Stai ricevendo e‑mail che sembrano inviate dal tuo stesso indirizzo e parlano di “Pegasus”, pretendendo Bitcoin entro 48 ore? È una classica estorsione basata su spoofing, non una violazione reale. In questa guida per Outlook/Microsoft 365 ti spiego come riconoscerla, cosa fare subito e come proteggerti.

Cos’è il “ricatto via e‑mail Pegasus” e perché torna ciclicamente

Questa truffa rientra nella categoria sextortion: un criminale invia un messaggio allarmante sostenendo di averti infettato con uno spyware chiamato “Pegasus”, di aver controllato webcam e microfono, di avere video imbarazzanti e di volerli diffondere ai tuoi contatti. Per “impedire lo scandalo” chiede tra 1 000 e 2 000 USD in Bitcoin o Litecoin entro 24‑48 ore, intimandoti di non contattare la polizia e di non cambiare password.

La scelta del nome “Pegasus” non è casuale: evoca uno spyware governativo noto alle cronache, ma qui è usato come spauracchio per rendere credibile la minaccia. In realtà si tratta di social engineering e e‑mail spoofing: il mittente falsifica il campo From: per far sembrare che l’e‑mail provenga da te stesso oppure appare come “Note to Self”.

Come si presenta il messaggio fraudolento

• Mittente “tu stesso”: il campo From mostra il tuo indirizzo o una dicitura ingannevole come “Note to Self”.
• Minacce tecnologiche: presunto controllo di PC e smartphone, attivazione di webcam/microfono, furto della rubrica, “prova” inesistente.
• Richiesta di pagamento in cripto: tipicamente 1 000‑2 000 USD in BTC/LTC con un countdown di 48 ore.
• Divieti: “non cambiare password”, “non parlare con nessuno”, “non contattare le autorità”.
• Linguaggio aggressivo e pressione psicologica, con tentativi di umiliazione o vergogna.
• Nessun allegato utile e assenza di “prove” tecniche (screenshot reali, hash, indirizzi IP coerenti).

Perché non sei stato violato: lettura delle intestazioni (header)

L’analisi degli header dell’e‑mail smonta la narrativa del criminale. Anche se il campo From: sembra tuo, il percorso reale del messaggio rivela che è stato inviato da server non autorizzati e intercettato dai filtri antispam.

Indizio nel codice sorgente	Significato	Conseguenza pratica
spf=fail o spf=softfail	L’IP del vero mittente non è autorizzato a inviare e‑mail per hotmail.com/outlook.com (o per il tuo dominio).	L’indirizzo è stato spoofato; il tuo account non è stato usato per spedire il messaggio.
dkim=none / dmarc=fail	Manca una firma crittografica valida del dominio o non è allineata con il From.	Conferma la falsificazione del mittente.
Messaggio in Junk/Spam	I filtri Microsoft l’hanno classificato come phishing.	Outlook ne ha impedito la consegna in Posta in arrivo.

Dove trovare gli header completi

• Outlook Web (Outlook.com / Microsoft 365): apri il messaggio → icona Altro (⋯) → Visualizza origine oppure Visualizza dettagli del messaggio. Cerca “spf”, “dkim”, “dmarc”.
• Outlook per Windows: apri il messaggio → File → Proprietà → sezione Intestazioni Internet.
• Outlook per Mac: apri il messaggio → Messaggio → Visualizza sorgente.
• App mobile Outlook: apri il messaggio → ⋮ → Visualizza sorgente (se disponibile) o passa a Outlook Web per l’analisi completa.

Esempio di header che svela lo spoofing

Authentication-Results: spf=fail (sender IP 203.0.113.77) smtp.mailfrom=example.net;
 dkim=none; dmarc=fail action=quarantine header.from=outlook.com
Received-SPF: Fail (protection.outlook.com: domain of example.net does not designate 203.0.113.77 as permitted sender)
Return-Path: <random@examp1e.net>
From: "Tuo Nome" <tuonome@outlook.com>
X-MS-Exchange-Organization-AuthAs: Anonymous

Noterai che il Return‑Path e l’IP di invio non appartengono a Microsoft e che spf/dkim/dmarc falliscono. Il From: è solo un’etichetta facilmente falsificabile.

