Sta circolando una finta iniziativa chiamata “Teams Survey” che promette un iPhone 15 Pro in premio. È una truffa di phishing che colpisce sia Microsoft Teams sia la posta di Outlook. In questa guida operativa vediamo come riconoscerla, cosa fare subito e come bloccarla a livello aziendale.

Cos’è la falsa “Teams Survey” che promette un iPhone 15 Pro

Alcuni utenti stanno ricevendo e‑mail e messaggi in Microsoft Teams che annunciano la “vittoria” di un iPhone 15 Pro in un presunto concorso chiamato Teams Survey. Il testo spinge a cliccare su un link o ad avviare una chat con l’account “Teams Survey” per riscattare il premio.

Esempio di messaggio
“❗️Important news! You are one of the winner… iPhone 15 Pro. Complete the Teams Survey to claim your prize.”

Lo schema è classico: si forza l’utente a compiere un’azione rapida e poco ragionata, promettendo un premio allettante. Nel momento del clic, il destinatario viene reindirizzato a una pagina di phishing per sottrarre credenziali Microsoft o a un sito che richiede pagamenti di “spese di spedizione”, oppure scarica codice malevolo.

Perché alcuni messaggi superano i controlli

In diversi casi i messaggi riescono a superare i controlli SPF/DKIM/DMARC o a passare per legittimi in alcune tratte della catena di consegna. Un trucco ricorrente sfrutta indirizzi IP anomali nei campi di tracciamento, ad esempio un ottetto con quattro cifre (p.es. 203.0.1134.52, dove “1134” è fuori standard). Il messaggio viene prima instradato con intestazioni Received “sporche”, quindi inoltrato verso un server Microsoft legittimo. Il risultato è che alcuni filtri, valutando solo l’ultimo hop affidabile, considerano l’invio “pulito”.

Ricordiamo che:

• SPF valida l’indirizzo del mittente tecnico (envelope) in base all’IP del server che consegna.
• DKIM garantisce che il contenuto non sia stato alterato dopo la firma.
• DMARC applica policy quando From: è allineato con SPF e/o DKIM.

Se un attaccante manipola la catena di ricezione e poi inoltra la posta da un server affidabile, può ottenere risultati come SPF=pass o DKIM=pass sull’ultimo hop, eludendo controlli superficiali. La presenza di indirizzi IP malformati o non RFC‑compliant nelle intestazioni è un segnale utile per regole di rifiuto a monte.

Obiettivi dell’attacco

• Phishing: rubare credenziali Microsoft (Entra ID/Azure AD), dati personali e informazioni aziendali.
• Malware & truffa: reindirizzare a siti che installano codice dannoso o che chiedono “spese di spedizione” per la consegna del presunto premio.

Segnali per riconoscerla subito

• Grammatica stentata o frasi tipiche di spam (“You are one of the winner”).
• Pressione psicologica: “hai pochi minuti”, “ultimi pezzi”, “premio riservato”.
• Mittente generico o account Teams che non appartiene alla tua organizzazione e non mostra alcuna verifica.
• URL accorciati o domini che imitano marchi noti (look‑alike brand).
• Richieste di pagamento per “tasse” o “spedizioni” a fronte di un premio.
• Intestazioni e‑mail sospette: IP con ottetti a quattro cifre, salti di server inspiegabili.
• Il “concorso” non compare in nessun canale ufficiale interno o nell’hub comunicazioni aziendale.

Come deve reagire l’utente finale

1. Non cliccare su link o pulsanti; non rispondere in chat.
2. Bloccare l’account in Teams (menu della chat → Blocca o Segnala).
3. Segnalare il messaggio come phishing/spam in Outlook e in Teams attraverso l’apposito pulsante o modulo interno.
4. Se si è cliccato: cambiare subito la password, verificare e abilitare MFA, avvisare l’IT.

Soluzioni consigliate e impostazioni raccomandate

Le misure seguenti riducono drasticamente la superficie d’attacco. Dove possibile, includiamo percorsi e opzioni utili per un’applicazione rapida.

