Un’enorme interruzione di corrente a San Francisco ha causato interruzioni alla circolazione dei veicoli a guida autonoma. I veicoli a guida autonoma Waymo sono stati avvistati sulle strade cittadine, fermi agli incroci con le luci di emergenza accese. Le interruzioni sono state causate da un’improvvisa interruzione di corrente ai semafori, causata da un incendio in una sottostazione PG&E.

A causa dell’incidente, Waymo ha sospeso il suo servizio di taxi autonomi nella Bay Area. I rappresentanti di Waymo hanno dichiarato di essere in stretto coordinamento con le autorità cittadine e di prevedere di riprendere il servizio il prima possibile. Tuttavia, non hanno specificato i motivi per cui i veicoli non hanno potuto riprendere il servizio.

Un incendio in una sottostazione ha causato interruzioni di corrente per circa 130.000 residenti. Entro domenica mattina, l’alimentazione era stata rispristinata, mentre i lavori proseguivano a Richmond, Golden Gate e in alcune zone del centro di San Francisco.

L’incidente ha evidenziato potenziali vulnerabilità nel sistema di guida autonoma di Waymo. Il sito web di Waymo afferma che i suoi veicoli si affidano alla segnaletica stradale e ai semafori per orientarsi. Il guasto dei semafori ha probabilmente impedito ai veicoli di determinare quando fosse sicuro procedere.

Gli esperti non escludono un problema più ampio: la dipendenza da infrastrutture remote. Se per qualsiasi motivo i data center che calcolano i percorsi ed elaborano i dati dei sensori dovessero guastarsi, le auto a guida autonoma rischiano di perdere completamente l’orientamento e di fermarsi, indipendentemente dalle condizioni stradali.

Le tecnologie di guida autonoma stanno progredendo rapidamente, ma qualsiasi interruzione delle infrastrutture urbane o cloud potrebbe metterne a nudo la fragilità e ricordarci che i sistemi di guida autonoma continuano a far parte di un ecosistema vulnerabile.

L'articolo Semafori spenti, auto autonome bloccate: il blackout mette in crisi Waymo proviene da Red Hot Cyber.

MS13-089 apre un leak site sul dark web, espone i primi dati e adotta una strategia di doppia estorsione senza cifratura.

Un brand costruito su un vecchio ID Microsoft

Per anni “MS13-089” ha identificato un bollettino di sicurezza Microsoft del 2013 relativo a una vulnerabilità critica nel componente grafico GDI di Windows, sfruttabile per esecuzione di codice remoto. Oggi la stessa sigla viene riciclata come nome di un nuovo gruppo ransomware MS13-089.​

Questa scelta non è solo un vezzo: riutilizzare un identificatore storico del mondo Microsoft introduce rumore nelle ricerche OSINT e sposta l’attenzione dall’immaginario “gang di strada” a quello “vulnerabilità software”. In pratica il gruppo si colloca subito nel perimetro cyber, sfruttando una sigla che gli analisti associano da anni a un problema di sicurezza ben documentato.

Il leak site: un messaggio chiaro

Lo screenshot, rilanciato da diversi siti e canali social del clearnet del leak site, mostra un’impostazione essenziale: in alto il nome MS13-089, al centro la sezione “LEAKED DATA” e subito sotto due card affiancate dedicate alle prime vittime. Ogni riquadro riporta logo, dominio, breve descrizione ufficiale estratta dal sito della vittima e una barra con la dicitura “PUBLISHED 1%”, insieme al pulsante “MORE”.

Questa struttura ricalca il modello ormai standard dei leak site di doppia estorsione: brand della gang in evidenza, elenco delle organizzazioni colpite con una scheda sintetica e un chiaro invito – il tasto “MORE” – a esplorare i campioni di dati pubblicati come prova dell’intrusione.​

La barra “PUBLISHED 1%” che compare sotto ciascuna vittima non è una trovata grafica, ma un indicatore del livello di esposizione pubblica dei dati. Nel gergo dei leak site ransomware, questa etichetta segnala che solo circa l’1% dei dati sottratti è stato reso pubblico, mentre il restante 99% è ancora trattenuto dal gruppo come leva nella negoziazione con la vittima.​

Doppia estorsione senza cifratura: la narrativa “non danneggiamo i pazienti”

