Nella tarda sera di lunedì 10 febbraio, durante una “ricognizione” sulle ultime “notizie” dal DarkWeb, un post sul noto forum BreachForums attira la mia attenzione. Il titolo: da prima pagina! “Cisco Data Breach – Ransomware Group Allegedly Breached Internal Network & Leaked AD”.

Il post, a “cura” dell’utente dallo pseudonimo lulagain (ndr tutto sommato anche con una discreta reputazione all’interno di BreachForum), riporta uno screenshot dove i presunti thread actors trollano Cisco con frasi del tipo: “Ci hai mentito e hai preso tempo per buttarci fuori.” e ancora “Ci vedremo presto, di nuovo. La prossima volta non avrai alcuna possibilità.”.

Lulagain continua con un’analisi del presunto attacco, dove i criminali informatici hanno avuto accesso alla rete interna di Cisco e all’Active Directory interna, collezionando username e NTLM Hash delle password. La presenza degli account dei Domain Controller, nel dump riportato, fa presumere a Lulagain che i malintenzionati abbiano avuto un accesso molto “profondo” alla rete e abbiamo potuto anche effettuare movimenti laterali all’interno della rete. Aggiunge inoltre, che tutto fa pensare ad un accesso persistente e ad una lunga permanenza all’interno della rete. Infine, ammette che Cisco non ha ufficialmente confermato l’attacco e conclude con consigli sulla sicurezza come: l’implementazione dalla MFA, analisi dei LOG, cambio password ecc.

Una notizia di questo livello non può essere passata inosservata e cerco qualche conferma. Trovo un articolo su Forbes e Kate O’Flaherty riporta che il presunto attacco è quello subito da Cisco del 2022. Quindi nessun nuovo attacco alla rete di Cisco!

La conferma è supportata da portavoce dell’azienda contatti via e-mail da Forbes, i quali confermano che “Cisco è a conoscenza di rapporti su incidenti di sicurezza” e che “l’incidente menzionato nei report è quello accaduto nel maggio 2022”.

Infine, si fa riferimento al post sul blog di sicurezza di Cisco Talos (il dipartimento di threat intelligence di Cisco) dove è possibile avere un report dettaglio sull’incidente di sicurezza.

Interessante lettura che ancora una volta conferma come il furto di credenziali sia il metodo preferito (e forse il più “semplice”) per guadagnare credenziali di accesso valide alle reti. Il report di sicurezza evidenzia come il “vettore inziale di attacco” sia stato un account Google personale di un dipendente compromesso. Sull’account era attiva la sincronizzazione delle password con Google Chrome, comprese le password di accesso ai sistemi ci Cisco. La MFA è poi stata violata con tecniche di social engineering come:

• MFA fatigue: che consiste nell’inviare decine di richieste di conferma finché l’utente per errore o per “sfinimento” conferma il codice MFA.
• VOICE PHISHING (aka “vishing”): Il vishing è una tecnica di social engineering sempre più comune, in cui gli attaccanti cercano di ingannare i dipendenti affinché rivelino informazioni sensibili al telefono. In questo caso, un dipendente ha riferito di aver ricevuto più chiamate nel corso di diversi giorni, in cui i chiamanti – che parlavano in inglese con vari accenti e dialetti internazionali – dichiaravano di essere associati a organizzazioni di supporto fidate dall’utente.

Ancora una volta, sebbene non si tratta di uno nuovo attaccato informatico, è importante comprendere che la formazione degli utenti, la cybersecurity awareness e l’utilizzo di strumenti per l’analisi delle credenziali compromesse, siano principi fondamentali per aumentare la sicurezza. In altre parole “le persone sono i nostri migliori firewall!”

L'articolo CISCO, violata? No! L’azienda rimanda alla violazione del 2022… proviene da il blog della sicurezza informatica.