Livello	Azione / impostazione	Dettagli operativi
Utente finale	1) Non cliccare su link o bottoni. 2) Bloccare l’account in Teams e contrassegnare l’e‑mail come phishing/spam.	Riduce immediatamente il rischio di compromissione. In Teams usa Altre opzioni nella chat → Segnala o Blocca contatto.
Segnalazione	Usare il modulo ufficiale interno (“Report a scam”) o il pulsante Segnala phishing in Outlook/Teams.	Permette a sicurezza e a Microsoft di affinare i filtri globali e di attivare playbook di risposta.
Amministratore M365	Teams – Accesso esterno e Guest: limitare o disattivare se non necessari; preferire lista domini consentiti. Defender per Office 365 – Safe Links: abilitare la protezione in Outlook e in Microsoft Teams; impedire il “click‑through”. Defender per Office 365 – Safe Attachments: Dynamic Delivery e Replace per allegati malevoli. Regola di trasporto: rifiutare messaggi che presentano IP non validi (es. ottetto a 4 cifre) prima della valutazione DKIM/DMARC. Anti‑phishing: protezioni contro impersonazione di utenti/ruoli “Microsoft/Teams”, domini simili e visual display name fraudolenti.	Teams admin center → Accesso esterno: scegli “Consenti solo” e inserisci i domini approvati. M365 Defender → Politiche di minaccia → Safe Links: attiva l’opzione per Teams e nega il bypass. M365 Defender → Safe Attachments: applica alle cassette postali Priorità Alta. Exchange: crea una mail flow rule che rifiuti intestazioni Received con IP malformati (vedi esempi più sotto).
Gateway / Spam filter di terze parti	Regole per rifiutare indirizzi IP malformati e controllare la catena di inoltro (Return‑Path → Received‑SPF).	Complementa la protezione cloud: valutare SPF best‑guess, applicare DMARC alignment e bloccare hop sospetti a monte.
Formazione utenti	Campagne di awareness su premi “troppo belli per essere veri” e verifica dell’identità del mittente.	Riduce il numero di clic accidentali. Inserire esempi reali e simulazioni periodiche.

Buone pratiche aggiuntive

1. MFA ovunque: attiva l’autenticazione a più fattori su tutti gli account Microsoft 365, privilegiando metodi resistenti al phishing (passkey, numero corrispondente).
2. Audit e log: monitora Entra ID/Azure AD e Teams: nuove chat con account esterni, inviti ripetuti, tentativi di login anomali.
3. Aggiornamenti: mantieni clienti Teams e Outlook aggiornati per beneficiare delle ultime protezioni anti‑phishing.

Perché DKIM/DMARC non bastano da soli

SPF, DKIM e DMARC riducono in modo significativo lo spoofing ma non garantiscono che un messaggio sia benigno. Un phisher può spedire da un servizio legittimo (o inoltrare attraverso di esso) e ottenere pass parziali. Per questo servono:

• Regole di mail flow che controllino l’intera catena di ricezione, non solo l’ultimo hop.
• Safe Links e Safe Attachments per analizzare contenuti e destinazioni in tempo reale.
• Protezione impersonazione e brand per bloccare look‑alike e abusi di display name.

Esempi di regole tecniche pronte all’uso

Exchange Online – rifiutare IP malformati nelle intestazioni

Obiettivo: fermare messaggi con IP non validi (ottetto a 4 cifre) nelle intestazioni Received prima che arrivino alle cassette postali.

# Esempio (PowerShell Exchange Online)
New-TransportRule -Name "Blocca Received con IP non valido" `
  -HeaderMatchesMessageHeader "Received" `
  -HeaderMatchesPatterns "\[(?:\d{1,3}\.){2}\d{4}\.\d{1,3}\]" `
  -RejectMessageReasonText "IP sorgente non valido in Received"

Note:

• Testa la regola in Audit/Enforce su un gruppo pilota, quindi estendila.
• Puoi creare varianti che intercettano ottetti > 255 o formati esadecimali non attesi.

Exchange Online – soggetti e parole chiave legate alla truffa

Non è una difesa perfetta, ma utile per le prime ondate:

New-TransportRule -Name "Blocca oggetti iPhone Teams Survey" `
  -SubjectContainsWords "Teams Survey", "iPhone 15 Pro", "you are one of the winner" `
  -SetSCL 9 -StopRuleProcessing $true

Safe Links – applicazione anche a Teams

Assicurati che la policy includa Teams:

• Abilita “Applica a Microsoft Teams”.
• Impedisci il click-through agli URL rilevati come malevoli.
• Traccia e riscrivi gli URL in modo coerente tra Outlook, Teams e SharePoint.

Protezione impersonazione

Configura una politica anti‑phishing che sorvegli:

• Visual display name come “Microsoft Support”, “Teams Survey”, “Corporate Raffle”.
• Domini simili a quelli ufficiali (p.es. sostituzioni di caratteri) con regole di exact/near domain.
• Utenti ad alto profilo (C‑level, HR, IT) con protezione rafforzata.

Analisi rapida delle intestazioni: cosa cercare

Quando indaghi un messaggio sospetto, osserva la sezione Received dal basso verso l’alto. Ecco un esempio didattico semplificato con annotazioni:

Received: from relay.example.net (203.0.1134.52) by mail.microsoft.com ...
<-- "1134" ha 4 cifre: non è un IPv4 valido. Segnale rosso.

