E‑mail “Critical Security Update” di Microsoft: truffa phishing? Segnali, verifiche e soluzione con Defender

Hai ricevuto una e‑mail dal presunto “Microsoft Security Team” con oggetto “Critical Security Update” che parla di trojan, keylogger o spyware e ti chiede di installare un “Microsoft‑Recommended Antivirus Software”? È quasi certamente una truffa di phishing. Ecco come riconoscerla e cosa fare subito.

Cos’è il messaggio “Critical Security Update” e perché lo ricevi

Da alcune settimane circolano e‑mail che imitano lo stile di Microsoft e annunciano la presenza di “infezioni gravi” sul PC (es. “Trojan 32/Hoax.Renos”, keylogger, spyware). Il messaggio invita a cliccare su un pulsante o un link per scaricare un fantomatico Microsoft‑Recommended Antivirus Software, o a contattare un numero di telefono per assistenza. Lo scopo reale è indurti a:

• visitare un sito falso e inserire credenziali (phishing),
• scaricare un programma malevolo (malware),
• consentire il controllo remoto del PC a un truffatore (tech‑support scam),
• pagare per un “abbonamento di sicurezza” inesistente.

Risposta breve: è una truffa, non un avviso legittimo

Per gli utenti Windows domestici e la maggior parte dei professionisti, Microsoft Defender non invia report di minacce via e‑mail. Le notifiche avvengono localmente sul dispositivo, attraverso il Centro sicurezza di Windows. Inoltre, i messaggi fraudolenti usano spesso mittenti che non appartengono a domini Microsoft (ad esempio indirizzi generici o domini appena registrati) e contengono link a siti che nulla hanno a che fare con microsoft.com. Anche la nomenclatura delle minacce è spesso sbagliata o artificiosa: la famiglia “Trojan 32/Hoax.Renos”, ad esempio, imita la sintassi Microsoft senza rispettarla davvero, e viene utilizzata proprio per spaventare.

Nota per ambienti aziendali: in contesti enterprise può esistere una messaggistica di allerta rivolta agli amministratori (es. Defender for Endpoint/Office), ma non invita a installare antivirus tramite link e si limita a segnalare eventi su portali ufficiali. Se ricevi un’e‑mail che propone installazioni o richieste urgenti, trattala come sospetta.

Tabella rapida: problema, soluzione, dettagli

Problema	Soluzione proposta	Dettagli operativi
Autenticità dell’e‑mail	È phishing/scam.	Microsoft Defender non invia report via e‑mail agli utenti consumer. Il mittente non usa domini Microsoft veri (microsoft.com / sottodomini ufficiali). La formattazione e la sintassi delle minacce sono spesso scorrette.
Come verificare	Controllare mittente e link.	Apri le intestazioni complete e ispeziona l’URL reale. Se il dominio non è Microsoft, elimina. In dubbio, non cliccare né scaricare allegati.
Protezione del PC	Usa l’antivirus già installato.	Su Windows 10/11 esegui una scansione manuale con Microsoft Defender; in alternativa, usa il tuo AV affidabile. Valuta l’analisi offline.
Segnalazione dell’e‑mail	Inoltra come phishing.	Segnala tramite la funzione Segnala messaggio > Phishing di Outlook. Puoi inoltrare la mail a: phish@office365.microsoft.com (tenant Microsoft 365) e reportphishing@apwg.org.
Richieste di telefonate	Ignora e non richiamare.	Chi ti chiede di installare software o di avviare un controllo remoto del PC è quasi certamente un truffatore.

