Phishing Microsoft 365 scolastico: e‑mail che minaccia la disattivazione dell’account — come riconoscerla e cosa fare

Stanno circolando e‑mail che minacciano la disattivazione immediata dell’account scolastico Microsoft 365 e invitano a “verificare” l’account copiando un URL sospetto. Qui trovi una guida completa per riconoscerle, evitarle e intervenire in modo sicuro, anche se il link è stato aperto o hai inserito le credenziali.

Panoramica della truffa

Numerosi utenti hanno ricevuto un messaggio che recita (o molto simile):

«Questa è l’ultima notifica: interromperemo l’elaborazione delle e‑mail sul tuo account scolastico perché non hai verificato l’account Microsoft; potremmo eliminarlo definitivamente nelle prossime ore. Per verificare, copia e incolla questo URL …»

Risposta breve: si tratta di phishing. Il testo fa leva su urgenza e paura per indurre a cliccare su un collegamento non ufficiale (ad es. su un dominio del tipo …ukit.me) e rubare le credenziali. Microsoft e gli atenei non richiedono di “copiare e incollare un URL” non istituzionale né minacciano la cancellazione dell’account “nelle prossime ore”.

Segnali che smascherano il phishing

• Urgenza artificiale: “ultima notifica”, “entro poche ore”, “account bloccato”.
• Dominio di destinazione anomalo: il link rimanda a domini che non appartengono a Microsoft o alla tua scuola (per esempio ukit.me, generatori di pagine, shortener o domini senza rapporto con l’istituzione).
• Istruzioni sospette: “copia e incolla l’URL” invece di usare i canali ufficiali.
• Testo generico: nessun riferimento preciso al tuo nome, corso o reparto IT.
• Grafica/lingua incoerente: loghi sgranati, errori, formattazione non conforme agli standard Microsoft.
• Richiesta di credenziali o MFA: ti chiede username, password o codici di autenticazione in pagine non istituzionali.

Come leggere correttamente un dominio

Nel link microsoft.com.ukit.me/login il dominio registrabile è ukit.me (non “microsoft.com”): quindi è un sito terzo, con “microsoft.com” usato solo come sottodominio per ingannare. Verifica sempre la parte finale del dominio (subito prima della sigla di primo livello, es. .com o .edu), non l’inizio.

Azioni immediate in base allo scenario

Segui il percorso che corrisponde alla tua situazione. Ogni scenario è pensato per ridurre il rischio e riprendere il controllo dell’account.

Hai solo ricevuto l’e‑mail e non hai cliccato

• Non aprire link o allegati.
• Segnala la mail come phishing in Outlook (voce Segnala → Phishing).
• Elimina il messaggio e blocca il mittente.
• Avvisa i colleghi o compagni, in particolare se il messaggio sembra provenire da contatti interni.

Hai cliccato il link ma non hai inserito credenziali

• Chiudi la scheda del browser e svuota cache e cookie dell’ultimo giorno.
• Esegui una scansione antivirus/antimalware sul dispositivo.
• Monitora nelle ore successive eventuali notifiche di accesso sospette o richieste di approvazione MFA inattese.

In assenza di inserimento credenziali, la compromissione è improbabile. Mantieni comunque l’attenzione per qualche giorno.

Hai inserito username e password

1. Cambia immediatamente la password dell’account Microsoft 365 scolastico da un dispositivo sicuro.
2. Abilita (o rafforza) l’autenticazione a più fattori (MFA): aggiungi Microsoft Authenticator o un altro metodo verificato.
3. Termina le sessioni attive dell’account e forza la riautenticazione su tutti i dispositivi.
4. Controlla le regole di posta in Outlook: elimina regole sconosciute e disattiva eventuali inoltri verso indirizzi esterni.
5. Verifica le attività di accesso (accessi recenti, località, dispositivi) e segnala eventi anomali al supporto IT.
6. Se la stessa password è usata altrove, modificala ovunque per prevenire il credential stuffing.
7. Avvisa l’help‑desk IT dell’istituto: potrebbero disabilitare temporaneamente l’account, forzare il reset delle sessioni e controllare i log.

Hai inserito le credenziali e approvato un codice MFA o un consenso app

• Tratta l’account come compromesso: oltre ai passi sopra, contatta subito l’IT per revocare token e sessioni.
• Rimuovi eventuali applicazioni collegate non riconosciute dall’area “App e servizi con accesso all’account”.
• Se hai approvato un push MFA che non riconosci, reimposta i metodi MFA e valuta la sostituzione del telefono se compromesso.

Procedura passo‑passo in Outlook e Microsoft 365

Segnalare il messaggio come phishing

• Outlook sul Web: apri il messaggio → Altre azioni (⋯) → Segnala → Phishing.
• Outlook per desktop: usa il componente aggiuntivo Segnala messaggio (Report Message) se presente, oppure Junk → Phishing.
• Outlook per dispositivi mobili: apri il messaggio → menu → Segnala → Phishing.

