Hotmail hackerato? Truffa “Pegasus” su Outlook: come verificare e cosa fare

Hai ricevuto in Outlook per Android una e‑mail “da te stesso” che minaccia l’installazione dello spyware “Pegasus” e pretende bitcoin entro 48 ore? Nella stragrande maggioranza dei casi è una truffa. Qui trovi la guida pratica per verificare se l’account Hotmail/Outlook è davvero compromesso e come metterti al sicuro.

Cos’è successo e perché ti hanno scritto “da te stesso”

Si tratta di una campagna di phishing/estorsione (sextortion) che sfrutta lo spoofing, ossia la falsificazione del campo Da: di un messaggio. Chiunque può inviare e‑mail che sembrano provenire dal tuo indirizzo senza avere accesso al tuo account. L’obiettivo è spaventarti citando nomi ad effetto (“Pegasus”), imporre un ultimatum (48 ore) e imporre un pagamento in bitcoin.

Il riferimento a “Pegasus” è strumentale: è un malware avanzato usato in contesti ad alto profilo, non diffuso via e‑mail di massa. La presenza del messaggio in Posta indesiderata indica che i filtri di Outlook hanno già classificato correttamente la minaccia.

Che cosa fare subito: le azioni ad alto impatto

1. Non rispondere e non pagare. Non dialogare con chi estorce denaro.
2. Cambia la password dell’account Microsoft con una credenziale lunga, unica e casuale (almeno 14–16 caratteri, con passphrase o generatore).
3. Abilita la verifica in due passaggi (2FA) con Microsoft Authenticator (preferibile) o SMS se non hai alternative.
4. Controlla l’attività di accesso dal portale del tuo account Microsoft: confronta IP, località e dispositivo.
5. Verifica inoltri e regole in Outlook.com/Outlook: rimuovi inoltri non autorizzati e regole sospette.
6. Revisiona i metodi di recupero (e‑mail secondaria e numero di telefono): correggi quelli che non riconosci.
7. Esegui una scansione anti‑malware completa su tutti i dispositivi che usi per la posta (PC Windows, Mac, Android, iPhone/iPad).
8. Segnala l’e‑mail come phishing in Outlook e poi eliminala.
9. Valuta la denuncia se il messaggio contiene dati personali, minacce o tentativi di estorsione circostanziati.

Tabella riassuntiva: verifica & contromisure

Passaggio	Azione consigliata	Perché è utile
Controllo attività di accesso	Accedi al portale account Microsoft → Sicurezza → Rivedi attività di accesso. Verifica IP, posizione e dispositivo di ogni accesso.	Conferma se qualcuno è entrato davvero nel tuo account o se è solo spoofing.
Cambia subito la password	Imposta una password lunga, unica e casuale. Evita riutilizzo tra servizi.	Se qualcuno avesse la password, la nuova credenziale lo esclude immediatamente.
Abilita la verifica in due passaggi (2FA)	Nel pannello Sicurezza, attiva 2FA (Microsoft Authenticator o SMS).	Blocca chiunque conosca solo la password.
Controlla recupero e inoltri	In Opzioni di sicurezza avanzate verifica e‑mail/telefono di recupero; in Outlook verifica regole di posta e inoltri automatici; disattiva POP/IMAP se non indispensabili.	Un intruso spesso li modifica per mantenere l’accesso o intercettare la posta.
Scansione anti‑malware dispositivi	Windows Defender/Mac antivirus: analisi completa. Android: Play Protect o app affidabile; iOS: verifica profili e aggiornamenti.	Rimuove eventuali infezioni reali e riduce falsi allarmi.
Segnala e‑mail come phishing	In Outlook: Segnala > Phishing. Quindi elimina.	Migliora i filtri e non incoraggia gli estorsori.
Valuta la denuncia	Se ci sono minacce concrete o dati sensibili, segnala a Polizia Postale/Cybercrime locale.	Contribuisce a indagini su campagne di estorsione su larga scala.