Uno degli aspetti più peculiari di MS13-089 è la scelta dichiarata di non cifrare i sistemi delle vittime, concentrandosi esclusivamente su furto e minaccia di leak dei dati. In comunicazioni riportate da siti di monitoraggio delle violazioni, il gruppo sostiene di non aver cifrato gli asset di Virginia Urology “per non danneggiare i pazienti”, rivendicando una strategia basata unicamente sulla doppia estorsione.​

Questa narrativa – già vista in altri contesti in cui gli attori cercano di presentarsi come “professionisti” più che come vandali – non cambia però la sostanza: l’esfiltrazione di cartelle cliniche, dati assicurativi e documentazione fiscale rimane un danno grave, con potenziali ricadute per milioni di persone e importanti conseguenze regolatorie (HIPAA nel contesto USA, GDPR in Europa). La leva non è più la paralisi operativa tramite cifratura, ma la minaccia di una esposizione pubblica irreversibile.​

Impatti

Il debutto di MS13-089 conferma tendenze chiave del panorama ransomware:

• La doppia estorsione evolve oltre la cifratura: gruppi come MS13-089 mostrano che, in molti scenari, la sola minaccia di leak può bastare a innescare crisi reputazionali, legali e regolatorie di ampia portata, anche senza bloccare direttamente i sistemi.​
• I leak site diventano asset di comunicazione centrale: elementi come la barra “PUBLISHED 1%” sono pensati non solo per informare gli analisti, ma per costruire una narrativa pubblica e temporizzata della pressione sul bersaglio.​

Per i defender questo significa integrare nei playbook di risposta non solo scenari di cifratura massiva, ma anche casi in cui l’intero impatto è giocato sulla fuga di dati: monitoraggio costante dei leak site, capacità di reagire rapidamente alle pubblicazioni parziali e piani di comunicazione e notifica pensati per gestire la progressione da “1% pubblicato” alla minaccia di esposizione totale.

L'articolo MS13-089: il nuovo gruppo ransomware che ruba il nome a un vecchio bollettino Microsoft proviene da Red Hot Cyber.

Una buona notizia per chiudere l'anno. Festeggiate, riposate, che nel 2026 avremo bisogno di rabbia nuova.

spreaker.com/episode/dk-10x16-…

You’ve probably seen Lichtenberg figures before, those lightning-like traces left by high-voltage discharge. The safe way to create them is using an electron beam to embed charge inside an acrylic block, and then shake them loose with a short, sharp tap. The usual technique makes for a great, flat splay of “lightning” that looks great in a rectangular prism or cube on your desk. [Electron Impressions] was getting bored with that, though, and wanted to do something unique — they wanted to capture lightning in a bottle, with a cylindrical-shaped Lichtenberg figure. The result is in the video below.

They’re still using the kill-you-in-milliseconds linear accelerator that makes for such lovely flat figures, but they need to rotate the cylinder to uniformly deposit charge around its axis. That sounds easy, but remember this is a high-energy electron beam that’s not going to play nice with any electrical components that are put through to drive the spinning.

Ultimately, he goes old-school: a lead-acid battery and a brushed DC motor. Apparently, more power-dense batteries have trouble with the radiation. Though the 3D-printed roller assembly is perhaps not that old-school, it’s neat to know that PETG is resilient to beta ray exposure. Getting footage from inside the linear accelerator with a shielded GoPro is just a bonus. (Jump to five minutes in to see it go into the beam chamber.)

The whole process is very similar to one we featured long ago to put Lichtenberg figures into acrylic spheres (the linked post is dead, but the video survives). If you don’t have access to a powerful electron beam, you can still make Lichtenberg figures the old-fashioned way with a microwave sign transformer, but that’s very much an “at your own risk” project, considering it’s the deadliest hack on the internet.

youtube.com/embed/8a3GfozsU0s?…

hackaday.com/2025/12/22/lichte…

In Italia la cybersicurezza non è più un tema da “reparto IT”. È una questione di sicurezza nazionale, resilienza economica e tenuta democratica.

Se si leggono insieme tre livelli di fonte pubblica — Relazione annuale della nostra agenzia d’intelligence e sicurezza nazionale, dati ACN/CSIRT, e threat landscape UE (ENISA) — emerge una traiettoria politica piuttosto netta: centralizzare la governance, rendere gli obblighi esecutivi (e verificabili), e spostare il baricentro su filiere, Pubblica Amministrazione e minaccia ibrida.