Bloccare il mittente

• Impostazioni → Posta indesiderata → Mittenti bloccati → Aggiungi indirizzo o dominio → Salva.

Controllare regole e inoltri

• Regole: Impostazioni → Posta → Regole. Elimina regole che spostano posta in cartelle nascoste o segnano tutto come letto.
• Inoltro: Impostazioni → Posta → Inoltro. Disabilita inoltri verso indirizzi esterni non autorizzati.

Cambiare la password e rivedere i metodi MFA

• Password: accedi al portale dell’account Microsoft 365 → Sicurezza → Password → imposta una nuova password robusta e univoca.
• MFA: Sicurezza → Informazioni di sicurezza → verifica i metodi configurati, rimuovi quelli sconosciuti, aggiungi Microsoft Authenticator o SMS di backup.

Terminare le sessioni e rivedere le attività

• Sessioni attive: nell’area account, esci da tutti i dispositivi non riconosciuti.
• Accessi recenti: consulta la cronologia di accesso e segnala “Non ero io” per tentativi non autorizzati.

Tabella di risposta e soluzione

Problema	Soluzione pratica	Note aggiuntive
Il messaggio è autentico?	No. È riconosciuto come phishing: • Microsoft non invia e‑mail con URL non ufficiali né minaccia la cancellazione in poche ore. • Il dominio …ukit.me non appartiene né a Microsoft né all’università.	Confronta sempre il dominio del link con quello ufficiale (ad es. microsoft.com, outlook.com, o il dominio della tua scuola).
Cosa fare se hai solo ricevuto l’e‑mail?	• Non aprire link o allegati. • Elimina il messaggio. • Segnala come phishing in Outlook (“Segnala → Phishing”). • Aggiungi il mittente all’elenco bloccati.	Segnalare aiuta Microsoft a rafforzare i filtri antispam e a proteggere altri utenti.
Hai cliccato sul link ma non hai inviato le credenziali?	Rimuovere la pagina dal browser e svuotare la cache. In genere non c’è compromissione se le credenziali non sono state inviate.	Come precauzione esegui una scansione antivirus/antimalware.
Hai inserito e confermato le credenziali?	1. Cambia subito la password dell’account Microsoft/scolastico. 2. Abilita l’autenticazione a più fattori (MFA) se non già attiva. 3. Controlla log di accesso o “Sessioni attive” in Outlook/Azure AD e termina quelle sospette. 4. Avvisa l’help‑desk IT della tua scuola.	Se usi la stessa password altrove, cambiala anche lì.
Buone pratiche preventive	• Mantieni aggiornati sistema operativo e antivirus. • Diffida di messaggi che creano urgenza (“ultimo avviso”, “entro poche ore”). • Passa il puntatore sul link per verificare l’URL reale prima di cliccare. • Non riutilizzare password tra account diversi.	La combinazione MFA + password univoca riduce drasticamente il rischio di compromissione.

Controlli aggiuntivi consigliati

• Cartelle e regole nascoste: ispeziona Posta inviata, Posta eliminata, Archivio e regole che marcano tutto come letto o spostano messaggi in cartelle poco visibili.
• Deleghe e accessi condivisi: rimuovi deleghe non attese a caselle o calendari.
• App password: se presenti, revocale e crea nuove credenziali applicative solo se strettamente necessario.
• Consenso OAuth: verifica App con accesso all’account ed elimina quelle non riconosciute.

Dieci pratiche di prevenzione efficaci

1. Usa MFA su tutti gli account critici, non solo Microsoft 365.
2. Password uniche e robuste: gestore password consigliato.
3. Diffida dell’urgenza: prendi tempo, contatta il supporto ufficiale.
4. Verifica il dominio passando il puntatore sul link o toccando a lungo su mobile per vedere l’URL reale.
5. Evita di cliccare da e‑mail: se devi “verificare” l’account, apri il portale ufficiale digitando l’indirizzo manualmente nei preferiti.
6. Aggiornamenti regolari di sistema, browser e suite di sicurezza.
7. Formazione periodica su phishing, smishing e vishing.
8. Backup dei dati importanti (OneDrive, versioni dei file) per mitigare i danni.
9. Alert di sicurezza attivati sull’account (notifiche di accesso da nuovi dispositivi).
10. Regole di inoltro esterno disabilitate a meno di esigenze specifiche.

Domande frequenti

Microsoft può davvero disattivare l’account senza preavviso “nelle prossime ore”?

No. Eventuali comunicazioni ufficiali dell’istituzione o di Microsoft seguono canali e domini ufficiali e non chiedono di usare link terzi o pagine “clone”.

E se la mail sembra provenire dal dominio della scuola?

È possibile il spoofing o la compromissione di una casella interna. Non fidarti dei soli campi Da: o del nome visualizzato: valuta sempre il dominio di destinazione del link e segnala all’IT.

