La tua tecnologia di difesa dei confini e dei margini è vulnerabile? Cosa puoi fare al riguardo?

A seguito di una serie di recenti eventi di alto profilo, le tecnologie di difesa perimetrale e di confine, come firewall, gateway VPN e sistemi di prevenzione delle intrusioni, hanno ricevuto molta attenzione sia dai ricercatori sulla sicurezza che dagli autori delle minacce.

Tra queste, una campagna di sfruttamento di massa contro i firewall Fortinet, l'interruzione di CrowdStrike dell'estate 2024 e l'uso di una vulnerabilità per disabilitare i firewall di Palo Alto, tra le altre, ognuna delle quali ha causato diversi livelli di interruzione. Le problematiche sono particolarmente preoccupanti perché colpiscono specificamente i sistemi utilizzati per proteggere le nostre reti dalle minacce.

Alcuni report recenti hanno rivelato che gli attacchi zero-day contro tali dispositivi sono rimasti attivi e inosservati per mesi prima di essere scoperti, con vulnerabilità rimaste inalterate anche dopo l'emissione delle patch. Pertanto, la necessità di un approccio più proattivo alla protezione dei dispositivi è più urgente che mai. Questo perché, se i criminali informatici riuscissero a mettere piede in queste tecnologie, potrebbero potenzialmente controllare l'intera rete dietro il dispositivo, nonché il flusso di traffico in uscita.

È tempo di essere proattivi

Ma come affrontare questi problemi? Dal punto di vista di chi si occupa di sicurezza, è importante comprendere che i dispositivi di sicurezza edge e border non sono intrinsecamente sicuri. Certo, svolgono un ruolo fondamentale e lo fanno da molti anni – ad esempio, i firewall sono utilizzati dal 75% delle aziende del Regno Unito – ma per garantire che rimangano idonei allo scopo, richiedono un approccio basato sulle best practice e aggiornamenti regolari.

A livello pratico, ciò può includere il controllo delle configurazioni dei dispositivi, la revisione e la modifica delle impostazioni predefinite di registrazione e avviso e la limitazione dell'esposizione delle interfacce di gestione e dei servizi sensibili alla rete Internet pubblica. Le organizzazioni dovrebbero inoltre pianificare i possibili scenari , inclusi quelli che presuppongono la compromissione dei dispositivi.

Si considerino, ad esempio, i rischi associati a dispositivi non configurati correttamente, che possono esporre involontariamente interfacce e protocolli di gestione a Internet e renderli visibili a chiunque desideri trovarli. Questo nonostante il fatto che, a meno che il servizio fornito non sia destinato al pubblico generale, relativamente poche tecnologie di difesa edge e border debbano essere completamente accessibili da Internet. L'accesso dovrebbe invece essere limitato su base zero trust/ needs - must.

Portando questo concetto ancora più in là, è anche una buona idea limitare le posizioni da cui è possibile accedere a un dispositivo di difesa perimetrale o di confine a posizioni prevedibili. In questa situazione, i team di sicurezza possono applicare più facilmente regole, autorizzazioni e controlli di accesso che attivano avvisi in caso di tentativi di accesso anomali. Un esempio di questo approccio è quando l'accesso al dispositivo viene instradato tramite una VPN o un jump box, il che garantisce che la posizione sia sempre prevedibile e sotto controllo. Per le organizzazioni in cui l'uso di una VPN non è un'opzione, l'accesso può essere limitato a posizioni fisiche specifiche per mantenere questo prezioso livello di controllo.

Essere proattivi in ​​materia di sicurezza dei dispositivi di difesa edge e border si basa anche su processi come i penetration test, che possono aiutare a identificare configurazioni errate e casi di accesso diretto a Internet indesiderato. Un approccio olistico che testa il maggior numero possibile di dispositivi esterni può garantire ai team di sicurezza un quadro completo di eventuali vulnerabilità legate all'accesso. Grazie a queste informazioni, è molto più facile ed efficace migliorare la sicurezza e garantire che la porta non venga inavvertitamente lasciata aperta.

Non tornare al valore predefinito

Un altro aspetto della difesa edge e border spesso trascurato è quando le organizzazioni si affidano alle impostazioni di log predefinite sui propri dispositivi, o dimenticano di aggiornarle, spesso inadeguate per tracciare e analizzare potenziali exploit di minacce. Inoltre, molte organizzazioni conservano i log dei dispositivi e i dati di avviso solo per poche settimane, un approccio che, in caso di incidente di sicurezza, rende più difficile condurre le necessarie analisi forensi e comprendere l'origine dell'attacco. Ciò è particolarmente vero nel caso di attacchi zero-day, in cui gli exploit possono rimanere attivi e non rilevati per settimane e persino mesi. Per rimanere proattive, le organizzazioni dovrebbero condurre analisi di log regolari (e idealmente in tempo reale) per identificare comportamenti anomali sulla rete e rilevare potenziali minacce.

Il messaggio generale dietro queste best practice è che questi dispositivi di sicurezza critici non sono semplicemente plug-and-play. Sebbene siano sempre più sofisticati e offrano diverse funzionalità di automazione, rimangono vulnerabili agli attacchi. Gli aggressori si affidano alle organizzazioni per dimenticare, ignorare o de-priorizzare la configurazione, la manutenzione e gli aggiornamenti. Prenderanno di mira le organizzazioni con difese deboli, punti di ingresso vulnerabili e che sono esposte a rischi da exploit zero-day e altri problemi di sicurezza specifici dei fornitori. Al contrario, i team di sicurezza in grado di colmare ogni falla di sicurezza relativa ai dispositivi possono garantire che le loro difese edge e border siano robuste e all'altezza della sfida di mantenere le reti sicure.

https://cybersecurity-magazine.com/is-your-edge-and-border-defence-tech-vulnerable-and-what-to-do-about-it/

Gli hacker nordcoreani sfruttano LinkedIn per infettare gli sviluppatori di criptovalute con infostealer

Se sei uno sviluppatore che lavora su progetti di criptovaluta, fai attenzione a chi cerca di assumerti su LinkedIn: potrebbero essere hacker nordcoreani.