Guida passo‑passo dettagliata

Verifica tecnica nell’account Microsoft

Rivedi attività di accesso: dopo l’autenticazione, entra nella sezione Sicurezza e apri Attività di accesso. Per ogni evento controlla:

• Data e ora (ricorda il fuso orario).
• Indirizzo IP e posizione stimata.
• Dispositivo e browser (ad esempio “Windows • Edge” o “Android • Outlook per Android”).
• Azione (accesso riuscito, tentativo bloccato, password cambiata, ecc.).

Se trovi qualcosa che non riconosci, usa l’opzione Non ero io o Proteggi l’account e segui la procedura guidata di messa in sicurezza (forza il cambio password, invalida sessioni sospette, richiede nuovo accesso sui dispositivi).

Cambio password efficace (senza ricadere nel riuso)

• Lunghezza > complessità: una passphrase di 4–5 parole casuali è più robusta e memorizzabile di simboli casuali corti.
• Unicità assoluta: usa un gestore di password per generare e memorizzare credenziali diverse per ogni servizio.
• Evita riferimenti personali (date di nascita, nomi, club, città).

Abilitazione 2FA con Microsoft Authenticator

1. Nel tuo account Microsoft vai su Sicurezza → Opzioni di sicurezza avanzate.
2. Attiva la Verifica in due passaggi e segui la procedura per associare l’app Microsoft Authenticator sullo smartphone (QR code).
3. Registra almeno due metodi (app + SMS o telefono fisso) per avere ridondanza.
4. Scarica e conserva i codici di recupero in un luogo sicuro (non nello stesso dispositivo).

Consiglio: se un vecchio client e‑mail non supporta la 2FA, non usare password di app; preferisci aggiornare o sostituire il client. In ogni caso, disattiva POP/IMAP se non sono strettamente necessari.

Regole di posta, inoltri e accessi “legacy”

Apri le Impostazioni di Outlook (l’icona a ingranaggio) → Posta → Regole. Elimina regole che:

• spostano messaggi in cartelle nascoste (es. RSS/Archivio/Conversazioni) senza motivo;
• inoltrano la posta a indirizzi esterni che non riconosci;
• contrassegnano come “letto” ogni nuovo messaggio.

Verifica anche Inoltro e le Opzioni di sincronizzazione (POP/IMAP/EAS). Disattiva tutto ciò che non usi. In Sicurezza del tuo account, controlla App e servizi con accesso e rimuovi le integrazioni che non riconosci.

Controllo dispositivi associati

Nella sezione Dispositivi del tuo account Microsoft verifica che compaiano solo PC, telefoni e console che riconosci. Rimuovi dispositivi non familiari. Questo non cancella i tuoi dati, ma invalida associazioni e accessi persistenti.

Capire lo spoofing: come leggere le intestazioni della e‑mail

La differenza tra “Da:” e l’autenticazione reale è tutta nelle intestazioni del messaggio. Su Outlook Web puoi aprire la e‑mail e scegliere Visualizza origine messaggio (o voce equivalente). Cerca in particolare:

• Authentication-Results: può contenere esiti come spf=fail, dkim=fail o dmarc=fail, tipici dello spoofing.
• Return-Path / Sender: spesso non coincidono con il tuo indirizzo.
• Received: catena di server: spedizione da IP/paesi anomali è un segnale d’allarme.

Se i risultati di SPF/DKIM/DMARC sono fail, il mittente non è autorizzato a usare il tuo dominio: l’account non è stato necessariamente violato, è solo stato falsificato l’indirizzo visibile.

Pulizia e controllo dei dispositivi

Windows

1. Apri Sicurezza di Windows → Protezione da virus e minacce → Opzioni di analisi → Analisi completa.
2. Facoltativo: esegui una Analisi offline di Microsoft Defender per scovare minacce che si nascondono all’avvio.
3. Aggiorna Windows e tutte le app (soprattutto browser e suite Office).
4. Controlla App & funzionalità e disinstalla software che non riconosci o che si è installato di recente senza motivo.

