La campagna di callback per la reimpostazione della password di Amazon sfrutta l’infrastruttura di notifica legittima
7 aprile 2026
Di Ankit Gutpa, Andrew Gosney, Hiwot Mendahun, Samantha Clarke e il team di ricerca sulle minacce di Mimecast
- Nel corso delle prime tre settimane di marzo, gli autori delle minacce hanno inviato circa 67.000 messaggi di richiamo utilizzando notifiche autentiche di Amazon relative al recupero della password
- La campagna sfrutta l’infrastruttura legittima di Amazon SES con un’autenticazione DKIM valida
- La catena di inoltro tramite Proton e Microsoft 365 SRS ha amplificato la diffusione di un single messaggio a migliaia di destinatari
Panoramica della campagna
Nel marzo 2026, il team Mimecast Threat Research ha individuato una campagna di phishing di tipo “callback” che sfruttava a fini malevoli il sistema di notifica per il recupero della password di Amazon. A differenza del phishing tradizionale, che si basa su domini simili o attacchi basati su link, questa campagna ha sfruttato l’infrastruttura legittima di Amazon per inviare a grande velocità messaggi di ingegneria sociale che ispiravano grande fiducia. Gli autori dell'attacco hanno preso il controllo di un account Amazon utilizzato per inviare notifiche relative al recupero della password e hanno inserito contenuti dannosi, tra cui istruzioni relative a un numero di telefono da ricontattare, nei campi del nome utente presenti nel modello di notifica. Il risultato: i messaggi superano tutti i controlli di autenticazione e vengono visualizzati come comunicazioni autentiche di Amazon.
L'esca: l'urgenza artificiale
I destinatari hanno ricevuto quella che sembrava essere una notifica legittima, secondo cui qualcuno aveva richiesto la reimpostazione della password sul loro account Amazon. Anziché inserire un link dannoso, il messaggio creava un senso di urgenza riguardo a un numero di telefono, invitando i destinatari a chiamare qualora non avessero richiesto la reimpostazione.
Questo modello di callback sposta deliberatamente il punto di attacco dai controlli di sicurezza delle e-mail e dai sistemi di valutazione della reputazione degli URL ai canali vocali, dove la verifica risulta più difficile e gli impostori possono adattare il proprio approccio in tempo reale. Se abbinato a un modello Amazon autenticato, il livello di fiducia da parte del destinatario aumenta in modo significativo.
Flusso tecnico del processo: l’inoltro come amplificazione
Il volume e la velocità della campagna derivavano da una catena di inoltro a più salti che trasformava un singolo messaggio accettato in una diffusione di massa:
- Creazione di un account Amazon: l’autore dell’attacco crea un account Amazon utilizzando un indirizzo di gruppo di Proton Mail e un nome utente del tipo [Non siete voi? Chiami subito: 1-(805) 334 9416]. È proprio questa manipolazione del nome utente a consentire alle notifiche automatiche di includere il contenuto dannoso impostato dall'autore della minaccia.
- Recupero della password: una volta creato l’account Amazon, l’autore dell’attacco avvia una procedura di recupero della password.
- Invio della notifica iniziale: la notifica per il recupero della password viene inviata all’indirizzo di gruppo di Proton Mail, con il nome utente alterato riportato all’interno della notifica stessa. La presente e-mail è stata inviata dal servizio di notifica ufficiale di Amazon e include tutte le intestazioni di autenticazione, quali SPF, DKIM e DMARC, provenienti dai servizi di Amazon.
- Inoltro tramite Proton: le e-mail inviate all’indirizzo del gruppo Proton Mail vengono quindi inoltrate a un tenant di Microsoft 365 di proprietà dell’autore dell’attacco o da lui compromesso, il quale includerebbe una serie di destinatari esterni.
- Amplificazione Microsoft: quando Microsoft riceve il messaggio inoltrato e completamente autenticato, lo prepara per la consegna all’elenco finale dei destinatari esterni. In queste campagne viene utilizzato il servizio SRS (Sender Rewrite Scheme) di Microsoft, che riscrive il mittente dell’involucro, indicando Microsoft come mittente ufficiale e aggiungendo le proprie autenticazioni valide (SPF/DKIM) per garantire la consegna. Inoltre, nelle intestazioni è presente l'autenticazione di Amazon, che risulta intatta.
- Invio esterno: i sistemi dei destinatari esterni verificheranno quindi l'autenticazione dell'e-mail. L'indirizzo "Da" visibile sarebbe l'indirizzo e-mail ufficiale di Amazon. Tuttavia, l’indirizzo sulla busta sarebbe un indirizzo associato a Microsoft, ad esempio [bounces+srs=v1zju=bn@[customer].onmicrosoft.com] e, grazie a un'autenticazione valida fornita da Microsoft tramite SRS, verrebbe identificato, consentendo a questa e-mail di superare tutti i controlli di autenticazione.