In un rapporto del 14 aprile, l'Unità 42, divisione di ricerca di Palo Alto Networks, ha condiviso nuove scoperte su Slow Pisces, un gruppo di hacker affiliato al regime nordcoreano.

In una nuova campagna dannosa iniziata nel 2024, il gruppo si è spacciato per reclutatori su LinkedIn, prendendo di mira gli sviluppatori di progetti di criptovaluta con sfide di codifica dannose.

Queste sfide sfruttano le esche PDF, creando repository dannosi su GitHub che distribuiscono due nuovi payload malware, che i ricercatori dell'Unità 42 hanno chiamato RN Loader e RN Stealer.

Le esche PDF su LinkedIn portano a repository GitHub dannosi

Questa campagna si svolge in più fasi.

In primo luogo, gli hacker di Slow Pisces si spacciano per potenziali reclutatori su LinkedIn e interagiscono con i probabili obiettivi, inviando loro un PDF innocuo con una descrizione del lavoro. Gli obiettivi sono principalmente coinvolti in progetti di criptovaluta.

Esche PDF "benigne". Fonte: Unità 42, Palo Alto Networks

Se gli obiettivi sono validi, gli aggressori presentano loro una sfida di programmazione composta da diversi compiti delineati in un foglio di domande.

Questi fogli di domande in genere includono attività generiche di sviluppo software e una sfida di codifica di un "progetto reale", collegata a un repository GitHub.

I repository contengono codice adattato da progetti open source, tra cui applicazioni per la visualizzazione e l'analisi dei dati del mercato azionario, statistiche dei campionati di calcio europei, dati meteorologici e prezzi delle criptovalute.

"Il gruppo utilizzava principalmente progetti in Python o JavaScript, probabilmente a seconda che la vittima si candidasse per un ruolo di sviluppo front-end o back-end. Abbiamo anche individuato repository basati su Java in questa campagna, sebbene fossero molto meno comuni, con solo due casi in cui si spacciavano per un'applicazione di criptovaluta chiamata jCoin", si legge nel rapporto di Unit 42.

I ricercatori hanno aggiunto che potrebbero esistere repository non scoperti anche per altri linguaggi di programmazione.

Panoramica della campagna "Sfide di programmazione" di Slow Pisces. Fonte: Unità 42, Palo Alto Networks

I repository Python distribuiscono malware Infostealer

In genere, Slow Pisces utilizza repository con più fonti di dati, la maggior parte delle quali legittime e una dannosa.

Slow Pisces evita i metodi tradizionali di distribuzione del malware, facilmente rilevabili, confermando innanzitutto che il suo server di comando e controllo (C2) fornisca dati applicativi validi e previsti (come un elenco JSON di simboli aziendali S&P 500) al repository di destinazione.

Gli aggressori inviano quindi payload dannosi solo a obiettivi accuratamente convalidati in base a fattori quali indirizzo IP, geolocalizzazione, ora e intestazioni HTTP.

Concentrandosi sugli individui contattati tramite LinkedIn anziché condurre campagne di phishing su larga scala, il gruppo controlla attentamente le fasi successive della campagna per distribuire il malware esclusivamente alle vittime designate.

I ricercatori dell'Unità 42 hanno identificato due carichi utili precedentemente sconosciuti, RN Loader e RN Stealer.

RN Loader invia informazioni di base sul computer della vittima e sul sistema operativo tramite HTTPS al server C2 degli hacker.

RN Stealer è un infostealer che estrae dati, anche compressi, dal dispositivo della vittima.

I ricercatori hanno recuperato lo script di un campione di RN Stealer da un sistema macOS. Questo campione era in grado di rubare informazioni specifiche dei dispositivi macOS, tra cui:

• Informazioni di base sulla vittima: nome utente, nome del computer e architettura
• Applicazioni installate
• Un elenco di directory e il contenuto di primo livello della directory home della vittima
• Il file login.keychain-db che memorizza le credenziali salvate nei sistemi macOS
• Chiavi SSH memorizzate
• File di configurazione per AWS, Kubernetes e Google Cloud

I ricercatori dell'Unità 42 non sono riusciti a recuperare l'intera catena di attacco per i repository JavaScript.

Metodi di occultamento avanzati

L'utilizzo di esche come LinkedIn e GitHub è una tattica comune tra gli attori nordcoreani responsabili delle minacce, tra cui Alluring Pisces e Contagious Interview.

Tuttavia, Slow Pisces si distingue per la rigorosa sicurezza operativa: fornisce payload che esistono esclusivamente nella memoria e implementa metodi di occultamento avanzati come la deserializzazione YAML e EJS escapeFunction solo quando necessario.

Queste tattiche ostacolano l'analisi e il rilevamento, rendendo particolarmente difficile per gli sviluppatori di criptovalute inesperti identificare le minacce.

I resoconti pubblici sui furti di criptovalute suggeriscono che questa campagna ha avuto un grande successo e potrebbe continuare fino al 2025, sottolineando la necessità di una rigorosa separazione dei dispositivi aziendali e personali per mitigare il rischio di attacchi mirati di ingegneria sociale.

