In seguito a una violazione dei dati personali e bancari che ha coinvolto i clienti di Intesa Sanpaolo Spa, il Garante per la Protezione dei Dati Personali ha imposto all’istituto bancario un termine di 20 giorni per notificare gli interessati.

L’intrusione, attribuita a un dipendente della banca, è stata valutata dall’Autorità come un “rischio elevato per i diritti e le libertà delle persone coinvolte”, viste la natura e le possibili conseguenze della violazione.

Di seguito quanto riportato sul sito del Garante per la protezione dei Dati:
Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.

È quanto deciso dal Garante Privacy a seguito dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità.

L’Autorità ritiene infatti, diversamente da quanto valutato dalla Banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).

Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.

Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.
L'articolo Garante Privacy a Banca Intesa: 20 giorni per informare i clienti della violazione dei dati proviene da il blog della sicurezza informatica.

Gli specialisti del dipartimento di risposta alle minacce alla sicurezza informatica di Positive Technologies Security Expert Center (PT ESC IR) hanno presentato al forum SOC le statistiche sui risultati dei progetti di indagine sugli incidenti informatici nelle zone da loro coperte.

Alla fine dell’anno durante l’ultimo trimestre del 2023 e nei primi tre trimestri del 2024, gli specialisti sono stati contattati più spesso da imprese industriali, agenzie governative e società IT. I motivi principali degli attacchi riusciti sono stati software obsoleti, la mancanza di autenticazione a due fattori e la debole segmentazione della rete aziendale.

Secondo il rapporto, il 39% delle aziende analizzate presentava tracce dell’attività di 17 noti gruppi APT. Questi gruppi sono identificati dagli strumenti e dal malware che utilizzano, dalla loro infrastruttura e dalle loro tattiche. Spesso utilizzano software specifici per accedere, raccogliere e rubare dati da remoto. La maggior parte dei gruppi identificati sono altamente qualificati e sono in grado di raggiungere rapidamente i propri obiettivi.

Tra tutti i gruppi scoperti durante il periodo di ricerca, il team di PT ESC ne ha individuati tre: Hellhounds come uno dei più avanzati in termini di tecniche, ExCobalt come il più attivo e XDSpy come il gruppo più longevo (attacca aziende in Russia dal 2011).

La frequenza degli attacchi tramite terze parti è aumentata del 15% nel corso dell’anno. Molti di questi appaltatori forniscono servizi a decine di clienti. “Nonostante la percentuale di tali attacchi sia ancora piccola, il danno reale e potenziale derivante dall’hacking di partner fidati ma non protetti sta diventando una valanga”, osserva Positive Technologies. Tra i metodi di prima penetrazione il posto di primo piano è ancora occupato dallo sfruttamento delle vulnerabilità nelle applicazioni web. Nell’ultimo anno, il maggior numero di attacchi (33%) si è verificato su siti che utilizzano il CMS 1C-Bitrix (CMS molto diffuso in Russia), rendendoli il principale vettore di penetrazione attraverso applicazioni web vulnerabili. Allo stesso tempo, la quota degli attacchi iniziati con lo sfruttamento delle vulnerabilità nei server di posta Microsoft Exchange è scesa dal 50% al 17%.

Nel 35% delle aziende sono stati registrati incidenti classificati come “criminalità informatica”: attacchi concentrati principalmente su azioni distruttive, come la crittografia e la distruzione dei dati. In questi casi, gli aggressori utilizzano generalmente ransomware, software legittimo per crittografare le informazioni e wiper per eliminare completamente i dati. Questi strumenti vengono utilizzati anche per nascondere le tracce e rendere il più difficile possibile il processo di indagine sugli incidenti.

Rispetto agli anni precedenti, la quota dei casi in cui gli incidenti informatici hanno causato interruzioni nei processi aziendali è aumentata dal 32% al 50%. La ragione di ciò potrebbe essere la maggiore attività degli hacktivisti e degli aggressori motivati ​​​​finanziariamente che sferrano attacchi DDoS ma anche dagli attacchi ransomware. Nel 19% dei progetti sono state individuate tracce di attività di intelligence e di spionaggio, solitamente associate alle attività dei gruppi APT. Nel 12% dei casi gli aggressori hanno tentato di scaricare dati riservati, evitando una lunga permanenza nell’infrastruttura aziendale. Come in precedenza, gli obiettivi principali degli attacchi sono rimasti gli host basati su Windows, ma significativa è stata anche la percentuale di attacchi contro host basati su Linux (28%).

Gli esperti notano un aumento significativo della domanda di lavoro di investigazione sugli incidenti da parte delle aziende nazionali. Negli ultimi due anni il loro numero è triplicato.

L'articolo Cybercrime in Crescita: Un incidente Informatico su Due Blocca i processi Aziendali proviene da il blog della sicurezza informatica.

