È in circolazione una email fraudolenta che impersona il servizio finanziario Klarna. Il messaggio chiede al destinatario di “confermare” le proprie informazioni di contatto (email e numero di telefono) tramite un pulsante rosa. Si tratta di una truffa costruita con cura, che sfrutta sia un dominio email compromesso sia la piattaforma Microsoft Sway per rendere il messaggio più credibile. L’obiettivo è sottrarre dati personali e credenziali di accesso.
1. Analisi tecnica: mittente e infrastruttura dell’attacco
Esaminiamo nel dettaglio gli elementi tecnici dell’email ricevuta:
| Campo | Valore rilevato | Analisi |
| Nome visualizzato | Klarna | Falsificabile da chiunque — nessun valore probatorio |
| Dominio reale mittente | skargardsstiftelsen.ypbutiken.se | Dominio svedese estraneo a Klarna — account compromesso o abusato |
| Dominio atteso (legittimo) | klarna.com | Le email reali Klarna arrivano solo da @klarna.com |
| Piattaforma grafica | Microsoft Sway | Sway è uno strumento Office usato dai truffatori per ospitare pagine clone gratuitamente |
Il dettaglio di Microsoft Sway merita attenzione particolare: i criminali utilizzano sempre più spesso piattaforme legittime (Microsoft Sway, Google Sites, Notion, Canva) per ospitare le pagine di phishing. Questo permette di aggirare i filtri antispam, che tendono a fidarsi dei domini Microsoft o Google, e di non dover registrare un dominio falso.
2. Tecniche di manipolazione psicologica
Questa email utilizza diverse leve classiche dell’ingegneria sociale:
- Urgenza implicita: “è attualmente in attesa di conferma” — suggerisce che qualcosa è già in corso e che l’utente deve agire subito
- Tono neutro e professionale: il testo è grammaticalmente corretto e non contiene errori grossolani, a differenza dei phishing di bassa qualità
- Grafica identica al brand: colori rosa Klarna, font, layout — tutto riprodotto fedelmente per abbassare le difese
- Falsa urgenza mascherata da cortesia: “La tua collaborazione è importante” — suona come una richiesta ragionevole, non come un allarme
- Footer con indirizzo reale: “Sveavägen 46, 111 34 Stockholm” — indirizzo reale di Klarna copiato per dare credibilità
- Nota “Hai ricevuto questa email perché è necessaria un’azione richiesta” — mimicry di comunicazioni transazionali legittime
3. Il ruolo di Microsoft Sway in questo attacco
Microsoft Sway è un’applicazione inclusa in Microsoft 365 che consente di creare presentazioni e pagine web. I truffatori la scelgono per tre motivi principali:
- Le email che contengono link a sway.office.com vengono spesso considerate sicure dai filtri antispam aziendali
- Non è necessario registrare un dominio falso: basta creare un account Microsoft gratuito
- La pagina può essere resa visivamente indistinguibile da un sito ufficiale
Se il pulsante “Conferma adesso” porta a una pagina su sway.office.com o simili: non inserire mai nessun dato, indipendentemente da quanto sembri autentica.
4. Cosa fare
| ✔ FARE | ✘ NON FARE |
| Controlla sempre il dominio reale del mittente nella barra degli indirizzi del client email | Non cliccare su “Conferma adesso” o qualsiasi altro link nell’email |
| Accedi al tuo account Klarna digitando direttamente klarna.com nel browser | Non inserire email, numero di telefono o password su pagine raggiunte da link sospetti |
| Segnala l’email come phishing/spam nel tuo client (Thunderbird, Outlook, ecc.) | Non fidarti del nome visualizzato “Klarna”: verifica sempre il dominio dopo la @ |
| Se hai già cliccato e inserito dati, cambia subito la password Klarna e contatta il loro supporto ufficiale | Non considerare affidabile una pagina solo perché è ospitata su sway.office.com o Google Sites |
| Avvisa il reparto IT se ricevi questa email sulla casella aziendale | Non ignorare l’avviso di Thunderbird che ha bloccato i contenuti remoti: è un segnale di allarme |
Nota: Thunderbird, il client di posta utilizzato in questo caso, ha correttamente bloccato i contenuti remoti del messaggio e mostrato un avviso giallo. Questo comportamento è una funzione di protezione della privacy: non disabilitarlo mai. Il blocco delle immagini remote impedisce ai truffatori di sapere se l’email è stata aperta (tracking pixel).