La diagnosi: ransomware “dual use” e minaccia ibrida

Le analisi ufficiali di sicurezza indicano che alcune minacce cyber vengono ormai lette come strumenti “a doppio uso”, dove il confine tra criminalità e obiettivo strategico si assottiglia.

In pratica: estorsione e spionaggio possono convivere nella stessa campagna, e l’impatto non è solo economico, ma anche politico-istituzionale. Se il ransomware e certe intrusioni non sono più soltanto “reati digitali”, la risposta non può essere solo tecnica: diventa materia di policy (contrasto delle FFOO, poteri, responsabilità, deterrenza, obblighi e capacità di risposta coordinata).

La fotografia dei numeri: Italia sotto pressione, PA nel mirino

Il secondo livello è l’evidenza operativa. Nelle relazioni pubbliche di ACN/CSIRT emergono volumi elevati di eventi e incidenti gestiti a livello nazionale, indicativi di una pressione strutturale e non episodica, e di questo già RHC ne aveva evidenziato gli aspetti.

A livello UE, la threat intelligence di settore e i report ENISA collocano la Pubblica Amministrazione tra i target prioritari e confermano la persistenza di vettori d’ingresso come phishing, sfruttamento di vulnerabilità e campagne a matrice ideologica o state-aligned. Ed anche qui nostro malgrado, avevamo fatto delle previsioni anni fa, ma siamo rimasti inascoltati.

Tradotto: se PA e servizi essenziali sono bersagli ricorrenti, la cybersicurezza diventa un tema di continuità dello Stato e non una “buona pratica” facoltativa, da lasciare al singolo referente informatico presente negli uffici della PA, che sa “smanettare sui computer”.

Ci vogliono tecnici esperti e soprattutto dedicati. Personale che abbia a cuore l’interesse primario dello Stato e della protezione nazionale da questo genere di attacchi ostili.

Dalla resilienza all’accountability: come cambia la cyber policy italiana

Le fonti confermano comunque che nell’anno appena trascorso la politica italiana si sta muovendo lungo tre direttrici, coerenti con questa lettura. Obblighi e accountability: recepimento NIS2 per trasformare la cyber-resilience in responsabilità organizzativa e manageriale, con misure verificabili e sanzionabili.

Cornice nazionale rafforzata: interventi su cybersecurity e resilienza, con aggiornamenti e irrigidimenti anche sul versante dei reati informatici e della risposta. Risorse e implementazione: programmazione e ripartizione fondi per mettere a terra progetti e capacità nel triennio 2025–2027.

La competizione tecnologica (supply chain, servizi digitali critici, hardware e software strategici) rende la cyber un’estensione della sicurezza economica. I report UE evidenziano l’aumento dei rischi legati alla supply chain e l’uso della catena di fornitura come moltiplicatore operativo. Sul piano politico, questo spinge verso requisiti più stringenti sul procurement, audit più frequenti e investimenti su ecosistemi affidabili. Non è autarchia: è sovranità operativa, cioè ridurre dipendenze che possono diventare punti di pressione geopolitica. A cui non possiamo rinunciare.

Se si combinano quadro di minaccia, numeri operativi e cornice UE, il 2026 appare più come un anno di “stretta esecutiva” che di nuove grandi leggi. Enforcement NIS2 più visibile: controlli sostanziali su risk management, supply chain e incident reporting. Priorità PA: resilienza dimostrabile (SOC, continuità operativa, gestione vulnerabilità, formazione), con metriche e verifiche.

Ransomware e supply chain: la cybersicurezza diventa politica pubblica

Ransomware: risposta più “di filiera”, includendo cooperazione pubblico–privato e iniziative di disruption contro infrastrutture criminali. Supply chain e vulnerabilità: passaggio dalla reazione alla prevenzione, con programmi strutturati di vulnerability management e patch governance nei soggetti essenziali. In conclusione, la cybersicurezza sta diventando una politica pubblica piena, con logiche simili a sanità, protezione civile e sicurezza interna.

Certo le limitazioni dell’art 117 della nostra Costituzione impongono ampi e forse dispersivi confronti tra lo Stato e gli enti locali, responsabili delle infrastrutture e del territorio, per pianificare ed organizzare la distribuzione delle risorse. Come avviene già per i settori in precedenza richiamati, ma la cybersecurity non può essere una materia di contrasto politico ideologico, ma di interesse esclusivamente nazionale.

