Oltre che via email, il phishing arriva dall'agenda, in particolare, da un innocuo invito a una riunione, proveniente da un gruppo di lavoro a cui si è stati aggiunti senza rendersene conto. Oppure da un documento condiviso attraverso i canali ufficiali di Microsoft 365. Sono, in estrema sintesi, campagne documentate dal team FIRE di Fortra, che hanno sfruttato due tecniche: l'abuso dei Gruppi di Outlook come vettore d'attacco e il CalPhishing, ossia il phishing tramite inviti a calendario. Una integrazione degli attacchi direttamente nei flussi di lavoro aziendali con cui gli utenti hanno familiarità e n cui nutrono fiducia.

Vale la pena ricordare l’impianto di base: i Gruppi di Microsoft 365 sono spazi di collaborazione condivisa che funzionano come hub operativi per team e divisioni aziendali. È proprio questa struttura a renderli uno strumento ideale per chi vuole costruire un'infrastruttura di attacco credibile.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Il meccanismo descritto da Fortra parte dalla creazione di un gruppo controllato dall'attaccante, con un nome progettato per mimetizzarsi all’interno dell'azienda, come per esempio IT Support, HR Updates, Finance Review, Leadership Briefing. A quel punto, se le policy aziendali lo consentono, il bersaglio viene aggiunto o invitato a unirsi e riceve una notifica di benvenuto. La prima email non costituisce una minaccia, ma quello che accade successivamente lo è.  L'utente si trova immerso in un ambiente Microsoft autentico, con infrastruttura reale, interfaccia di tutti i giorni, comunicazioni che sembrano messaggi interni. Da quel momento l'attaccante usa la casella del gruppo per inviare messaggi, il calendario per creare eventi con link a pagine di raccolta credenziali e l'area file condivisa per aggiungere documenti malevoli che contengono QR code, macro, link di credential harvesting e istruzioni per processi di supporto fasulli. I malcapitati li aprono senza sospetti perché sono accessibili attraverso un ambiente di collaborazione Microsoft che l'utente ritiene affidabile.

La tecnica denominata CalPhishing (abbreviazione di Calendar Phishing) ha il vantaggio di essere difficile da intercettare perché non richiede che l'utente apra una email. Di fatto la vittima riceve un messaggio email che contiene un file con estensione .ics. Ma una volta elaborato dal client Outlook, crea automaticamente un appuntamento nel calendario dell'utente, indipendentemente dal fatto che l'email venga letta o meno. Contestualmente all’inserimento in agenda vengono creati un titolo urgente e promemoria attivi che continueranno a richiamare l'attenzione dell'utente a intervalli regolari. Impossibile per la vittima non prestarci attenzione.  

Le campagne identificate da Fortra usano due leve narrative principali: la prima imita gli alert amministrativi di Microsoft 365 sulla scadenza di un dominio aziendale; la seconda simula una richiesta di firma digitale su una fattura o un documento contrattuale. Il guaio è che il CalPhishing non attiva i sistemi di sicurezza email, perché né il messaggio né il file .ics allegato presentano le caratteristiche che i gateway antispam e antiphishing sono addestrati a riconoscere. Inoltre, il CalPhishing è progettato per sfruttare la fiducia del flusso di lavoro: la vittima non si interroga sull'origine della comunicazione perché fa parte di un processo conosciuto e affidabile.

Che cosa cercano gli attaccanti

Le campagne analizzate da Fortra usano una tecnica sofisticata, nota come device code phishing o ConsentFix, che convince l’utente a completare un flusso di autenticazione legittimo su Microsoft, generando un codice che viene intercettato dall'attaccante. Così facendo gli attaccanti entrano in possesso sia delle password che dei token di sessione, utili per accedere all'account anche se l'utente ha abilitato l'autenticazione a più fattori. Tale accesso abilita a servizi quali Outlook, Teams e OneDrive.

QUI_METTI_LA_DIDASCALIA

I ricercatori di Fortra reputano che le campagne siano basate su EvilTokens, un kit di phishing distribuito su Telegram che automatizza l'intero processo e include il CalPhishing come opzione di consegna. Il kit è classificato come AI-enabled, ovvero include funzionalità basate sull'intelligenza artificiale per generare contenuti convincenti su larga scala. Peraltro, EvilTokens non è l’unica piattaforma di questo tipo in circolazione: l'FBI ne ha documentata una simile, Kali365, che fornisce agli attaccanti meno esperti accesso ad esche di phishing generate dall'AI, template di campagna automatizzati, dashboard di tracciamento in tempo reale e funzionalità di cattura di token OAuth.

Per difendersi da una minaccia come questa, gli esperti di Fortra consigliano di creare policy di accesso condizionale a Microsoft 365 che blocchino il flusso di autenticazione via codice dispositivo per tutti gli utenti, con eccezioni limitate ai processi aziendali che lo richiedono. Caldeggiano inoltre la verifica preventiva delle dipendenze esistenti prima dell’applicazione delle restrizioni. Sul fronte dei Gruppi di Outlook, le organizzazioni dovrebbero rivedere le policy che consentono a utenti esterni di aggiungere persone ai gruppi interni. Sul fronte della formazione, è necessario allertare i dipendenti sui rischi legati all'intera superficie di collaborazione, inclusi calendario, file condivisi e notifiche di sistema, per comprendere che un invito a una riunione non è, per definizione, sicuro.