L'Unità 42 ha confermato che GitHub e LinkedIn hanno rimosso gli account e i repository in questione.

Informazioni sui Pesci Lenti

Slow Pisces (noto anche come Jade Sleet, TraderTraitor e Pukchong) è un gruppo di hacker sponsorizzato dallo stato nordcoreano, il cui obiettivo principale è generare entrate per il regime, in genere prendendo di mira grandi organizzazioni, con particolare attenzione al settore delle criptovalute.

Si dice che il gruppo abbia rubato oltre 1 miliardo di dollari dal settore delle criptovalute nel 2023, utilizzando vari metodi, tra cui false applicazioni di trading, malware diffuso tramite Node Package Manager (NPM) e compromissioni della supply chain.

Nel dicembre 2024, l'FBI ha collegato Slow Pisces al furto di 308 milioni di dollari da una società di criptovalute con sede in Giappone.

Più di recente, il gruppo ha attirato l'attenzione per il suo presunto ruolo nel furto di 1,5 miliardi di dollari da un exchange di criptovalute di Dubai.

https://www.infosecurity-magazine.com/news/north-korea-hackers-linkedin/

Il fronte invisibile: impatto della cyberwar Algeria-Marocco sulle aziende italiane

Le tensioni tra Algeria e Marocco, storicamente radicate in dispute territoriali e divergenze politiche, si stanno riversando con forza nel dominio cibernetico.

Il gruppo di hacker algerini JabaRoot DZ ha recentemente rivendicato un attacco informatico su larga scala ai danni di enti pubblici marocchini, rivelando profonde vulnerabilità nei sistemi di sicurezza del Paese e causando una massiccia fuga di dati sensibili.

Cyber attacco contro il Marocco

La sera dell’8 aprile 2025, infatti, JabaRoot DZ ha annunciato sul proprio canale Telegram di aver condotto un cyber attacco di ampia portata violando i sistemi informatici di alcune istituzioni del Marocco ed esfiltrando informazioni personali relative a quasi due milioni di cittadini marocchini.

Tra gli obiettivi colpiti, figurano il sito del ministero per l’Inclusione economica, le Piccole imprese e l’occupazione, e il database del Fondo nazionale di previdenza sociale (CNSS).

A destare particolare preoccupazione è l’entità della violazione. I dati sottratti, pubblicati dal gruppo su Telegram, comprendono infatti: un file CSV con informazioni relative a 499.881 aziende, inclusi nomi commerciali, numeri di registrazione, date di costituzione, dati bancari e identità dei direttori. Tra le entità coinvolte si annoverano il Mohammed VI Investment Fund, il Crédit du Maroc, e perfino Siger, la holding personale del monarca;

un secondo file CSV con dati su 1.996.026 dipendenti iscritti al CNSS, tra cui nomi, indirizzi e-mail, numeri di carte d’identità e dettagli occupazionali;

circa 53.574 file PDF contenenti elenchi dei dipendenti delle aziende e i relativi stipendi.

Inoltre, tra i documenti esfiltrati figurano anche dati finanziari non verificati riguardanti dirigenti di aziende statali, membri di partiti politici, personaggi associati al fondo di beneficenza della famiglia reale marocchina, nonché individui connessi all’ufficio di collegamento israeliano a Rabat.

Tuttavia, in un comunicato stampa pubblicato il giorno dopo l’attacco, il CNSS ha affermato che i primi controlli effettuati sui documenti divulgati hanno rivelato che questi contenevano informazioni false, inesatte o troncate.

Cyberguerra fra Algeria e Marocco: cosa sappiamo

Secondo quanto dichiarato dal gruppo algerino, l’attacco sarebbe stato una ritorsione contro presunte attività ostili compiute da hacker marocchini, accusati di aver compromesso l’account X dell’Algerian Press Service (APS), agenzia di stampa nazionale algerina.

JabaRoot DZ ha inoltre asserito che “qualsiasi futura azione ostile contro gli interessi algerini incontrerà risposte ancora più forti”, minacciando nuove offensive informatiche in caso di ulteriori attacchi ai danni di siti algerini.

Le frizioni tra i due Paesi si sono dunque spostate nel cyberspazio. Secondo quanto recentemente dichiarato dal ministro delegato per l’amministrazione della Difesa nazionale, Abdeltif Loudiyi, infatti, solo nel 2024 il Marocco ha registrato 644 attacchi informatici, di cui 134 hanno richiesto interventi tecnici urgenti da parte del Centro per la vigilanza, il monitoraggio e la risposta agli attacchi informatici.

Il ministro ha inoltre aggiunto che alla luce dell’escalation dei cyber attacchi, sono state implementate misure di protezione avanzate per incrementare la sicurezza dei sistemi informativi e delle infrastrutture vitali.

Tuttavia, nonostante le contromisure recentemente adottate, l’offensiva informatica dell’8 aprile ha messo in luce gravi lacune nella resilienza cibernetica del Paese.

Il picco più alto della cyberguerra fra Algeria e Marocco

Questo episodio rappresenta il picco più alto – finora – della guerra informatica tra Algeria e Marocco, inserendosi nel contesto di una crisi diplomatica che si protrae da anni.

Nell’agosto 2021, infatti, l’Algeria ha interrotto le relazioni diplomatiche con il Marocco, accusando Rabat di aver perpetrato atti ostili nei confronti del governo di Algeri. Tra i principali motivi di attrito figurano la normalizzazione dei rapporti tra Marocco e Israele avvenuta nel 2020, il sostegno marocchino ai movimenti separatisti della Cabilia e la disputa irrisolta sul Sahara Occidentale.