Android

1. Apri Play Store → Profilo → Play Protect → Scansiona.
2. Rimuovi APK installati da fonti sconosciute che non ricordi di aver autorizzato.
3. In Impostazioni → Sicurezza controlla i Servizi di accessibilità attivi: disabilita quelli non essenziali.
4. Aggiorna il sistema e le app; riavvia il dispositivo.

iPhone/iPad

• Aggiorna iOS/iPadOS all’ultima versione disponibile.
• Controlla Impostazioni → Generali → VPN e gestione dispositivo: rimuovi profili sconosciuti.
• Se sospetti un problema serio, effettua un backup e poi un ripristino impostando come nuovo dispositivo (non da backup) per escludere residui rari.

Perché “Pegasus” nella tua e‑mail è (quasi certamente) un bluff

• Targeting: spyware costosi di fascia governativa non si diffondono con e‑mail di massa.
• Tecnica: la dicitura generica “ti ho registrato” o “ho preso il controllo” è copia‑incolla senza prove tecniche (niente riferimenti al tuo device reale, niente indicatori verificabili).
• Pattern: ultimatum, richiesta Bitcoin, grammatica imperfetta e minacce iperboliche sono tipiche delle estorsioni via e‑mail.

Hai trovato segnali reali di compromissione? Cosa fare allora

Se nel pannello Attività di accesso compaiono connessioni che non riconosci, o in Outlook persistono inoltri e regole malevole, adotta questa procedura rafforzata:

1. Isola i dispositivi: scollegali da Wi‑Fi/ethernet finché non terminano le scansioni.
2. Cambia la password da un dispositivo pulito (es. un PC di fiducia aggiornato).
3. Revoca accessi OAuth: nel tuo account, rimuovi app/servizi terzi che hanno permessi sulla posta o sul profilo.
4. Controlla alias e indirizzi di inoltro creati di recente e rimuovi quelli sospetti.
5. Abilita 2FA su tutti i servizi collegati (posta, cloud, social) per limitare movimenti laterali.
6. Riesamina le cartelle (Posta inviata, Bozze, Posta eliminata): a volte restano tracce (messaggi automatici, test).
7. Monitora nei giorni successivi l’Attività di accesso per confermare che tutto sia rientrato.

Best practice di prevenzione (da mettere in agenda)

• 2FA su tutto: attivala su e‑mail, cloud, social, home banking.
• Gestore di password: riduce l’attrito e impedisce il riuso di credenziali.
• Aggiornamenti rapidi: sistema operativo e app sempre aggiornati (attiva gli update automatici).
• Filtri antispam al massimo: in Outlook imposta il livello più restrittivo che non crei falsi positivi per te.
• Consapevolezza: diffida di urgenze, minacce, richieste di denaro via cripto; verifica sempre prima di agire.
• Backup periodici: proteggono dai danni collaterali (furto, ransomware).
• Disabilita protocolli legacy (POP/IMAP) se inutili: riduci la superficie d’attacco.

FAQ rapide

Perché l’e‑mail appare come inviata dal mio indirizzo?

Perché il campo Da: è facile da falsificare. Quello che conta è l’autenticazione del dominio (SPF/DKIM/DMARC) e la storia degli accessi reali al tuo account. Se non ci sono accessi sospetti, l’account non è stato violato.

Devo formattare il PC/telefono?

No, tranne casi estremi. Una scansione completa + aggiornamenti + verifica dei profili e delle app installate è di solito sufficiente. Se hai installato APK non affidabili o hai effettuato jailbreak/root, considera un ripristino.

Ho già pagato: cosa faccio adesso?

Conserva le prove (e‑mail, ricevute, wallet usato). Sporgi denuncia. Cambia subito password e attiva 2FA. Gli estorsori spesso tornano a chiedere altro denaro: non rispondere.