Possiamo sperare che il 2026, non sarà l’anno degli annuncii? Ma l’anno in cui si vedrà se norme e fondi si tradurranno in capacità operative? A parlare saranno i tempi di rilevazione, la qualità del reporting, la continuità dei servizi essenziali e la resilienza della filiera. E noi saremo qui ad informarvi. Buon Natale a tutti

Riferimenti: documentazione pubblica ACN/CSIRT Italia; report ENISA; quadro normativo nazionale (L. 90/2024, D.Lgs. 138/2024, DPCM fondi 2025–2027); Relazione annuale sulla politica dell’informazione per la sicurezza (anno 2024).

L'articolo Cybersecurity Italia 2026: tra ransomware, supply chain e sicurezza nazionale proviene da Red Hot Cyber.

In passato, molti utenti e amministratori di sistema si sono affidati al servizio di attivazione telefonica di Microsoft per gestire installazioni in contesti particolari.

Durante l’era di Windows 8, circolavano ampiamente le licenze multilicenza MAK (Multiple Activation Key). Sebbene queste chiavi avessero un limite predefinito di attivazioni, i loro tetti molto elevati permettevano di riutilizzarle numerose volte attraverso il sistema telefonico, rendendole ideali per gestire parchi macchine estesi senza una gestione centralizzata dei server.

Il punto di forza di questo sistema era la possibilità di attivare il software senza che il PC fosse collegato direttamente a Internet. Molti esperti ricordano la procedura: si inseriva il codice, si generava un ID di installazione e, chiamando il servizio Microsoft, si riceveva l’ID di conferma per sbloccare il sistema.

Per facilitare questo processo, Microsoft aveva diffuso il servizio nei principali mercati globali, basandosi su un sistema di verifica remota che generava gli ID di attivazione necessari. Questo permetteva di operare in contesti isolati, come uffici privi di connessione, sistemi industriali o laboratori remoti, dove la sicurezza o la logistica impedivano l’accesso alla rete.

Recentemente, però, lo scenario è cambiato. Un utente noto come @TheBobPony ha segnalato che oggi il processo di attivazione telefonica tradizionale sembra essere stato quasi del tutto dismesso in favore di un portale web. Invece di interagire con una voce automatizzata al telefono, l’utente viene ora reindirizzato a un sito Microsoft dove l’attivazione va completata online (solitamente tramite uno smartphone). Poiché questa modifica sembra impattare trasversalmente i vari prodotti, si teme che l’attivazione puramente vocale non sia più supportata, un cambiamento che appare recente considerando le segnalazioni di pochi mesi fa.

Resta un punto da chiarire: il flusso di questo nuovo portale online non è ancora stato analizzato in ogni sua sfaccettatura. È probabile che Microsoft non abbia abbandonato il principio dell’attivazione per sistemi isolati, ma abbia semplicemente spostato l’interfaccia dal tastierino del telefono a una pagina web. In pratica, l’utente continuerebbe a fare da “ponte” inserendo l’ID del prodotto sul sito per ricevere un codice di sblocco, ma l’operazione richiede ora un dispositivo secondario con accesso a Internet.

Per gli ambienti air-gapped (totalmente isolati dalla rete), questa evoluzione potrebbe essere cruciale. Sebbene il PC rimanga offline, l’obbligo di passare per un portale web invece di una semplice telefonata potrebbe complicare le procedure in determinati settori critici. La possibilità di attivare software senza una connessione diretta non è solo una comodità ereditata dal passato, ma una necessità operativa che molti sperano Microsoft continui a garantire.

L'articolo Aggancia il telefono! Microsoft cambia le regole dell’attivazione: addio chiamate vocali? proviene da Red Hot Cyber.

Gli hacker amano sfruttare i tool più innocui per infiltrarsi nelle reti dei loro obiettivi e questo noi tutti lo sappiamo.

E, in questo caso, stanno puntando a PuTTY, il client SSH popolare. È come usare un travestimento per confondersi tra i “buoni”. Loro, gli hacker criminali, lo preferiscono perché è come un agente doppio: gli permette di mescolare azioni dannose con quelle normali, rendendo difficile la rilevazione.

Si è quindi scoperto un trucco per smascherarli: seguendo le tracce lasciate involontariamente nel registro di Windows. Gli aggressori stanno eseguono file binari PuTTY come plink.exe o pscp.exe per passare da un sistema all’altro tramite tunnel SSH e sottrarre file sensibili senza distribuire malware personalizzato.