Tale regione, considerata dall’ONU un “territorio non autonomo”, è teatro di un conflitto che da oltre cinquant’anni vede contrapposti il ​​Marocco e il movimento indipendentista saharawi del Fronte polisario, sostenuto dall’Algeria.

A tal proposito, in una conferenza stampa tenutasi giovedì 10 aprile, il portavoce del governo marocchino Mustapha Baitas ha affermato che gli attacchi farebbero parte di una strategia mirata a minare il crescente sostegno internazionale al Marocco, specialmente in relazione al conflitto del Sahara Occidentale.

Nel 2020, infatti, nel corso del suo primo mandato, il presidente Donald Trump ha modificato la posizione consolidata degli Usa sostenendo apertamente la sovranità del Marocco sul territorio. Tale posizione non è stata revocata né esplicitamente confermata durante la presidenza Biden.

Secondo Baitas, la tempistica di questi attacchi informatici non è stata casuale, ma ha coinciso con la dichiarazione da parte del Segretario di Stato americano Marco Rubio del rinnovato riconoscimento della sovranità del Marocco sulla regione contesa.

L’impatto del cyber attacco sulle aziende italiane

Considerata la vasta portata delle informazioni sottratte da JabaRoot DZ, l’impatto dell’attacco potrebbe avere ripercussioni ben oltre i confini maghrebini. Il Marocco rappresenta, infatti, un partner strategico per diversi Paesi europei, tra cui l’Italia, che detiene investimenti significativi nel Paese.

Come affermato il 10 aprile 2025 da Nicola Vanin, Chief Information Security Officer di Cassa Depositi e Prestiti, le aziende italiane che operano sul territorio marocchino potrebbero subire conseguenze indirette per via della fuga di dati e delle interruzioni ai servizi.

La violazione delle infrastrutture digitali marocchine potrebbe infatti rallentare, complicare o mettere a rischio transazioni economiche bilaterali, catene di fornitura e informazioni sensibili relative alle aziende italiane attive nel Paese.

Inoltre, è importante considerare che tra i dati esfiltrati dal gruppo di hacker algerino potrebbero esserci anche informazioni personali riguardanti stranieri, inclusi cittadini italiani, che risiedono o lavorano in Marocco.

È dunque fondamentale monitorare la questione e comprendere se vi siano rischi diretti per i nostri connazionali e per le aziende italiane operanti nel Paese.

Il cyberspazio come frontiera del confronto geopolotico

L’attacco di JabaRoot DZ è solo l’ultimo esempio di come il cyberspazio si sia trasformato in un’estensione del confronto geopolitico.

In uno scenario internazionale sempre più segnato da “guerre fredde digitali”, i gruppi hacker – spesso legati o tollerati da apparati statali – diventano strumenti di pressione, operando in una zona grigia tra guerra convenzionale, intelligence e terrorismo informatico.

Per il Marocco – così come per qualsiasi altro attore statale – la resilienza cibernetica non può più essere considerata un’opzione, ma una necessità strategica per proteggere non solo i dati dei cittadini, ma anche la propria stabilità interna, le relazioni diplomatiche e la competitività economica sul piano globale.

https://www.cybersecurity360.it/cybersecurity-nazionale/il-fronte-invisibile-impatto-della-cyberwar-algeria-mar

Nuova truffa UniCredit con SMS e telefonate false a tema: come proteggersi

Una truffa particolarmente insidiosa sta prendendo di mira i clienti di UniCredit mediante SMS e telefonate fraudolenti che informano la vittima di una presunta situazione urgente, come un accesso non autorizzato o un tentativo di frode sul conto.

Ecco come riconoscere la trappola e difendersi

Spoofing, chiamate false che inducono all’errore

Meccanismo della truffa: La truffa inizia con un SMS fraudolento che appare nella cronologia dei messaggi ufficiali della banca, invitando il destinatario a contattare un numero per un’emergenza bancaria. Una volta chiamato, un truffatore che finge di essere un operatore UniCredit informa la vittima di una situazione urgente e induce a eseguire bonifici istantanei per “proteggere il conto”.

Pericolosità della truffa: Questa frode è particolarmente insidiosa per l’uso di tecniche di “spoofing”, che rendono autentiche le chiamate e i messaggi, e per il fatto che non vengono chieste credenziali ma l’esecuzione diretta di operazioni dal conto della vittima. I bonifici istantanei rendono il recupero del denaro difficile.

Misure di protezione: Si consiglia di diffidare di richieste di bonifici via telefono, non richiamare numeri sospetti, non condividere informazioni personali, verificare sempre le comunicazioni con la banca tramite canali ufficiali e segnalare immediatamente i tentativi di truffa alle autorità competenti.

Un tentativo di truffa sta mettendo a rischio i clienti bancari UniCredit attraverso SMS inviati con la tecnica dello smishing e telefonate false che sembrano provenire dall’istituto bancario.

La banca ha diramato un avviso per mettere in guardia gli utenti e prevenire possibili perdite finanziarie.

Come funziona la truffa a tema UniCredit

Il raggiro inizia con un SMS fraudolento che appare nella stessa cronologia dei messaggi ufficiali della banca. Il testo invita il destinatario a chiamare un numero per una “emergenza bancaria”.

Una volta contattato il numero, il truffatore, fingendosi un operatore UniCredit, informa il cliente di una presunta situazione urgente, come un accesso non autorizzato o un tentativo di frode sul conto.

Dopo questa prima chiamata, la vittima viene ricontattata da un altro numero che sembra appartenere alla banca, spesso spacciato come Servizio Clienti o Ufficio Antifrode.

