Una mail con un codice Microsoft che non avete mai richiesto. Nessun accesso effettuato, nessuna password dimenticata, eppure nella casella di posta compare un messaggio che invita a usare un codice temporaneo per entrare nell’account. Una situazione che, come riportato dal Corriere della Sera, molti utenti stanno segnalando sempre più spesso e che, dietro un’apparente normalità, può nascondere un tentativo di truffa informatica. Non sempre, va detto, c’è da allarmarsi. Può capitare che qualcuno sbagli indirizzo email durante un accesso o che inserisca per errore un account simile al nostro. Ma in altri casi quel messaggio è il segnale che i propri dati stanno circolando all’interno di campagne automatiche portate avanti dai cybercriminali.

Il meccanismo più diffuso si chiama credential stuffing. In pratica, i cybercriminali utilizzano database di email e password finite online dopo vecchie violazioni di dati e le testano in automatico su servizi diversi, nel tentativo di trovare combinazioni ancora valide. Non si tratta quindi di attacchi “mirati”, ma di operazioni su larga scala gestite da software che provano migliaia di accessi al minuto. Se una persona ha riutilizzato la stessa password su più piattaforme, il rischio aumenta sensibilmente. In questi casi, infatti, una singola combinazione rubata può aprire più porte digitali, dall’email ai servizi Microsoft, fino ai social network o ad altri account collegati.