Ho aperto la pagina e il browser mi ha chiesto di salvare la password: che faccio?

Annulla il salvataggio e cambia subito la password se l’hai già digitata. Elimina eventuali salvataggi automatici nel gestore del browser.

Ho dato consenso a un’app “Microsoft” che non ricordo

Revoca l’accesso dall’area di gestione delle app collegate all’account e segnala all’IT: potrebbe trattarsi di consent phishing, tecnica che sfrutta autorizzazioni OAuth anziché rubare direttamente la password.

Come riconosco un dominio omografo o internazionale sospetto?

Attenzione agli IDN e all’uso di caratteri simili (es. microѕoft.com con la “s” cirillica). Se qualcosa “stonA”, non procedere: digita manualmente l’indirizzo ufficiale.

Per i team IT e gli amministratori

Se un utente ha interagito con la campagna:

• Forza il reset della password e la rotazione dei token di sessione.
• Verifica sign‑in sospetti e rischi utente; esegui investigation e containment sui dispositivi coinvolti.
• Controlla e rimuovi inoltri esterni, regole anomale e deleghe. Valuta l’applicazione di transport rules per bloccare domini e URL noti della campagna.
• Applica o rafforza criteri di Conditional Access e Security Defaults. Disabilita l’autenticazione legacy se non indispensabile.
• Attiva protezioni avanzate su posta e identità (analisi degli allegati, riscrittura dei link, isolamento delle URL).
• Comunica tempestivamente all’utenza con esempi di messaggi legittimi vs fraudolenti e indicazioni chiare su come segnalare.

Checklist rapida di risposta all’incidente

• Segnala e isola il messaggio di phishing.
• Cambia password e verifica MFA.
• Termina sessioni e revoca token/app collegate.
• Controlla regole di posta e inoltri.
• Scansione antimalware sul dispositivo.
• Monitora accessi e notifiche nei giorni successivi.
• Informa l’help‑desk/IT con data, ora, oggetto e mittente del messaggio.

Modello di comunicazione interna riutilizzabile

Oggetto: Attenzione a e‑mail che minacciano la disattivazione dell’account Microsoft 365

Stiamo rilevando e‑mail di phishing che chiedono di “verificare l’account” entro poche ore tramite link non ufficiali. Non cliccare. Segnala il messaggio in Outlook (Segnala → Phishing) ed eliminalo. Se hai inserito credenziali, cambia subito la password, attiva MFA e avvisa l’assistenza IT.

Riferimenti utili

• Bloccare mittente in Outlook: Impostazioni ► Posta indesiderata ► Mittenti bloccati.
• Segnalare phishing: seleziona la mail ► Segnala ► Phishing.
• Guida ufficiale Microsoft: “Proteggersi dalle truffe di phishing”.

Approfondimento: perché l’email citata non è autentica

Oltre ai segnali evidenti, la struttura del testo è stata progettata per superare i filtri tecnici facendo leva sul fattore umano. L’invito a “copiare e incollare l’URL” riduce la tracciabilità dei filtri antiphishing che ispezionano i link cliccati direttamente nella mail. Inoltre, la minaccia di cancellazione dell’account “nelle prossime ore” è una classica tecnica di social engineering per impedire la verifica con l’IT o con un docente. Infine, l’uso di domini terzi come ukit.me o pagine ospitate su generatori di siti consente ai truffatori di creare in pochi minuti landing page visivamente simili, ma prive di certificati e impostazioni di sicurezza tipiche dei portali istituzionali.

Linee guida per password e MFA

• Lunghezza prima di tutto: una passphrase di 14‑20 caratteri è più resistente di password brevi con caratteri speciali casuali.
• Univocità: non riutilizzare mai la password della scuola per servizi personali o social.
• MFA pratico: preferisci app di autenticazione a SMS; mantieni un secondo metodo di recupero.
• Gestore password: memorizza in modo sicuro le credenziali e genera password robuste.

Glossario minimo

• Phishing: tentativo fraudolento di ottenere dati sensibili inducendo l’utente a cliccare su link o fornire credenziali.
• MFA: autenticazione a più fattori; richiede almeno due prove d’identità (password, app, token, biometria).
• Consent phishing: truffa che mira a farsi concedere permessi su un account tramite autorizzazioni applicative.
• Credential stuffing: tentativo di accesso con credenziali rubate da altri servizi, sfruttando riutilizzi di password.

Conclusioni operative

Se ricevi e‑mail che minacciano la disattivazione dell’account Microsoft 365 scolastico e ti impongono “verifiche” urgenti tramite link non istituzionali, trattale come phishing: non cliccare, segnala, elimina. Se hai condiviso credenziali, agisci subito: cambio password, MFA, controllo regole e sessioni, supporto IT. Con poche abitudini mirate – URL verificate, password uniche, MFA – il rischio di compromissione si abbassa drasticamente.

---