Segnali che tradiscono l’inganno

Segnale	Perché è sospetto	Cosa osservare
Mittente “Microsoft Security Team”	La visualizzazione del nome è falsificabile.	Controlla l’indirizzo reale dopo il nome. Diffida di domini look‑alike (es. “micr0soft‑secure.com”, “microsoft‑help‑support.net”).
Oggetto allarmistico: “Critical”, “Immediate Action Required”	La pressione psicologica è una tecnica tipica del phishing.	Toni perentori, scadenze fittizie, minacce di blocco account o sanzioni.
Elenco di minacce dal nome insolito	Spesso la nomenclatura non rispetta gli standard Microsoft.	Stringhe come “Trojan 32/Hoax.Renos” o “Worm32-Keylogger” sono indizi di falsificazione.
Link a “Microsoft‑Recommended Antivirus”	Microsoft non distribuisce antivirus tramite e‑mail.	Passa il mouse sul link e verifica il dominio reale (senza cliccare). Se non è microsoft.com, elimina.
Allegati eseguibili o archivi	Veicolano downloader o infostealer.	.exe, .msi, .scr, .zip, .rar, false fatture in .pdf.exe con estensioni nascoste.
Richiesta di telefonare a un numero	È lo schema classico dei “tech‑support scam”.	Operatori che chiedono carte di credito, dati personali o controllo remoto.

Come verificare in sicurezza (senza rischiare clic indesiderati)

1. Non interagire con link o allegati. Se devi ispezionare un URL, copia l’indirizzo (clic destro > copia collegamento) e incollalo come testo in un editor per vedere il dominio.
2. Controlla le intestazioni complete del messaggio:
   • Outlook Desktop: apri la mail > File > Proprietà > sezione Intestazioni Internet.
   • Outlook sul Web: apri la mail > menu … > Visualizza > Visualizza intestazioni del messaggio.
   Verifica:
   • Return‑Path e catena Received coerenti con un dominio Microsoft.
   • Risultati SPF/DKIM/DMARC: se falliscono, altissima probabilità di spoofing.
3. Controlla il dominio di destinazione: i link legittimi Microsoft risiedono su domini ufficiali (microsoft.com e sottodomini strettamente correlati). URL con ortografie alterate, IDN o path confusi sono segnali d’allarme.

Cosa fare subito

Se non hai cliccato nulla

• Segnala il messaggio con Segnala messaggio > Phishing in Outlook e spostalo nel Cestino.
• Facoltativo: inoltra una copia a phish@office365.microsoft.com (se usi Microsoft 365) e a reportphishing@apwg.org.
• Blocca il mittente e valuta di creare una regola per cestinare automatiche future varianti.

Se hai cliccato il link ma non hai inserito dati né scaricato file

1. Chiudi la scheda del browser e svuota cache e cookie del sito visitato.
2. Cambia le password sensibili se temi che possano essere state intercettate da estensioni o pagine malevole (almeno account Microsoft ed e‑mail).
3. Avvia una scansione completa con Microsoft Defender (vedi sotto).
4. Attiva o verifica l’autenticazione a più fattori sugli account principali.

Se hai inserito credenziali o installato un “antivirus” proposto dalla mail

1. Disconnetti temporaneamente il PC da Internet (stacca rete o disattiva Wi‑Fi).
2. Avvia un’analisi offline con Microsoft Defender (riavvio richiesto; guida sotto).
3. Cambia subito le password degli account compromessi da un dispositivo sicuro e abilita MFA.
4. Termina sessioni attive ed esegui il logout da tutti i dispositivi dove possibile.
5. Se hai installato software sospetto, rimuovilo e ripeti una scansione completa. In caso di comportamenti anomali persistenti, valuta un ripristino o la reinstallazione pulita del sistema.

Protezione con Microsoft Defender su Windows 10/11

Aggiornare definizioni e motore

1. Vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e installa gli aggiornamenti.
2. Apri Sicurezza di Windows > Protezione da virus e minacce e verifica che le definizioni siano aggiornate.

Scansione rapida, completa e offline

1. Scansione rapida: Sicurezza di Windows > Protezione da virus e minacce > Opzioni di analisi > Analisi rapida.
2. Scansione completa: stessa schermata > Analisi completa (richiede più tempo, consigliata se hai interagito con la mail).
3. Analisi di Microsoft Defender Offline: Opzioni di analisi > Analisi di Microsoft Defender Offline > Analizza. Il PC si riavvia e scansiona prima dell’avvio di Windows, utile contro minacce radicate.