Perché citano proprio “Pegasus”

Pegasus è un software di sorveglianza governativo, venduto a stati e agenzie con costi elevatissimi e impieghi mirati. Non viene usato per micro‑estorsioni da 1 000‑2 000 USD. Gli estorsori sfruttano il nome per spaventare, ma il loro modus operandi è rudimentale: database di e‑mail, testi tradotti automaticamente, invii massivi da server compromessi o servizi illegittimi.

Soluzione raccomandata: la check‑list da seguire

1. Non rispondere e non pagare. Qualsiasi interazione conferma che l’indirizzo è attivo e incoraggia nuovi tentativi.
2. Verifica l’intestazione completa. In Outlook Web/App usa Visualizza origine e cerca spf, dkim, dmarc per confermare i fail/softfail.
3. Cambia subito la password Microsoft e di eventuali altri account in cui l’hai riutilizzata. Usa una password lunga, unica e generata da un gestore di password.
4. Abilita l’autenticazione a due fattori (2FA) con Microsoft Authenticator o app TOTP equivalente. Salva i codici di recupero.
5. Esegui una scansione antimalware completa con Microsoft Defender o un prodotto affidabile aggiornato. Non perché tu sia infetto, ma per prudenza.
6. Aggiorna sistema e software (Windows, browser, plugin): chiudi vulnerabilità note.
7. Controlla “Attività di accesso” da account.microsoft.com → Sicurezza → Revisione attività di accesso. Tentativi “non riusciti” da paesi esotici segnalano credential stuffing, non un’infezione del tuo dispositivo.
8. Segnala il messaggio in Outlook: Home → Posta indesiderata → Phishing. Valuta anche una segnalazione alle autorità locali (es. Polizia Postale) o al portale IC3 dell’FBI se risiedi negli USA.
9. Elimina l’e‑mail e, se desideri, crea una regola che sposti automaticamente futuri messaggi simili in Eliminata.

Istruzioni passo‑passo (Outlook/Microsoft 365)

Modifica password e attiva 2FA

1. Accedi al tuo account Microsoft e vai alla sezione Sicurezza.
2. Imposta una password di almeno 14‑16 caratteri con parole casuali o una passphrase lunga (evita pattern riutilizzati).
3. Attiva Verifica in due passaggi e collega Microsoft Authenticator o un’app TOTP. Salva i codici di backup offline.

Consiglio: non riutilizzare mai la stessa password in servizi diversi. I criminali sfruttano vecchi dump di credenziali per provare accessi automatici (credential stuffing).

Scansione antimalware con Microsoft Defender

1. Apri Sicurezza di Windows → Protezione da virus e minacce.
2. Avvia una Analisi completa o, meglio, una Analisi offline di Microsoft Defender per controllare i file di sistema prima dell’avvio.
3. Rimuovi eventuali rilevazioni e riavvia.

Aggiornamenti di sicurezza

• In Windows, apri Windows Update e installa tutte le patch disponibili.
• Aggiorna browser, estensioni e applicazioni frequentemente usate (es. client e‑mail, PDF, suite d’ufficio).

Controllo dell’attività di accesso

Nel portale dell’account Microsoft, sezione Attività, verifica data/ora, posizione (stato/Paese), indirizzo IP e dispositivo. Eventuali voci “Accesso non riuscito” da regioni improbabili non implicano compromissione: segnalano piuttosto tentativi automatici con password leaked. In tal caso, il cambio password e la 2FA sono già la risposta corretta.

Come creare una regola anti‑sextortion in Outlook

1. Outlook Web: Impostazioni → Posta → Regole → Aggiungi nuova regola.
2. Condizioni utili: Oggetto contiene (“Pegasus”, “Bitcoin”, “Litecoin”, “48 ore”), Da contiene il tuo stesso indirizzo, Corpo del messaggio contiene stringhe tipiche (indirizzi di wallet).
3. Azione: Sposta in Eliminata o Contrassegna come posta indesiderata.