Recentemente, campagne malware che abusano del download di PuTTY hanno diffuso la backdoor Oyster, mostrano chiaramente queste possano portare a modifiche della rete e a esfiltrazioni di dati attraverso richieste HTTP POST.

Ne ha parlato recentemente l’esperto di sicurezza Maurice Fielenbach riportando che nonostante l’aggressiva pulizia dei log e degli artefatti, PuTTY memorizza le chiavi host SSH nel registro in HKCUSoftwareSimonTathamPuTTYSshHostKeys .

La memorizzazione comprende gli indirizzi IP delle destinazioni, le porte e le firme digitali delle connessioni, rappresentando una sorta di “cronologia digitale”. Mediante la correlazione di questi dati con i registri di autenticazione e i flussi di rete, gli investigatori riescono a ripristinare i percorsi compiuti dagli aggressori, anche nel caso in cui i registri degli eventi siano insufficienti.

Ricordiamo che nel corso del 2025, gli amministratori Windows sono stati presi di mira da ondate di malware di versioni trojanizzate di PuTTY, favorendo una rapida propagazione laterale. La rilevazione di tali minacce risulta problematica in quanto PuTTY fa parte dei normali flussi di lavoro IT; tuttavia, spesso è possibile identificare la presenza di strumenti malevoli attraverso la rilevazione di scansioni RDP anomale o traffico SSH irregolare successivo alla compromissione.

Per contrastare operazioni elusive, è fondamentale che le aziende limitino l’utilizzo di PuTTY agli host autorizzati e ruotino regolarmente le chiavi SSH. Ricerche di chiavi di registro e attività SSH su porte non standard dovrebbe essere una priorità di analisi per i team di sicurezza.

Inoltre, la possibilità di sfruttare vulnerabilità di PuTTY, come CVE-2024-31497, che permettono il recupero delle chiavi favorendo la persistenza, può essere annullata applicando le relative patch.

L'articolo PuTTY, il cavallo di Troia perfetto: come gli hacker si nascondono nei tool più usati dagli IT proviene da Red Hot Cyber.

Origami has become known as a miracle technique for designers. Elegant compliant mechanisms can leverage the material properties of a single geometry in ways that are sometimes stronger than those of more complicated designs. However, we don’t generally see origami used directly in 3D printed parts. [matthew lim] decided to explore this uncharted realm with various clever designs. You can check out the video below.

First, [matthew] converts some basic folds into thin 3D printed sheets with thinner portions on crease lines. This allows the plastic to be stiff along flat portions and flexible in bends. Unfortunately, this becomes more difficult with more complicated designs. Crease lines become weak and overstrained to the point of failure, requiring an adjusted method.

With a bit of digging, [matthew] finds some prior work mentioning folds on alternative sides of the panels. Using offset panels allows for complex folds with improved traits, allowing for even thicker panels. [matthew] also experimented with more compliant mechanism-focused prints, twisting cylinders that contract.

This type of 3D printing is always fascinating, as it pushes the limits of what you think is possible with 3D printing alone. If you want more mind-bending 3D printing goodness, check out this mechanism that contracts when you try pulling it apart!

youtube.com/embed/FNVBK7-h9Fs?…

hackaday.com/2025/12/21/origam…

I criminali informatici stanno diventando sempre più furbi e hanno trovato un nuovo modo per sfruttare i protocolli di sicurezza aziendali. Sembra incredibile, ma è vero: stanno usando una funzionalità di autenticazione Microsoft legittima per rubare gli account utente.

Il team di ricerca di Proofpoint ha rilevato un aumento del “Device Code Phishing”, una tecnica di phishing che convince le vittime a concedere il controllo completo dei propri account semplicemente inserendo un codice su un sito web attendibile. È come se i malintenzionati avessero trovato un modo per trasformare i protocolli di sicurezza in una debolezza. Ma come funziona esattamente questa tecnica? E cosa possono fare le aziende per proteggersi? Scopriamolo!

Quando OAuth diventa il bersaglio: il dirottamento del flusso di autorizzazione

“La tradizionale consapevolezza del phishing spesso enfatizza la verifica della legittimità degli URL. Questo approccio non affronta efficacemente il phishing tramite codice dispositivo, in cui agli utenti viene chiesto di inserire un codice dispositivo sul portale Microsoft attendibile”, hanno riportato gli esperti nel loro rapporto.