Finalmente è tempo per la prima presentazione dell'anno! Ci verrà a trovare Raoul Dalmasso con il quale parleremo del suo libro "La storia dei quaranta o la verissima storia de li quaranta banditi di Amandola che se ne andarono a menar guerra al Turco" edito da Edizioni Malamente.
Un testo dalla narrazione pop e serrata, con un forte senso etico e politico. Sta al lettore decidere se leggerlo come un romanzo d'avventura o come una trattazione storica di eventi.
Dalmasso ci accompagna nella seconda metà del '500 nella marca del sud a suon di risse, archibugiate, fatti truci e sanguinosi ma anche di onore e giustizia, personale e sociale. Noi ci siamo lasciati trasportare dalla narrazione serrata del suo libro e siamo sicuri che conquisterà anche voi.

Anno 1565. Città di Amandola, Stato di Santa Chiesa. Tutta la Marca del Sud è infestata da una seditiosa et brigosa marmaglia de banniti. Sembra che queste terre montagnose non partoriscano altro che gente indocile e cruenta. Amandola non fa di certo eccezione. Anzi.
Quaranta banditi amandolesi vengono coinvolti nella guerra di famiglia dei Manardi che è appena ricominciata. L'intervento di Papa Pio V e i suoi birri obbligano i Quaranta a fuggire più lontano possibile dalla iustitia del Papa e dal cappio del boia. Riparano a Venezia, dove si arruolano come mercenari. La Serenissima, ben contenta di poter combattere il Male con il Peggio, li schiera nel bel mezzo della grande guerra contro il Turco.
La passeggiata terrena dei Quaranta si fa fottutamente difficile.

Ci vediamo venerdì 14 alle 18:30 in libreria, non mancate!

Art. 640 ter C.P. (Frode Informatica)
“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto produce un trasferimento di denaro, di valore monetario o di valuta virtuale o è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o la circostanza prevista dall'articolo 61, primo comma, numero 5, limitatamente all'aver approfittato di circostanze di persona, anche in riferimento all'età”
Oggi basta scrivere all’interno del proprio browser di ricerca, la parola Trading per essere indirizzati su centinaia di siti, che promettono guadagni esorbitati mediante l’investimento di semplici somme. Ricordiamo che l’attività di Trading Online, consiste nell’acquistare e vendere titoli finanziari via computer. L’obiettivo principale di chi fa TOL consiste nel guadagnare sulla differenza di prezzo tra acquisto e vendita.

In definitiva consiste in una negoziazione telematica di titoli finanziari, quindi di un servizio finanziario fornito da società autorizzate da Consob, il cui scopo sarà quello di mettere a disposizione dei clienti, una piattaforma, su cui visualizzare i titoli presenti su numerosi mercati borsistici esteri e italiani. Queste società sono chiamate “broker online” o intermediari digitali.

Chiunque effettui tale attività, deve essere autorizzato ai sensi del DECRETO LEGISLATIVO del 24 feb 1998, n.58, dall’autorità finanziaria dello Stato in cui ha sede.

Chiarito questo aspetto, l’investitore oculato deve verificare che il consulente finanziario, deve essere in possesso di questa autorizzazione, diversamente si è preda di un operatore abusivo, non controllato. Il trader abusivo, che tratterà per sé le somme conferitegli, creando l’illusione di aver effettuato grandi guadagni, sparendo successivamente, commetterà sia il reato di abusivismo finanziario che quello di truffa (art. 640 1comma del C.P.). Infatti, in qualità di finto promotore finanziario, con più azioni esecutive di un medesimo disegno criminoso, con artifizi e raggiri indurrà la vittima in errore, ottenendo un guadagno trattenendo per se o per altri le somme dell’ignara vittima.

La tipica frode si esplica mediante la proposta di investimenti, propedeutica per l’intervento successivo sui dati di pagamento forniti dalla vittima, oppure reindirizzando il malcapitato su pagine fake, sostituite a quelle di siti affidabili, oppure sfruttando la creazione di piattaforme su misura, sostenute da numerose recensioni false.