Comandi PowerShell utili (amministratore)

# Aggiorna le firme
Update-MpSignature

Scansione rapida

Start-MpScan -ScanType QuickScan

Scansione completa

Start-MpScan -ScanType FullScan

Avvia una scansione offline (riavvia)

Start-MpWDOScan

Stato di Defender

Get-MpComputerStatus | Select AMServiceEnabled,AntispywareEnabled,AntivirusEnabled,RealTimeProtectionEnabled,IoavProtectionEnabled,AntivirusSignatureLastUpdated 

Verifica nei Registri eventi

Apri Visualizzatore eventi > Registri applicazioni e servizi > Microsoft > Windows > Windows Defender > Operational per controllare rilevamenti e azioni intraprese.

Buone pratiche aggiuntive per evitare truffe simili

1. Aggiorna regolarmente Windows e le definizioni di Defender.
2. Abilita MFA sugli account Microsoft e sulla tua e‑mail principale.
3. Diffida dei messaggi allarmistici con linguaggio urgente: è una tecnica per spingere a cliccare.
4. Non comunicare dati personali o il tuo numero di telefono in risposta a e‑mail non richieste.
5. Mostra le estensioni dei file in Esplora File per smascherare doppie estensioni (.pdf.exe).
6. Usa SmartScreen in Microsoft Edge e mantieni attive la Protezione basata sulla reputazione e il blocco app potenzialmente indesiderate (PUA).
7. Backup regolari su unità esterne o cloud (con versione dei file) per proteggerti da ransomware.

Come segnalare in modo efficace

• Outlook: usa Segnala messaggio > Phishing per inviare l’e‑mail ai filtri di Microsoft.
• Tenant Microsoft 365: inoltra a phish@office365.microsoft.com.
• Condivisione con la comunità: inoltra a reportphishing@apwg.org per aiutare la messa in blacklist.
• Non inoltrare come screenshot: invia l’e‑mail originale come allegato (.eml/.msg) quando possibile, così si preservano le intestazioni.

Per amministratori IT: misure consigliate

• Defender for Office 365: abilita Safe Links e Safe Attachments, imposta criteri di antiphishing avanzati con protezione impersonation su “Microsoft”, “Microsoft Support”, “Windows Security” e domini look‑alike.
• Autenticazione e anti‑spoofing: configura SPF, DKIM e DMARC con p=quarantine/ reject. Monitora i report aggregati.
• Outlook Reporting Add‑in: rendi visibile il pulsante di Report Phishing e istruisci gli utenti all’uso.
• Blocchi mirati: regole di trasporto per rimuovere allegati eseguibili; disabilita macro da Internet con Mark‑of‑the‑Web.
• Hardening endpoint: ASR (Attack Surface Reduction), Controlled Folder Access, Network Protection, Credential Guard, riduzione privilegi locali.
• Formazione: simulazioni periodiche di phishing; playbook di risposta rapida per credenziali compromesse e host infetti.

Domande frequenti

Microsoft può avvisarmi via e‑mail se trova malware sul mio PC?

No, non nel contesto consumer standard. Defender avvisa localmente sul dispositivo. In aziende, possono esserci notifiche per gli amministratori, ma non includono link per installare software e non richiedono chiamate a numeri “di supporto”.

Come capisco se il link è davvero Microsoft?

Controlla il dominio principale: deve finire in microsoft.com (o un sottodominio ufficiale). Se vedi domini diversi, trattali come malevoli. Attenzione a ortografie creative e caratteri confusivi.

Ho già installato il “Microsoft‑Recommended Antivirus” proposto: sono compromesso?

Probabilmente sì. Disconnetti dalla rete, esegui l’analisi offline di Defender, rimuovi il programma e cambia le password. Se il sistema resta instabile, valuta un ripristino o reinstallazione pulita.

