si tratta di tentativi di phishing evoluto. Vediamo come funziona questa nuova truffa e come proteggersi:
📩 Come si presenta la mail fraudolenta:
L’email solitamente contiene:
- Oggetto: “Document Ready for Signature”
- Riferimenti a SharePoint o eSignature
- Nome file realistico (es. Contract_Agreement.pdf)
- QR Code da scansionare
- Finto destinatario “Authorized Recipient”
A prima vista sembra una normale notifica Microsoft ma non lo è…
🔍 Perché oggi usano il QR Code?
Questa tecnica si chiama QR Phishing (o Quishing).
I criminali informatici hanno capito che:
- I sistemi antispam analizzano i link
- Ma non sempre analizzano il contenuto del QR Code
- Gli utenti si fidano di ciò che scansionano dal telefono
Il QR rimanda a:
- Siti clone di SharePoint
- Pagine fake di login Microsoft 365
- Pagine di raccolta credenziali
Risultato? Password aziendale compromessa in pochi secondi. E da lì parte il vero danno, furto email, accesso a SharePoint, tentativi di bonifici fraudolenti, diffusione malware.
🚩 Come capire se è una truffa
Ecco i segnali tipici:
- Mittente con dominio strano o non coerente
- Documento che non ti aspetti
- QR Code invece del classico link Microsoft
- Nessuna personalizzazione reale
- Nessuna notifica nel tuo vero portale Microsoft 365
Ricorda: una vera richiesta di firma Microsoft arriva sempre attraverso canali coerenti con il tenant aziendale.
🛡️Come proteggere l’azienda
Le difese efficaci sono:
- Attivare MFA su tutti gli account Microsoft 365: la password da sola non basta più.
- Attivare filtri anti phishing avanzati: Microsoft Defender, policy antispam, blocco domini sospetti.
- Formazione del personale: l’anello debole resta l’utente.
- Bloccare scansioni QR su dispositivi aziendali non gestiti: molti attacchi partono da smartphone personali.
📉 Il vero problema: la falsa sicurezza
Molti pensano: “Abbiamo Microsoft 365, siamo protetti.” Non è così, Microsoft fornisce strumenti, ma senza configurazione corretta, restano strumenti inutilizzati. Microsoft stessa fornisce linee guida ufficiali su come riconoscere e prevenire il phishing, disponibili nella documentazione dedicata alla protezione dagli attacchi di phishing. Guida ufficiale sul phishing
Se sei interessato ad un supporto tecnico informatico visualizza più informazioni su Pacchetti di Assistenza Informatica per Aziende a Roma e contattaci per avere un preventivo gratuito.