Nota: evita regole troppo aggressive che potrebbero colpire messaggi legittimi; inizia con un’azione di classificazione anziché eliminazione permanente.

Domande frequenti

Perché il messaggio sembra inviato da me con tanto di foto profilo?

Outlook associa l’avatar al From visualizzato. Se il truffatore scrive il tuo indirizzo nel campo From:, l’interfaccia mostra la tua immagine: è solo un effetto grafico, non una prova di accesso all’account.

Possono avere davvero i miei video?

Nel 99% dei casi, no. Se non trovano riscontri tecnici (malware reale, traffico anomalo, file sospetti), è solo una minaccia generica. Gli estorsori confidano nella paura e nella vergogna per spingerti a pagare. Non farlo.

Hanno citato una mia vecchia password: devo preoccuparmi?

Molti messaggi di sextortion includono password recuperate da data breach storici non legati al tuo attuale account Microsoft. Se riconosci una vecchia password, non usarla più e verifica di non averla riutilizzata altrove.

Il messaggio era già in Posta indesiderata: posso ignorarlo?

Sì, ma segnalarlo come phishing aiuta a migliorare i filtri per tutti. Una rapida occhiata agli header per confermare spf/dkim/dmarc=fail è comunque istruttiva.

E se avessi già pagato?

Annota data/ora, importo, wallet di destinazione e ID transazione. Contatta immediatamente la tua autorità di polizia e il supporto dell’exchange usato. Il rimborso è raro, ma la segnalazione è importante per le indagini. Rafforza comunque la sicurezza dei tuoi account e dispositivi.

Approfondimenti tecnici (facoltativi)

• SPF (Sender Policy Framework): record DNS che elenca gli IP autorizzati a spedire posta per un dominio. fail = IP non autorizzato; softfail = probabile spoof, da filtrare con cautela.
• DKIM (DomainKeys Identified Mail): firma crittografica del dominio mittente; se assente o non valida, non c’è garanzia sull’integrità del mittente dichiarato.
• DMARC: combina SPF e DKIM e definisce una policy (none/quarantine/reject). Se entrambi falliscono o non sono allineati al dominio nel From:, i provider possono rifiutare o mettere in spam il messaggio.
• Allineamento: DMARC richiede che il dominio nella firma DKIM o nell’SPF (Return‑Path) sia allineato con il dominio nel From:. Se il criminale usa server terzi, l’allineamento salta.
• Spoofing via SMTP: tecnicamente è possibile scrivere qualsiasi indirizzo nel From: durante l’invio; non implica accesso al tuo account.
• Perché compaiono wallet cripto: la tracciabilità on‑chain esiste, ma l’anonimato operativo degli attori e il riciclaggio tramite servizi illeciti rendono difficile risalire ai soggetti.

Indicatori ricorrenti nei messaggi di sextortion

Indicatore	Perché conta	Cosa fare
Timer serrato (24‑48 h)	Pressione psicologica per impedire un’analisi razionale.	Ignora il countdown, verifica con calma e segnala.
Pagamento in criptovalute	Difficile da revocare, scarso tracciamento nei confronti del destinatario.	Non pagare, mai. Segnala alle autorità.
Italiano maccheronico	Testi tradotti automaticamente, segno di invii massivi.	Classifica come spam/phishing.
Wallet o QR nel corpo	Indizio tipico di estorsione.	Non scansionare QR, non inviare fondi.
From uguale al tuo indirizzo	Falsificabile via SMTP, non dimostra compromissione.	Controlla header: spf/dkim/dmarc.