La campagna evidenzia un cambiamento di tattica: invece di rubare direttamente le password, gli hacker rubano le “chiavi” dell’account stesso tramite il protocollo OAuth 2.0. L’attacco sfrutta il flusso di autorizzazione del dispositivo, una funzionalità progettata per aiutare gli utenti ad accedere a dispositivi con capacità di input limitate, come smart TV o stampanti. Quando il dispositivo è legittimo, visualizza un codice e l’utente lo inserisce su un computer o telefono separato per autorizzare l’accesso.

Gli aggressori hanno dirottato questo processo. Inviano email di phishing contenenti un codice e un link al portale di accesso ufficiale di Microsoft (microsoft.com/devicelogin). Poiché l’URL è legittimo, la formazione standard sul phishing spesso fallisce. Questa non è una tecnica isolata utilizzata da un singolo gruppo. I ricercatori di Proofpoint hanno osservato “molteplici cluster di minacce, sia di matrice statale che motivate da interessi finanziari”, che adottano questo metodo.

Una volta che l’utente inserisce il codice, all’applicazione dannosa dell’aggressore viene concesso un token che consente l’accesso persistente all’account Microsoft 365 della vittima. Questo accesso può essere utilizzato per “esfiltrare dati e altro ancora”, spesso aggirando la necessità di conoscere la password dell’utente nelle sessioni future.

L’attacco Account Takeover (ATO).

L’Account Takeover (ATO) è una tecnica di attacco informatico in cui un criminale ottiene il controllo completo di un account legittimo, impersonando l’utente reale senza destare sospetti immediati. A differenza delle violazioni tradizionali, l’ATO non richiede necessariamente il furto della password: gli attaccanti possono sfruttare token di autenticazione, flussi OAuth o meccanismi di accesso legittimi per entrare nell’account in modo del tutto valido dal punto di vista tecnico. Questo rende l’attacco particolarmente insidioso, perché i sistemi di sicurezza registrano l’accesso come regolare.

Una volta compromesso l’account, l’attaccante può leggere email, accedere a documenti riservati, creare regole di inoltro invisibili, avviare frodi interne o mantenere un accesso persistente nel tempo, anche dopo il cambio della password. L’Account Takeover è oggi una delle minacce più pericolose per le organizzazioni, perché sfrutta la fiducia riposta nei meccanismi di autenticazione moderni e nella stessa identità digitale dell’utente, trasformando un accesso legittimo in un vettore di compromissione.

La componente psicologica negli attacchi OAuth-based è sempre la base

La chiave del successo di questi attacchi risiede nella manipolazione della psicologia degli utenti. Un senso di urgenza viene creato dalle esche, che spesso mimano avvisi di sicurezza o richieste amministrative. Gli aggressori, rappresentando l’attacco come un controllo obbligatorio o un aggiornamento di sicurezza, inducono gli utenti a compiere l’azione che li rende vulnerabili.

Mentre le organizzazioni rafforzano le loro difese con l’autenticazione a più fattori (MFA) e le chiavi FIDO, gli aggressori sono costretti a trovare soluzioni alternative. L’abuso di flussi di autorizzazione validi sembra essere la prossima frontiera. “Proofpoint stima che l’abuso dei flussi di autenticazione OAuth continuerà a crescere con l’adozione di controlli MFA conformi a FIDO”, hanno concluso i ricercatori.

Come difendersi dal Device Code Phishing

La difesa da questo tipo di attacco richiede un cambio di paradigma: non basta più insegnare agli utenti a controllare l’URL. Il Device Code Phishing sfrutta portali legittimi e flussi di autenticazione validi, rendendo inefficace la formazione basata esclusivamente sul riconoscimento di siti falsi. È quindi fondamentale affiancare alla consapevolezza dell’utente controlli tecnici mirati sui flussi OAuth.

Dal punto di vista operativo, le organizzazioni dovrebbero limitare o disabilitare il Device Code Flow ove non strettamente necessario e applicare policy di Conditional Access più restrittive, includendo MFA anche per i flussi OAuth e non solo per il login interattivo. Il controllo del contesto di accesso (posizione, dispositivo, rischio della sessione) diventa cruciale per intercettare utilizzi anomali di token apparentemente legittimi.

Infine, è essenziale monitorare e governare le applicazioni OAuth autorizzate nel tenant. L’uso di app non verificate o con privilegi eccessivi rappresenta un vettore di compromissione spesso sottovalutato. La revisione periodica dei consensi, il principio del minimo privilegio e il monitoraggio dei log di autenticazione legati al Device Code Flow possono fare la differenza nel rilevare e contenere un Account Takeover prima che l’accesso diventi persistente.