Fonte: UniCredit.

A questo punto, l’operatore falso fornisce istruzioni per eseguire bonifici istantanei, spesso giustificati con la necessità di “proteggere il conto” o “bloccare un’operazione sospetta”.

Il cliente, pensando di seguire una procedura ufficiale, esegue i bonifici istantanei direttamente dal proprio dispositivo senza mai rivelare le proprie credenziali.

Purtroppo, poiché i bonifici istantanei vengono eseguiti in tempo reale, il denaro viene trasferito immediatamente ai truffatori, rendendone estremamente difficile il recupero.

Perché questa truffa è pericolosa

Questa frode è particolarmente insidiosa perché sfrutta tecniche di spoofing, ovvero la manipolazione dell’identità del chiamante. Il numero visualizzato dalla vittima può apparire autentico, rendendo difficile riconoscere l’inganno.

Inoltre, il fatto che il primo contatto avvenga tramite SMS inserito nella cronologia ufficiale della banca aumenta il senso di autenticità della comunicazione.

La truffa dell’SMS a tema uniCredit è completata dal Vishing

Il vishing o voice phishing, è una forma di truffa in cui i malintenzionati cercano di ottenere informazioni sensibili o indurre le vittime a compiere azioni dannose tramite chiamate telefoniche.

Durante queste chiamate, i truffatori si spacciano spesso per rappresentanti di enti affidabili come banche, istituzioni governative o aziende, e utilizzano tecniche di inganno per convincere le vittime a fornire dettagli personali, come numeri di conto bancario, password o informazioni della carta di credito, oppure per indurle a trasferire denaro o eseguire altre operazioni finanziarie.

Il vishing è una tecnica di social engineering, cioè si basa sull’inganno e sulla manipolazione psicologica per indurre le persone a rivelare informazioni riservate o a compiere determinate azioni.

Come i truffatori convincono a effettuare un bonifico istantaneo

I fantomatici operatori di banca, cioè i malfattori, convincono con la persuasione la vittima a effettuare un bonifico istantaneo per pagare un prodotto o un servizio.

Con il bonifico istantaneo, il beneficiario (in questo caso il truffatore) potrà disporre del denaro trasferito entro pochi secondi dalla conclusione dell’operazione bancaria.

E per la vittima sarà impossibile recuperare la somma estorta a causa della natura finanziaria del bonifico istantaneo.

Molte vittime non si rendono conto dell’inganno anche perché non viene chiesto loro di fornire PIN o password, ma di eseguire direttamente le operazioni dal proprio conto, rendendo il tutto più credibile.

Come proteggersi dalla truffa a tema UniCredit

Per evitare di cadere vittima di questa truffa a tema UniCredit, si consiglia di seguire alcune semplici precauzioni:Diffidare di qualsiasi richiesta di bonifici o trasferimenti di denaro ricevuta via telefono. Le banche non chiedono mai di spostare fondi per motivi di sicurezza.

Non richiamare numeri forniti via SMS o e-mail. Se ricevi un messaggio sospetto, contatta la tua banca solo attraverso i numeri ufficiali reperibili sul sito web.

Non condividere informazioni personali o bancarie. Anche se il chiamante sembra essere un operatore ufficiale, non fornire mai PIN, password o codici di sicurezza.

Verificare le comunicazioni. Se ricevi una chiamata sospetta, chiudi la telefonata e ricontatta direttamente la banca attraverso canali ufficiali.

Segnalare immediatamente i tentativi di truffa. Se sospetti di essere stato contattato da un truffatore, informa subito la tua banca e le autorità competenti.

Incogni, il servizio online che cancella i dati personali

Incogni è un servizio specializzato nella protezione della privacy online attraverso la rimozione dei dati personali da internet.Con Incogni è più difficile per aziende e malintenzionati trovare e utilizzare le informazioni personali degli utenti.

Ecco come funziona:

Rimozione dati personali: Incogni individua e rimuove le informazioni personali dai siti web che raccolgono e vendono questi dati, noti come broker di dati. Questo aiuta a ridurre la visibilità online delle informazioni sensibili.

Riduzione dei rischi di truffa: Eliminando i dati personali dalla rete, Incogni abbassa il rischio di essere vittima di spam, truffe, furti d’identità e attacchi di phishing.

Automazione e continuità: Il servizio funziona in modo automatizzato, inviando regolarmente richieste di rimozione ai broker di dati. Questo assicura che le informazioni non vengano ripubblicate con il tempo.

Rapporti regolari: Gli utenti ricevono rapporti regolari sullo stato della rimozione dei loro dati, permettendo loro di monitorare l’efficacia del servizio e mantenere il controllo sui propri dati personali.

Garanzia di rimborso: Incogni offre una garanzia di rimborso entro 30 giorni per assicurarsi che i clienti siano soddisfatti del servizio.

Le frodi bancarie stanno diventando sempre più sofisticate e i criminali sfruttano le nuove tecnologie per ingannare le loro vittime.

La migliore difesa è la consapevolezza: se ricevi un SMS o una telefonata che ti chiede di eseguire operazioni finanziarie urgenti, fermati e verifica con attenzione.

La prudenza, in questi casi, non è mai troppa.

https://www.cybersecurity360.it/news/nuova-truffa-con-sms-e-telefonate-false-a-tema-unicredit-come-proteggersi/

Rilevamento del phishing basato sull'intelligenza artificiale: funziona davvero?

Gli attacchi di phishing continuano a essere una delle minacce più diffuse nel panorama della sicurezza informatica e colpiscono indistintamente sia singoli individui che organizzazioni.