Received-SPF: Pass (mail.microsoft.com: domain of example.org designates 40.107.0.1 as permitted sender)

<-- Valutazione fatta sull'hop Microsoft, non sull'origine sospetta.

Authentication-Results: dkim=pass header.d=example.org; dmarc=pass (p=none)

<-- DKIM/DMARC possono passare anche su inoltri legittimi. Non basta per fidarsi.

From: "Teams Survey" <[promo@example.org](mailto:promo@example.org)>
Reply-To: [survey@contoso-bonus.net](mailto:survey@contoso-bonus.net)

<-- Mismatch tra From e Reply-To (+ brand non ufficiale)

Playbook di risposta agli incidenti

1. Contenimento immediato: reimposta password dell’utente e richiedi nuova registrazione MFA; revoca le sessioni attive.
2. Endpoint: esegui una scansione antimalware completa; isola il dispositivo se necessario.
3. Mailbox hygiene: verifica regole di inoltro anomale, deleghe inattese, regole “segna come letto/elimina”.
4. Log: controlla accessi in Entra ID (IP, geolocalizzazione, app usate, anomalie) e attività in Teams (creazione chat con esterni, inviti massivi).
5. Ricerca e rimozione: esegui ricerche mirate (soggetto/parole chiave) e rimuovi le copie residue dalle cassette postali.
6. Notifica interna: informa gli utenti con un avviso chiaro e screenshot della truffa; prevedi un canale per segnalare casi sospetti.
7. Valutazione legale/GDPR: se c’è rischio dati personali, coinvolgi DPO e segui le procedure di notifica.

Checklist per amministratori

• Accesso esterno in Teams impostato su Allow‑list dei soli domini necessari.
• Safe Links abilitato anche per Teams, con blocco del click‑through.
• Safe Attachments con Dynamic Delivery su utenti ad alto rischio.
• Mail flow rule per bloccare IP malformati nelle intestazioni Received.
• Anti‑impersonation attivo (utenti protetti, brand e domini simili).
• MFA obbligatoria, preferibilmente con metodi resistenti al phishing.
• Audit continuo di Entra ID e Teams, con alert per attività anomale.

Piano di formazione consigliato

Obiettivo: diminuire i clic istintivi e aumentare le segnalazioni corrette.

• Modulo 1 – Riconoscere l’esca: premi improbabili, urgenza artificiale, errori grammaticali.
• Modulo 2 – Verificare il mittente: differenza tra From, Reply‑To, dominio e profilo Teams.
• Laboratorio – Simulazioni di phishing su base trimestrale con debrief rapido.
• Poster/Infografica – “STOP, GUARDA, SEGNALA”: i tre passi prima di fare clic.

Indicatori utili (IOC) da condividere internamente

Categoria	Esempi	Uso pratico
Oggetto	“Teams Survey”, “You are one of the winner”, “Claim your iPhone 15 Pro”	Creare regole di priorità e rimozione mirata durante le ondate iniziali.
Intestazioni	IP con ottetto a quattro cifre (203.0.1134.52), Received “inconsistenti”.	Regole di rifiuto a monte; alert su pattern non RFC‑compliant.
URL	Domini di terzo livello che imitano “teams” o “office” con variazioni minime.	Safe Links e blocchi su categorie “Newly Registered Domains”.
Chat Teams	Contatti esterni con display name “Teams Survey”, “Support Microsoft” senza badge.	Bloccare contatto e segnalare; limitare inviti da esterni.

Modelli di comunicazione interna

Messaggio breve per tutti i dipendenti

Oggetto: Attenzione alla truffa “Teams Survey”
Stiamo rilevando messaggi/Chat che promettono un iPhone 15 Pro in cambio di una “Teams Survey”.
Non cliccate su link o bottoni, non rispondete in chat: segnalate il messaggio come phishing.
Se avete cliccato, cambiate subito la password e avvisate l’IT.

Messaggio di follow‑up per chi ha cliccato

Oggetto: Azioni urgenti dopo clic su “Teams Survey”
1) Cambiate immediatamente la password aziendale.
2) Autenticazione a più fattori: verificate e ri‑registrate il metodo.
3) Informate il Service Desk per verifiche su account e dispositivi.
Grazie per la collaborazione.

Domande frequenti

Microsoft regala davvero iPhone tramite Teams?
No: non esistono concorsi ufficiali di Teams che regalano iPhone 15 Pro a sorpresa.

Se il messaggio passa DKIM/DMARC è sicuro?
No. Sono controlli necessari ma non sufficienti. L’analisi del contenuto, della catena di inoltro e del contesto resta fondamentale.

