Il punto:

Per aiutare l'utente a prestare maggiore attenzione alle e-mail provenienti da indirizzi non familiari, Microsoft 365 aggiunge un avviso all'e-mail che questo messaggio "Non ricevi spesso e-mail da xyz@example.com. Scopri perché è importante".
Il cosiddetto "First Contact Safety Tip" (parte di Exchange Online Protection (EOP) e Microsoft Defender).

• Non è abbastanza? Sì, forse, ma sicuramente meglio di niente e può attirare l'attenzione dell'utente. Siamo tutti d'accordo.
• Secondo i ricercatori che hanno identificato questa vulnerabilità, questa funzionalità può essere (facilmente) aggirata manipolando il CSS nelle e-mail HTML, consentendo la visualizzazione di messaggi dannosi senza l'avviso inteso a proteggere gli utenti.

How:

Il metodo prevede l'utilizzo di regole CSS specifiche per nascondere il suggerimento di sicurezza, rendendolo invisibile ai destinatari.

• Il CSS può essere applicato all'email per impedire che il suggerimento venga visualizzato, e modificare il colore del testo in bianco e la dimensione a zero, fondendolo efficacemente con lo sfondo.
  a { display: none; } td div { color: white; font-size: 0px; } [...]
• Questa tipo manipolazione può anche creare falso senso di sicurezza, falsificando le icone di sicurezza di Microsoft Outlook.

E ora?

Nonostante Certitude segnali questa vulnerabilità a Microsoft, l'azienda ha scelto di non affrontarla immediatamente, affermando che non soddisfa i propri criteri per un'azione urgente. Microsoft ha riconosciuto la validità dei risultati, ma ha indicato che sarebbe stata presa in considerazione per futuri miglioramenti del prodotto.
"Abbiamo stabilito che la tua scoperta è valida ma non soddisfa i nostri requisiti per un servizio immediato, considerando che è applicabile principalmente per gli attacchi di phishing. Tuttavia, abbiamo comunque contrassegnato la tua scoperta per una revisione futura come un'opportunità per migliorare i nostri prodotti. Microsoft MSRC, 14.02.2024".

Fonte: certitude consulting - o365-anti-phishing-measures