Buone pratiche per il futuro

• Usa password uniche e un gestore di password per generarle e conservarle.
• 2FA sempre attiva almeno sugli account e‑mail principali e sui social.
• IMAP/POP/SMTP: lasciali abilitati solo se indispensabili; in caso contrario disattivali in Outlook.com per ridurre vettori di abuso e tentativi di autenticazione legacy.
• Webcam coperta quando non serve e blocca il download automatico delle immagini nel client e‑mail.
• Diffida di messaggi con urgenza artificiale, richieste di criptovalute, minacce e linguaggio offensivo.
• Backup regolari dei tuoi dati su supporti separati (cloud affidabile + disco esterno) per mitigare altri attacchi come ransomware.

Per amministratori e team IT (facoltativo)

• Imposta DMARC a p=reject dopo una fase di monitoraggio (p=none) e allinea SPF/DKIM per tutti i domini di invio.
• Applica autenticazione moderna, disabilita protocolli legacy (Basic Auth dove possibile) e enforce di MFA su tutti gli utenti.
• Abilita protezioni avanzate anti‑phishing/anti‑spoofing e banner di avviso per messaggi esterni.
• Distribuisci criteri di Safe Links/Attachments e blocco di macro non firmate per la suite d’ufficio.
• Forma gli utenti con simulazioni di phishing periodiche e playbook di risposta rapida (segnalazione, isolamento, triage).

Perché il tuo messaggio era in Junk e non in Posta in arrivo

I filtri di Microsoft si basano su una combinazione di reputazione del server, esito di SPF/DKIM/DMARC, firme comportamentali e segnalazioni degli utenti. Un dmarc=fail o un’assenza di firme valide, unita a pattern testuali tipici della sextortion, porta al quarantining nella cartella Posta indesiderata. Questo è un buon segno: significa che l’ecosistema sta funzionando.

Schema decisionale rapido

1. Hai ricevuto una mail con minacce e richiesta di BTC/LTC? → Sì.
2. Apre in Junk? → Sì → Conferma con header (spf/dkim/dmarc falliti).
3. Azioni: non pagare → cambia password → attiva 2FA → scansione Defender → segnala phishing → cancella.
4. Facoltativo: regola di posta per filtrare futuri tentativi.

Errori da evitare

• Rispondere al criminale: li informa che l’indirizzo è presidiato.
• Pagare: incentiva nuovi contatti e non offre garanzie.
• Scaricare allegati o aprire link dal messaggio: aumenta il rischio.
• Ignorare password riutilizzate: se la mail cita una password che usi altrove, cambiala ovunque.

Glossario essenziale

• Sextortion: estorsione che sfrutta minacce di divulgazione di materiale intimo, spesso inventate.
• Spoofing e‑mail: falsificazione del campo From: per far sembrare che il messaggio provenga da un mittente fidato.
• Credential stuffing: tentativi di accesso con coppie e‑mail/password rubate da altri servizi.
• 2FA/MFA: verifica aggiuntiva oltre alla password (app, SMS, chiave di sicurezza).

In sintesi

Le e‑mail che citano “Pegasus” e chiedono criptovalute sono tentativi di sextortion basati su spoofing, non su un’intrusione reale. Gli header (SPF/DKIM/DMARC) smascherano il trucco; l’assenza di riscontri tecnici e la presenza in Junk lo confermano. Non pagare, rafforza le credenziali con 2FA, scansiona i dispositivi, aggiorna il software, segnala il phishing e monitora l’attività dell’account: non sei stato hackerato.

---

Checklist rapida da stampare

• 🔒 Cambia password Microsoft (unica, lunga) + abilita 2FA.
• 🛡️ Scansione completa con Microsoft Defender.
• 🧭 Controlla l’Attività di accesso (accessi sospetti ≠ pc infetto).
• 🚫 Non pagare, non rispondere, non aprire allegati/link.
• 📨 Segnala come phishing in Outlook.
• 🧹 Elimina il messaggio e crea una regola per futuri tentativi.

---

Risorse utili interne all’azienda (se applicabile): contatta il tuo help desk IT, consulta le policy su uso di password e 2FA, verifica le procedure di segnalazione incidenti.