Nel corso del tempo, questi attacchi, che consistono nell'ingannare le vittime inducendole a rivelare informazioni sensibili o a installare software dannosi, sono diventati sempre più sofisticati.

L'ascesa dell'intelligenza artificiale (IA) ha portato nuove speranze nella lotta a queste minacce, con sistemi di rilevamento del phishing basati sull'IA che promettono maggiore accuratezza ed efficienza.

Sfruttando l'apprendimento automatico, l'elaborazione del linguaggio naturale (NLP) e l'analisi comportamentale, questi sistemi mirano a identificare i tentativi di phishing che spesso non vengono rilevati dai metodi tradizionali.

Tuttavia, poiché le organizzazioni investono massicciamente in soluzioni basate sull'intelligenza artificiale, sorge spontanea la domanda critica: il rilevamento del phishing basato sull'intelligenza artificiale mantiene davvero le sue promesse?

Questo articolo esamina l'evoluzione degli attacchi di phishing, il modo in cui l'intelligenza artificiale trasforma le capacità di rilevamento e le considerazioni chiave per i leader che implementano queste tecnologie.

Rilevamento del phishing basato sull'intelligenza artificiale

Gli attacchi di phishing si sono evoluti in modo significativo rispetto ai loro esordi, quando erano email rozze, piene di evidenti errori grammaticali e contenuti generici. Le campagne di phishing odierne sono altamente sofisticate e sfruttano tecniche avanzate di ingegneria sociale per ingannare anche gli utenti più attenti.

I criminali informatici ora personalizzano i loro messaggi per individui o organizzazioni specifici, utilizzando le informazioni personali per creare narrazioni convincenti. Lo spear-phishing, una forma mirata di phishing, è diventato particolarmente efficace, poiché gli aggressori imitano stili di comunicazione legittimi per ottenere fiducia.

L'integrazione dell'intelligenza artificiale generativa nelle campagne di phishing ha ulteriormente amplificato la minaccia. I criminali informatici possono ora utilizzare strumenti di intelligenza artificiale per creare messaggi realistici su larga scala, eliminando i tradizionali segnali di allarme come errori grammaticali o formattazione non corrispondente.

Questi tentativi di phishing potenziati dall'intelligenza artificiale analizzano i dati disponibili al pubblico provenienti da profili di social media, siti web aziendali e altre fonti per creare attacchi personalizzati difficili da rilevare.

Di conseguenza, le misure di sicurezza tradizionali come le blacklist e i sistemi basati su firme faticano a tenere il passo con queste minacce dinamiche. Questa crescente complessità sottolinea la necessità di meccanismi di rilevamento avanzati in grado di identificare anche i più sottili indicatori di intenti malevoli.

Come l'intelligenza artificiale migliora il rilevamento del phishing

L'intelligenza artificiale introduce capacità trasformative nel rilevamento del phishing, andando oltre le regole statiche e le firme predefinite.

A differenza dei metodi tradizionali che si basano sull'identificazione di minacce note, i sistemi basati sull'intelligenza artificiale analizzano modelli e comportamenti per rilevare anomalie indicative di tentativi di phishing. Questi sistemi integrano diverse tecnologie che lavorano insieme per fornire una protezione solida:Modelli di apprendimento automatico : i sistemi di intelligenza artificiale utilizzano algoritmi di apprendimento automatico per analizzare grandi set di dati di e-mail e pagine Web, identificando modelli associati ai tentativi di phishing anche in varianti mai viste prima.

Elaborazione del linguaggio naturale (NLP): l'NLP consente ai sistemi di intelligenza artificiale di comprendere il contesto e il tono dei messaggi, rilevando tattiche di manipolazione quali segnali di urgenza o stimoli emotivi comunemente utilizzati dai phisher.

Analisi comportamentale: gli strumenti di intelligenza artificiale monitorano il comportamento degli utenti per individuare anomalie che potrebbero indicare account compromessi o attacchi di phishing riusciti.

Visione artificiale: alcuni tentativi di phishing simulano visivamente siti web o email legittimi. La tecnologia di visione artificiale aiuta a rilevare queste imitazioni analizzando loghi, layout ed elementi di design.

Intelligence sulle minacce in tempo reale: i sistemi di intelligenza artificiale aggiornano costantemente i propri modelli con i dati provenienti dalle reti globali di intelligence sulle minacce, garantendone l'efficacia contro le tecniche di attacco emergenti.

L'adattabilità delle soluzioni basate sull'intelligenza artificiale è un vantaggio fondamentale. Mentre i metodi tradizionali spesso falliscono contro i nuovi attacchi, i sistemi di intelligenza artificiale apprendono dai nuovi dati e migliorano le loro capacità di rilevamento nel tempo.

Questa capacità di evolversi parallelamente alle minacce informatiche rende l'intelligenza artificiale uno strumento prezioso nella lotta al phishing.

Implementazione del rilevamento del phishing basato sull'intelligenza artificiale

Per i dirigenti aziendali che prendono in considerazione soluzioni di rilevamento del phishing basate sull'intelligenza artificiale, la pianificazione strategica è essenziale per un'implementazione di successo.

Sebbene queste tecnologie offrano vantaggi significativi, la loro efficacia dipende dalla corretta integrazione nel più ampio quadro di sicurezza informatica di un'organizzazione. I leader devono considerare diversi fattori critici nell'adozione di soluzioni basate sull'intelligenza artificiale:

Strategia di sicurezza completa: una protezione efficace dal phishing richiede un approccio multilivello che integri difese tecnologiche e formazione dei dipendenti. La formazione sulla sicurezza informatica rimane fondamentale per affrontare le vulnerabilità umane sfruttate dagli aggressori.