Solitamente il primo approccio avviene tramite un falso call center o mediante l’inoltro di Email/messaggi whatapps con proposte di investimento. Ottenuto il primo aggancio si verrà messi in contatto con quello che viene presentato come un consulente personale esperto, il quale avrà il compito di seguire tutte le operazioni.

Qui sarà possibile, ravvisare i primi segnali di truffa, infatti nel linguaggio utilizzato durante le comunicazioni, i messaggi sono solitamente infarciti di errori grammaticali. Inoltre il finto broker, non fornirà mai la documentazione informativa obbligatoria, in contrasto con il testo unico delle disposizioni in materia di intermediazione finanziaria.

La vittima, a questo punto, viene indotta ad investire, mediante piattaforme che sembrano affidabili. Piattaforme di cui il sedicente consulente, fornirà direttamente l’URL. Tali pagine,verosimilmente, saranno state hackerate o create ad hoc per eseguire tale attività di truffa. Da questo momento, per la persona vittima si apriranno due scenari:

il primo, si verifica quando il soggetto sarà indotta con artifici e raggiri ad effettuare direttamente investimenti che produrranno un guadagno ingiusto a favore del falso trader o di un terzo soggetto. La seconda si verifica quando la frode sarà veicolata sfruttando un sistema informatico, situazione che incorre quando la pagina del sito su cui si effettuano gli investimenti viene hackerata, oppure nella quale il falso operatore prospetta l’istallazione di programmi che sfruttano il protocollo RDP, necessari per un controllo remoto del computer della vittima.

Questa situazione manifesta i requisiti costitutivi della frode informatica (art. 640 ter del C.P.), in quanto si configura un inganno perpetrato mediante l’uso di strumenti informatici. Fattispecie aggravata dalla minorata difesa della vittima, poiché per la giurisprudenza l’utilizzo di sistemi informatici viene considerato pregiudizievole, in quanto permissivo di operazioni effettuabili a distanza.

Nelle fattispecie indicate, presenterà un grande fattore di criticità, il recupero degli eventuali fondi investiti, poiché per la maggior parte trasferiti su conti esteri, molto spesso sotto forma di criptovaluta e quindi difficilmente oggetto di provvedimenti di sequestro e restituzione da parte della Autorità Giudiziaria.

Come nella maggior parte delle fattispecie caratterizzate da frode, la miglior tutela risulta sempre l’attenzione preventiva. Una delle strategie utilizzate dai criminali informatici sarà puntare sull’elevata redditività dei prodotti , omettendo di spiegare in maniera esatta i rischi delle operazioni di investimento. Tuttavia la materia trattata comprende argomenti complessi e articolati, sia sul lato informatico che su quello finanziario, ovviamente non colmabili mediante semplici scambi telefonici o messaggi.

L'articolo Hacker, Finti Broker e Call Center Truffaldini: Ecco Come Rubano i Tuoi Soldi proviene da il blog della sicurezza informatica.

Gli sponsor fossili di Sanremo: testi e musiche “sostenibili”, dirige l’orchestra il greenwashing

Anche quest'anno la rassegna è sostenuta da aziende che operano in settori che hanno gravi responsabilità nella crisi climatica e ambientale: da Eni a Coca-Cola, passando per Costa crociere a Suzuki.

#cambiamentoclimatico #costacrociere #crociere #eni #enigreenwashing #fontifossili #generali #greenwashing #plenitude #pubblicitàfontifossili #sanremo

Gli sponsor fossili di Sanremo: testi e musiche "sostenibili", dirige l'orchestra il greenwashing

^{Andrea Siccardo (Altreconomia)}

Se a qualcuno interessasse avere informazioni su cosa succede laggiù io da mesi sono iscritto a questa newsletter di Haaretz e penso sia un'ottima fonte di informazioni.

haaretz.com/newsletter/single?…

Ovviamente è in inglese.