Tale amplificazione si basava sullo “Sender Rewriting Scheme” (SRS), un meccanismo legittimo di inoltro delle e-mail. Quando un’e-mail viene inoltrata, il mittente indicato nel campo “Envelope From” viene spesso modificato, in modo che eventuali errori di consegna vengano segnalati al sistema di inoltro anziché al mittente a monte. Se utilizzato in modo corretto, l’SRS consente un corretto flusso di posta attraverso le mailing list. In questo scenario di abuso, un hub che riceve un messaggio può inoltrarlo a numerosi destinatari nel giro di pochi secondi, con ogni fase di consegna che potrebbe presentare metadati del mittente modificati. Ulteriori informazioni sul servizio SRS di Microsoft sono disponibili qui.
Perché l'autenticazione non è sufficiente
Questa campagna mette in luce una lacuna fondamentale nella comprensione della sicurezza della posta elettronica. Le firme DKIM valide e i domini allineati confermano l'identità del mittente dell'e-mail, ma non verificano ogni singola parola contenuta nel corpo del messaggio. Quando un servizio consente l’inserimento di testo fornito dall’utente all’interno di un’e-mail generata dal sistema, tale testo diventa un contenuto controllato dall’autore dell’attacco all’interno di un involucro di elevata affidabilità. Per i difensori, la lezione è chiara: i meccanismi di autenticazione descrivono la provenienza dei messaggi, non la loro sicurezza. Le organizzazioni devono integrare l'analisi comportamentale, l'ispezione dei contenuti e la formazione degli utenti insieme ai protocolli di autenticazione.
Richiamata alla vittima
L'obiettivo principale di queste campagne è quello di indurre le vittime a chiamare il numero di telefono indicato nelle notifiche. Una volta stabilito il contatto, gli autori delle minacce possono ricorrere a tattiche avanzate di ingegneria sociale per sfruttare la vittima. Tali tattiche possono includere:
- Convincere gli utenti a scaricare strumenti di monitoraggio e gestione remota (RMM).
- Indirizzare gli utenti verso siti web dannosi.
- Estrazione di dati personali sensibili.
- Indurre gli utenti a effettuare pagamenti fraudolenti.
Tali campagne di callback sono estremamente pericolose in quanto aggirano le tradizionali misure di sicurezza della posta elettronica spostando l'attacco sui canali vocali, dove la verifica risulta più complessa.
Indicatori di compromissione (IOC)
Indirizzo e-mail nell'intestazione - (indirizzi legittimi da cui vengono inviate le notifiche di Amazon)
account-update@amazon[.]com
account-update@amazon[.]co[.]uk
Indirizzo e-mail del destinatario nell'intestazione
updates_a_ccs@groups[.]proton[.]me
notifications_a_dd@groups[.]proton[.]me
updates_a_bb@groups[.]proton[.]me
notifications_acc@groups[.]proton[.]me
updates_a_b@groups[.]proton[.]me
notifications_a_bb@groups[.]proton[.]me
notifications_a_b@groups[.]proton[.]me
membership-09293@groups[.]proton[.]me
user-09838@groups[.]proton[.]me
user-00837@groups[.]proton[.]me
notifications_a4@groups[.]proton[.]me
notifications_a3@groups[.]proton[.]me
notifications_a2@groups[.]proton[.]me
Argomenti
amazon.com: Recupero della password
amazon.com: Tentativo di accesso ai dati dell'account
Obiettivi
Focus geografico: le campagne hanno mostrato un orientamento verso diverse regioni, con un’elevata concentrazione negli Stati Uniti.
Settori verticali: in molti settori si osservano livelli leggermente più elevati nei settori legale e manifatturiero.
Raccomandazioni
- Si raccomanda di informare i dipendenti sulle caratteristiche specifiche di questa campagna e di adottare le migliori pratiche relative alle chiamate ai numeri di telefono indicati nelle e-mail non richieste. Dovrebbero invece accedere direttamente al sito web ufficiale del fornitore del servizio oppure utilizzare le informazioni di contatto già verificate in precedenza.
- Cercare nei registri delle e-mail ricevute i messaggi provenienti da Amazon e con gli oggetti elencati
Considerazioni a lungo termine
Le organizzazioni dovrebbero riconoscere che i servizi legittimi che prevedono campi di contenuto forniti dagli utenti costituiscono potenziali vettori di abuso. Valutate quali mittenti affidabili consentono la personalizzazione e informate gli utenti che l’autenticazione da sola non garantisce la sicurezza. Poiché gli autori delle minacce continuano a strumentalizzare infrastrutture legittime, le strategie di rilevamento devono evolversi: non basta più limitarsi a chiedersi “ "” chi ha inviato questo messaggio" a ", ma occorre chiedersi quale sia l’obiettivo di tale messaggio."
Mantenete il vostro vantaggio competitivo nell’ambito dell’intelligence sulle minacce
Unitevi alle migliaia di professionisti della sicurezza che si affidano ai nostri avvisi selezionati con cura, alle analisi degli esperti e agli IOC delle campagne per difendersi dalle più recenti minacce informatiche.
La registrazione è andata a buon fine
La ringraziamo per essersi iscritto per ricevere gli aggiornamenti relativi alle nostre notifiche sulle informazioni relative alle minacce.
Vi ricontatteremo!