Soluzioni su misura: le organizzazioni dovrebbero selezionare strumenti di intelligenza artificiale in linea con le specifiche esigenze del settore e il panorama delle minacce. Ad esempio, gli istituti finanziari potrebbero dare priorità alle funzionalità di prevenzione delle frodi, mentre gli operatori sanitari si concentrano sulla salvaguardia dei dati dei pazienti.

Integrazione con i sistemi esistenti: un'integrazione perfetta con l'attuale infrastruttura di sicurezza è fondamentale per evitare conflitti o lacune nella protezione.

Metriche di performance: definire metriche chiare per valutare l'efficacia delle soluzioni di intelligenza artificiale è essenziale. Metriche come la riduzione del tasso di successo del phishing e il miglioramento dei tempi di rilevamento forniscono informazioni preziose sulle prestazioni del sistema.

Miglioramento continuo: le minacce informatiche sono in continua evoluzione; pertanto, le organizzazioni devono garantire che i propri sistemi di intelligenza artificiale vengano regolarmente aggiornati e perfezionati per affrontare le sfide emergenti.

La leadership svolge un ruolo fondamentale nel promuovere una cultura di consapevolezza della sicurezza informatica, sfruttando al contempo tecnologie avanzate come l'intelligenza artificiale per la difesa. Dando priorità alla formazione e all'innovazione tecnologica, i leader possono consentire ai dipendenti di riconoscere e segnalare efficacemente le potenziali minacce.

In conclusione, sebbene nessun sistema possa garantire l'immunità totale dagli attacchi di phishing, il rilevamento basato sull'intelligenza artificiale rappresenta un notevole passo avanti nella lotta a questa minaccia persistente.

La sua capacità di adattarsi alle tecniche di attacco in continua evoluzione e di analizzare grandi quantità di dati lo rende una componente fondamentale delle moderne strategie di sicurezza informatica.

Tuttavia, un'implementazione di successo richiede una pianificazione attenta e una gestione continuativa per massimizzare i potenziali benefici riducendo al minimo i rischi quali falsi positivi o interruzioni operative.

Per le organizzazioni disposte a investire sia in tecnologia che in formazione, il rilevamento del phishing basato sull'intelligenza artificiale può rivelarsi un valido alleato per salvaguardare le informazioni sensibili e mantenere la fiducia in un mondo sempre più digitale.

https://cybersecuritynews.com/ai-powered-phishing-detection/

Gli hacker cinesi attaccano le infrastrutture critiche per sabotare le reti

In un'allarmante escalation di minacce informatiche, gli hacker sponsorizzati dallo Stato cinese hanno intensificato le loro operazioni prendendo di mira infrastrutture critiche negli Stati Uniti, in Europa e nella regione Asia-Pacifico.

Recenti rapporti di intelligence rivelano che sofisticati attori della minaccia, tra cui Volt Typhoon e Salt Typhoon, si sono infiltrati nelle reti elettriche, nelle reti di telecomunicazioni e nei sistemi di trasporto con l'apparente obiettivo di predisporre potenziali interruzioni in tempo di guerra o ritorsioni coercitive durante periodi di tensione geopolitica.

Questi gruppi di minacce persistenti avanzate (APT) impiegano tecniche sofisticate progettate per l'accesso furtivo e a lungo termine, rendendone il rilevamento particolarmente impegnativo per i team di sicurezza.

Invece di provocare un'interruzione immediata, gli hacker installano quelle che gli esperti di sicurezza descrivono come "bombe logiche", ovvero codici maligni che rimangono dormienti finché non vengono attivati ​​durante un potenziale conflitto o una crisi.

Questo approccio strategico consente agli attori di mantenere un accesso persistente riducendo al minimo il rischio di scoperta durante il monitoraggio di sicurezza di routine.

L'esperta di sicurezza informatica Simone Kraus (@SIMKRA) ha individuato il malware dopo aver analizzato una serie di incidenti in diversi settori.

"Ciò che rende questi attacchi particolarmente preoccupanti è il fatto che si concentrano su infrastrutture critiche che, se compromesse, potrebbero avere conseguenze devastanti nel mondo reale", ha spiegato Kraus in un'analisi completa pubblicata ieri.

"Stiamo osservando un chiaro schema di ricognizione e persistenza che indica una preparazione a un potenziale sabotaggio piuttosto che a un'interruzione immediata o al furto di dati".

Gli attacchi sembrano far parte di una più ampia strategia cinese di guerra irregolare basata sulla cyber-sicurezza, che combina attacchi informatici sponsorizzati dallo Stato, gruppi per procura e campagne di disinformazione per raggiungere obiettivi strategici senza innescare risposte militari convenzionali.

Di recente si sono verificati incidenti in diversi settori, prendendo di mira in modo particolare le infrastrutture energetiche.

In un caso documentato, un guasto alla rete elettrica di Taiwan è stato ricondotto a una bomba logica Volt Typhoon rimasta nascosta nel sistema per mesi prima dell'attivazione.

Incidenti simili sono stati segnalati nelle infrastrutture europee, il che suggerisce l'esigenza di una campagna coordinata.

Vivere della terra: il metodo di infezione preferito

Ciò che contraddistingue questi attacchi sono le loro sofisticate tecniche “Living Off the Land” (LOL), in cui gli hacker utilizzano strumenti e funzionalità di sistema legittimi anziché introdurre malware facilmente rilevabili.

Questo approccio consente loro di integrarsi nelle normali operazioni amministrative, garantendo al contempo la persistenza.