Basta disattivare gli ospiti in Teams per risolvere?
Riduce il rischio ma non ferma il vettore e‑mail né i link malevoli che l’utente potrebbe aprire dal browser.

Posso ignorare i link accorciati se arrivano da colleghi?
No. Gli account possono essere compromessi. Tratta qualsiasi URL con cautela e verifica la destinazione con i controlli aziendali.

Riduzione del rischio: percorso consigliato in tre settimane

• Settimana 1: comunicazione interna + regole di mail flow su IP malformati; attivazione Safe Links su Teams; blocco/allow‑list dei domini esterni in Teams.
• Settimana 2: policy anti‑impersonation; hardening di MFA; controllo mailbox rules ed eventuali inoltri.
• Settimana 3: simulazione di phishing mirata; revisione alerting su Entra ID e Teams; runbook di risposta aggiornato.

Verifiche di conformità e qualità

Prima del go‑live, effettua questi test:

1. Invia messaggi di prova con intestazioni ricevute contenenti IP malformati e verifica che la regola li blocchi.
2. Controlla che Safe Links riscriva e analizzi URL anche nelle chat di Teams, non solo nelle e‑mail.
3. Convalida che utenti e ruoli protetti dalle policy anti‑impersonation generino alert in caso di look‑alike.
4. Simula l’arrivo di un messaggio “Teams Survey” per misurare il tasso di segnalazione e il tempo medio di risposta del SOC/IT.

Trucchi dei truffatori e come neutralizzarli

• Clone di pagine Microsoft: ridirezionano a landing page con loghi ufficiali. Contromisura: Safe Links, browser isolation, blocco “newly‑registered”.
• Orario e lingua locali: messaggi inviati in orari di ufficio e con localizzazione approssimativa. Contromisura: allenare l’utente a riconoscere spie linguistiche, non solo errori palesi.
• Account compromessi reali: invii da caselle legittime per aumentare la fiducia. Contromisura: MFA, rilevamento anomalie su Entra ID, controlli sulle regole di inoltro.

In sintesi operativa

Il messaggio “❗️Important news! You are one of the winner … iPhone 15 Pro” è un phishing scam. Non esistono concorsi Microsoft Teams che regalano iPhone. Blocca e segnala i messaggi sospetti, attiva Safe Links anche su Teams, implementa regole di trasporto per scartare IP malformati e rafforza MFA e logging. Così si riducono in modo concreto sia le probabilità di clic sia l’impatto qualora qualcuno ci caschi.

---

Appendice tecnica: esempi di regex utili

Riconoscere un ottetto a 4 cifre in un IPv4 nelle intestazioni

\[(?:\d{1,3}\.){2}\d{4}\.\d{1,3}\]

Uso: in HeaderMatchesPatterns su Received. Valuta anche l’aggiunta di una variante per ottetti > 255:

\b(?:(?:25[6-9]|2[6-9]\d|[3-9]\d{2})\.\d{1,3}\.\d{1,3}\.\d{1,3}|\d{1,3}\.(?:25[6-9]|2[6-9]\d|[3-9]\d{2})\.\d{1,3}\.\d{1,3}|\d{1,3}\.\d{1,3}\.(?:25[6-9]|2[6-9]\d|[3-9]\d{2})\.\d{1,3}|\d{1,3}\.\d{1,3}\.\d{1,3}\.(?:25[6-9]|2[6-9]\d|[3-9]\d{2}))\b

Parole chiave mirate (da usare con prudenza in regole temporanee):

(?i)\b(teams\s+survey|iphone\s15\spro|you\s+are\s+one\s+of\s+the\s+winner)\b

Template di policy Safe Links (spunti)

• Attiva “Applica a Microsoft Teams”.
• Blocca il click‑through agli URL rilevati come malevoli.
• Abilita l’analisi in tempo reale e la riscrittura coerente.
• Escludi eccezioni solo per applicazioni/business critical verificate.

Roadmap di miglioramento continuo

1. Mensile: revisione indicatori, aggiornamento liste allow/deny in Teams, verifica MFA coverage = 100%.
2. Trimestrale: simulazione phishing, tabletop exercise, tuning di Safe Links/Attachments.
3. Semi‑annuale: audit delle mail flow rules, verifica allineamento DMARC dei partner, pen‑test di social engineering.

---

Conclusione
Contrastare la truffa “Teams Survey” richiede una combinazione di tecnologia (Safe Links/Attachments, regole di trasporto, anti‑impersonation), processo (segnalazione e playbook) e persone (formazione mirata). Con pochi interventi mirati, la tua organizzazione può alzare significativamente l’asticella difensiva contro questa e future varianti della stessa campagna.

Ricorda: quando appare un premio troppo bello per essere vero, lo è.