È utile usare un antivirus di terze parti oltre a Defender?

Defender è adeguato per la maggior parte dei casi d’uso e si integra con le protezioni di Windows. Un AV di terze parti può aggiungere funzioni (es. sandboxing, firewall avanzato), ma non sostituisce il buon senso e le pratiche MFA/aggiornamenti.

Procedura guidata passo‑passo (riassunto operativo)

1. Non cliccare su link o allegati dell’e‑mail “Critical Security Update”.
2. Verifica il mittente e le intestazioni: se il dominio non è Microsoft, cestina.
3. Segnala il messaggio con gli strumenti di Outlook e, se possibile, inoltralo a phish@office365.microsoft.com e reportphishing@apwg.org.
4. Scansiona il PC con Defender (analisi completa; se in dubbio, anche offline).
5. Cambia password e abilita MFA se hai interagito con il contenuto.
6. Forma l’abitudine: diffida di urgenze e richieste di installazione via mail.

Checklist rapida per riconoscere l’e‑mail falsa

• Il mittente non termina con @…microsoft.com.
• Il link “Scarica antivirus” non punta a un dominio Microsoft.
• Oggetto e testo trasmettono urgenza e minacce vaghe.
• Sintassi delle minacce non standard (es. “Trojan 32/Hoax.Renos”).
• Richieste di telefonate o controllo remoto.
• Allegati eseguibili o archivi compressi.

Modello di risposta da usare in azienda (copia‑incolla)

Oggetto: Segnalazione phishing – “Critical Security Update” (falso Microsoft)

Ciao,
la mail ricevuta con oggetto “Critical Security Update” non è di Microsoft.
Non cliccare link, non aprire allegati e non chiamare numeri indicati.
Segnalala usando “Segnala messaggio > Phishing” in Outlook e cancella la copia.

Se hai cliccato o inserito credenziali:

1. Cambia subito la password (e abilita MFA).
2. Esegui una scansione completa/Offline con Microsoft Defender.
3. Avvisa il supporto IT per la verifica del dispositivo.

Grazie per la collaborazione. 

Approfondimento: perché questi messaggi funzionano e come disinnescarli

I truffatori combinano elementi psicologici e tecnici. La leva emotiva (“urgenza”, “perdita di dati”, “account bloccato”) riduce la soglia di attenzione; l’uso di loghi, sfondi blu e diciture come “Security Team” crea un’aura di legittimità. Dal lato tecnico, sfruttano domini registrati di recente, URL accorciati e kit di phishing che mimano pagine Microsoft o pannelli d’installazione. Alcuni allegati contengono loader che scaricano infostealer in grado di rubare password salvate nel browser.

La contromisura più efficace, oltre alla tecnologia (filtri, sandbox, reputazione), resta una cultura della verifica: fermarsi, controllare il dominio, leggere le intestazioni, cercare incongruenze linguistiche. Una manciata di secondi spesi in verifica evita ore di bonifica e potenziali perdite economiche.

Conclusioni

L’e‑mail “Critical Security Update” non è un avviso reale di Microsoft ma un tentativo di phishing progettato per sottrarre credenziali o installare malware. Trattala come potenzialmente pericolosa: non interagire, verifica mittente e link, segnala, quindi esegui i controlli con Microsoft Defender. Con aggiornamenti regolari, MFA e buone abitudini, riduci drasticamente la superficie d’attacco e impedisci ai truffatori di avere successo.

---

Riepilogo tascabile

• Defender non manda e‑mail di allerta ai privati.
• Link di installazione via e‑mail = truffa.
• Controlla sempre dominio e intestazioni.
• Segnala, elimina, scansiona con Defender.
• MFA e aggiornamenti sono la prima linea di difesa.

Seguendo questi passaggi si evita di installare malware, di fornire dati sensibili ai criminali informatici e di cadere in ulteriori tentativi di frode.