Gli aggressori sfruttano spesso PowerShell, Windows Management Instrumentation (WMI) e PsExec per spostamenti laterali tra le reti.

Una tipica sequenza di comandi recuperata da un sistema infetto mostra come gli aggressori stabiliscono la persistenza:# Create scheduled task for persistence $Action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-WindowStyle hidden -NonInteractive -ExecutionPolicy Bypass -EncodedCommand $EncodedCommand" $Trigger = New-ScheduledTaskTrigger -AtLogOn $Settings = New-ScheduledTaskSettingsSet -Hidden Register-ScheduledTask -TaskName "SystemVerification" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest

Dopo aver stabilito la persistenza, gli aggressori in genere utilizzano tecniche di raccolta delle credenziali per muoversi lateralmente nella rete:# Lateral movement using harvested credentials $username = 'domain\admin' $password = 'P@ssw0rd' | ConvertTo-SecureString -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential($username, $password) Invoke-Command -ComputerName "target-server" -Credential $cred -ScriptBlock { whoami }

Gli esperti di sicurezza consigliano di implementare un monitoraggio efficace per i comandi PowerShell insoliti, i modelli di utilizzo delle credenziali e la creazione di attività pianificate come parte di una strategia di difesa approfondita.

Le organizzazioni che gestiscono infrastrutture critiche sono invitate a implementare la segmentazione della rete, l'autenticazione a più fattori e la ricerca attiva delle minacce per individuare questi avversari sofisticati prima che possano mettere a segno i loro obiettivi di sabotaggio.

https://cybersecuritynews.com/chinese-hackers-attacking-critical-infrastru

Un gruppo di hacker cinesi specializzato in crimini elettronici attacca utenti in oltre 120 paesi per rubare credenziali bancarie

Un sofisticato gruppo cinese dedito alla criminalità informatica, noto come "Smishing Triad", ha ampliato le sue operazioni prendendo di mira organizzazioni e individui in almeno 121 paesi in tutto il mondo.

Il gruppo, attivo dal 2023, ha sistematicamente preso di mira molteplici settori, tra cui servizi postali, logistica, telecomunicazioni, trasporti, commercio al dettaglio e settore pubblico, attraverso campagne di phishing tramite SMS ("smishing").

Questi attacchi hanno raggiunto una portata senza precedenti: i ricercatori stimano che ogni giorno siano attivi decine di migliaia di siti web dannosi.

Inizialmente focalizzata sulla consegna di pacchi e sui servizi governativi, la Smishing Triad si è di recente rivolta al furto di credenziali bancarie.

Il gruppo invia messaggi SMS fraudolenti contenenti link di phishing che reindirizzano le vittime a repliche convincenti di siti web legittimi.

Questi messaggi spesso creano un senso di urgenza segnalando problemi con le consegne dei pacchi o pagamenti di pedaggi in sospeso, spingendo gli utenti a cliccare su link dannosi.

Il gruppo ruota frequentemente i domini, con circa 25.000 domini online ogni 8 giorni per eludere il rilevamento e il blocco.

In uno sviluppo preoccupante, gli analisti di Silent Push hanno identificato nel marzo 2025 che Smishing Triad sta ora prendendo di mira importanti istituti finanziari con un nuovo kit di phishing denominato "Lighthouse".

Questo sofisticato strumento si concentra principalmente sugli istituti finanziari australiani e sulle principali banche occidentali.

Il gruppo vanta "oltre 300 addetti alla reception in tutto il mondo" a supporto delle proprie operazioni di frode, il che suggerisce un'organizzazione criminale altamente organizzata e dotata di risorse ingenti.

Più della metà della loro infrastruttura di phishing è ospitata dalle aziende cinesi Tencent e Alibaba.

Il kit di phishing bancario Lighthouse

Il kit di phishing Lighthouse rappresenta un'evoluzione significativa nelle capacità di Smishing Triad.

Secondo le comunicazioni trapelate su Telegram dallo sviluppatore "Wang Duo Yu", il kit fornisce "sincronizzazione in tempo reale, configurazione con un clic, aggiornamento con un clic, deviazione automatica" e molteplici metodi di verifica, tra cui verifica OTP, verifica app, verifica PIN e verifica 3DS.

L'analisi tecnica del file JavaScript (index-D76-mPwS.js) associato a Lighthouse rivela parametri di targeting per numerosi istituti finanziari, tra cui PayPal, Mastercard, Visa, HSBC e diverse banche australiane.

Il kit crea repliche convincenti delle interfacce bancarie, complete di sofisticati processi di verifica multifase.

Interfaccia Lighthouse (Fonte – Silent Push)

Il pannello di amministrazione del phishing consente agli aggressori di personalizzare le strutture delle directory, implementare filtri IP in base al paese e modificare gli importi di pagamento richiesti alle vittime.

L'interfaccia include opzioni per il rendering solo su dispositivi mobili, riflettendo l'attenzione della campagna rivolta agli smartphone.

Le funzionalità di gestione della sessione del kit tengono traccia dei progressi della vittima attraverso il flusso di phishing, con messaggi di stato in lingua cinese nel JavaScript che indicano: "当前正在首页" (Attualmente sulla home page), "当前已填写完成" (Compilazione attualmente completata) e "当前正在填卡页面" (Attualmente nella pagina di riempimento della carta).

Si consiglia alle organizzazioni di implementare l'autenticazione a più fattori e di informare gli utenti sulle minacce di smishing per mitigare questi attacchi sempre più sofisticati che prendono di mira le credenziali finanziarie.

https://cybersecuritynews.com/chinese-ecrime-hacker-group-attacking-users/