L'articolo Account Microsoft 365 violati senza password: ecco il nuovo incubo OAuth proviene da Red Hot Cyber.

Google ha intentato una causa contro un gruppo criminale informatico transnazionale responsabile di una massiccia campagna di phishing tramite SMS . Nei documenti, l’azienda identifica un gruppo soprannominato dai ricercatori “Smishing Triad” e sostiene che il nucleo di questa rete abbia sede in Cina.

Google stima che oltre 1 milione di persone in 120 paesi siano già state colpite dalle campagne e che l’infrastruttura di attacco sia gestita da Lighthouse, un costruttore di phishing basato sul modello “phishing-as-a-service” .

Le accuse invocano tre leggi statunitensi: il RICO (Resisting Organized Crime), il Lanham Act (Trademark and Unfair Competition Act) e il CFAA (Computer Fraud and Abuse Act). L’azienda sta cercando di intraprendere un’azione legale per bloccare i servizi degli aggressori e la piattaforma Lighthouse, che, secondo gli avvocati, produce una serie di pagine preimpostate per il furto di dati personali.

Lo schema di attacco è semplice ed efficace: il destinatario riceve una “notifica importante” con un link a un sito web falso. Lì, la vittima viene convinta a inserire informazioni riservate, dal codice fiscale e dai dati del conto bancario ad altre informazioni di pagamento. I pretesti tipici includono un presunto blocco della carta, un “debito” per commissioni governative, un “aggiornamento sulla consegna” o la segnalazione di una “transazione sospetta”.

Gli operatori hanno sfruttato la fiducia in marchi noti, tra cui E-ZPass, il servizio postale statunitense e i servizi del gigante della ricerca. Audit interni hanno scoperto oltre 100 mockup di pagine di accesso che utilizzavano loghi e design di Google per simulare accessi autentici e successivamente rubare le password.

L’azienda descrive l’entità del danno in termini crudi: solo negli Stati Uniti, gli aggressori potrebbero aver rubato tra 12,7 e 115 milioni di carte bancarie. Questa differenza è spiegata dalle differenze nelle fonti e nei metodi di calcolo, ma anche il limite inferiore dimostra l’aggressività dell’ecosistema in questione .

L’indagine ha toccato anche l’aspetto organizzativo. Secondo il consulente legale, circa 2.500 partecipanti si sono coordinati in un canale Telegram aperto: lì hanno reclutato appaltatori, discusso tattiche, testato e gestito Lighthouse. All’interno della struttura, sono stati identificati reparti separati: i broker di dati hanno fornito database di potenziali vittime, gli spammer hanno gestito le e-mail e un altro gruppo ha utilizzato le credenziali ottenute per successivi furti sulle stesse piattaforme.

Google sottolinea che questa è la prima causa intentata contro operazioni di phishing tramite SMS da parte di un’azienda tecnologica. Gli avvocati insistono sul fatto che, oltre agli strumenti legali, le regole del gioco debbano essere modificate anche a livello politico. Pertanto, l’azienda ha sostenuto tre iniziative bipartisan al Congresso: il GUARD Act (per proteggere i risparmiatori anziani dalle frodi), il Foreign Robocall Elimination Act (per creare una task force contro le robocall straniere) e lo Scam Compound Accountability and Mobilization Act (per reprimere i centri di phishing e assistere le vittime della tratta di esseri umani all’interno di tali centri).

L’azienda ha recentemente introdotto Key Verifier e algoritmi basati sull’intelligenza artificiale in Google Messaggi per filtrare con maggiore precisione i messaggi sospetti e bloccare i link dannosi prima che vengano cliccati.

L’obiettivo dell’azienda è chiaro: fermare la diffusione di Lighthouse, creare un precedente che raffreddi l’ardore dei seguaci di questi criminali e ridurre i rischi per le persone e le organizzazioni i cui marchi gli aggressori si sono appropriati per “legittimare” i loro siti web. Se il tribunale accogliesse la causa, Smishing Triad perderebbe una piattaforma fondamentale, rendendo più facile per gli ISP e le forze dell’ordine smantellare simultaneamente i nodi rimanenti di questa rete.

L'articolo Google contro la Mafia del Phishing Cinese! Intentata una Causa contro Lighthouse proviene da Red Hot Cyber.