Come riconosco in futuro e‑mail simili?

• Mittente sospetto o “da te stesso”.
• Minacce generiche, tempi stretti, richiesta di bitcoin.
• Errori grammaticali o traduzioni macchinose.
• Assenza di elementi verificabili (niente dettagli tecnici credibili).

Checklist operativa (scaricabile mentalmente, eseguibile subito)

• [ ] Ho segnalato come phishing ed eliminato il messaggio.
• [ ] Ho cambiato la password con una nuova, unica e lunga.
• [ ] Ho attivato e testato la 2FA con Microsoft Authenticator.
• [ ] Ho verificato l’Attività di accesso e non risultano accessi anomali.
• [ ] Ho rimosso regole/inoltri sospetti in Outlook.
• [ ] Ho revisionato metodi di recupero e revocato app/servizi inutili.
• [ ] Ho eseguito una scansione completa sui dispositivi.
• [ ] Ho aggiornato sistema e app.
• [ ] Ho disattivato POP/IMAP se non necessari.
• [ ] Ho valutato la denuncia se presenti minacce concrete.

Approfondimento: come interpretare l’“Attività di accesso”

Quando valuti la cronologia accessi, considera:

• Geo‑IP impreciso: la localizzazione può variare (VPN aziendali, reti mobili). Uno scostamento entro 100–200 km può essere normale.
• Famiglia di device: “Android” può apparire anche per client di terze parti; “iOS” per app Mail native.
• Eventi tecnici: tentativi bloccati non equivalgono a violazioni riuscite; sono spesso attacchi automatici respinti.

Ulteriori misure di buon senso

• Se usi lo stesso PC per lavoro e personale, separa i profili e limita i privilegi amministrativi.
• Evita estensioni browser superflue; rimuovi quelle che non usi più.
• Controlla periodicamente la cartella Posta inviata per messaggi che non riconosci.
• Non inviare mai documenti d’identità via e‑mail su richiesta non verificata.

Conclusioni

Una e‑mail che sostiene l’installazione di “Pegasus” e pretende un riscatto è, quasi sempre, una truffa di estorsione basata su spoofing. La verifica da fare è semplice: Attività di accesso dell’account, regole e inoltri in Outlook, 2FA attiva e scansioni complete sui dispositivi. Seguendo i passaggi di questa guida confermerai lo stato di sicurezza del tuo account, chiuderai eventuali vulnerabilità residue e potrai ignorare con serenità il tentativo di estorsione.

---

Appendice: guida rapida all’uso di Outlook per Android per segnalare phishing

1. Apri il messaggio nella cartella Posta indesiderata.
2. Tocca il menu (⋮) o l’icona Altro.
3. Seleziona Segnala → Phishing.
4. Conferma la segnalazione e elimina il messaggio.

Tip: se l’opzione non è visibile, assicurati di avere la versione più recente dell’app Outlook o apri l’account da browser/desktop per effettuare la segnalazione.

Appendice: esempi di regole/inoltri malevoli da cancellare

• Regola “USA: sposta tutto in Archivio” applicata a tutti i messaggi.
• Regola “Letto e spostato” che marca come letto i nuovi messaggi e li sposta in cartelle poco usate.
• Inoltro automatico verso domini sconosciuti (es. @proton.me, @outlook.xyz) non creati da te.

Appendice: come costruire una password a prova di estorsore

Usa una passphrase di 4–5 parole casuali separate da spazi o trattini, ad esempio scena‑pigna‑lanterna‑marmo, e aggiungi un elemento memorizzabile per i servizi più sensibili. Archivia il tutto in un gestore di password con sblocco biometrico e sincronizzazione cifrata.

---

In sintesi operativa: verifica accessi → cambia password → attiva 2FA → rimuovi inoltri/regole → scansioni complete → segnala il phishing. Niente panico, niente pagamenti.