It’s been about a decade since Amazon began to fly its delivery drones, aiming to revolutionize the online shopping experience with rapid delivery of certain items. Most recently Amazon got permission from the FAA to not only start flying from its new Arizona-based location, but also to fly beyond-line-of-sight (BLOS) missions with the new MK30 drone. We reported on this new MK30 drone which was introduced earlier this year along with the news of the Amazon Prime Air delivery service ceasing operations in California and moving them to Arizona instead.

This new drone has got twice the range as the old MK27 drone that it replaces and is said to be significantly quieter as well. The BLOS permission means that the delivery drones can service areas which are not directly visible from the warehouse with its attached drone delivery facility. With some people within the service range of the MK27 drones having previously complained about the noise levels, we will see quickly enough whether the MK30 can appease most.

As for the type of parcels you can have delivered with this service, it is limited to 2.27 kg (~5 lbs), which is plenty for medication and a range of other items where rapid delivery would be desirable.

hackaday.com/2024/11/06/amazon…

Recentemente, un cybercriminale noto nel Dark Web, ha dichiarato di aver ottenuto accesso root ai Firewall della rete aziendale di Asus Taiwan, grazie a un endpoint vulnerabile. Questo individuo, la cui identità è sconosciuta, ha messo in vendita l’accesso privilegiato, permettendo agli acquirenti di fare offerte per ottenere il controllo su una delle infrastrutture critiche di una delle maggiori aziende tecnologiche al mondo, con un fatturato di 16,4 miliardi di dollari.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della Violazione

Se l’accesso offerto dal criminale risultasse legittimo, le ripercussioni per Asus Taiwan sarebbero enormi. La rete aziendale potrebbe essere completamente compromessa, esponendo dati riservati, progetti, proprietà intellettuale e persino informazioni finanziarie a potenziali attacchi. Ma le conseguenze si estenderebbero anche a clienti, partner e fornitori, con una catena di rischio che si allargherebbe fino a coinvolgere ogni punto di contatto dell’azienda. In uno scenario peggiore, la rete Asus Taiwan potrebbe trasformarsi in una piattaforma per attacchi su larga scala rivolti ad altre organizzazioni.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Perché un Accesso Root ai Firewall è Estremamente Pericoloso?

Se l’affermazione fosse confermata, l’accesso ai Firewall fornirebbe all’aggressore una vera e propria “chiave” per muoversi liberamente all’interno della rete di Samsung. Questo tipo di accesso è estremamente rischioso per molteplici motivi:

• Movimento Laterale: Gli aggressori potrebbero facilmente navigare attraverso vari segmenti della rete aziendale alla ricerca di risorse preziose e vulnerabili.
• Evasione dei Controlli: I Firewall rappresentano il punto nevralgico della sicurezza di rete; il controllo completo su questi apparati rende possibile eludere meccanismi di sicurezza e monitoraggio.
• Accesso a Risorse Critiche: I Firewall proteggono i dati più sensibili e le applicazioni fondamentali per il business. Un accesso non autorizzato potrebbe potenzialmente compromettere file riservati, credenziali e sistemi chiave.

Inoltre, i dati che potrebbero essere esposti includono anche proprietà intellettuali, progetti di ricerca e sviluppo e dati operativi fondamentali, mettendo a rischio la competitività e la reputazione dell’azienda.

Cosa sono i broker di accesso

I broker di accesso (o “Initial Access Brokers” in inglese) sono individui o gruppi che si specializzano nel compromettere inizialmente i sistemi informatici delle vittime e quindi vendere l’accesso non autorizzato a questi sistemi a gruppi di ransomware o altri attori malintenzionati.

Questi broker svolgono un ruolo cruciale nella catena di attacchi ransomware, poiché forniscono agli attori del ransomware un punto d’ingresso nei sistemi delle vittime.

Ecco come funziona tipicamente il processo dei broker di accesso:

1. Compromissione Iniziale: I broker di accesso cercano vulnerabilità nei sistemi informatici delle vittime o utilizzano tecniche di ingegneria sociale per ottenere l’accesso ai loro sistemi. Questa fase può coinvolgere l’utilizzo di malware, phishing, exploit di vulnerabilità o altre tattiche;
2. Mantenimento dell’Accesso: Una volta ottenuto l’accesso ai sistemi delle vittime, i broker lavorano per mantenere l’accesso in modo da poterlo vendere a gruppi di ransomware o altri acquirenti. Questo può includere la creazione di backdoor nascoste o l’installazione di strumenti di accesso remoto;
3. Vendita dell’Accesso: Una volta che hanno stabilito un accesso affidabile, i broker mettono in vendita l’accesso su forum o mercati clandestini online frequentati da attori malintenzionati. Gli acquirenti possono essere gruppi di ransomware, hacker criminali che cercano di rubare dati sensibili o altri attori interessati;
4. Attacco Ransomware: Gli acquirenti dell’accesso utilizzano l’accesso compromesso per condurre attacchi ransomware contro le vittime. In alcuni casi, i dati delle vittime vengono crittografati e viene richiesto un riscatto per ripristinare l’accesso ai dati.

Conclusione

Questo attacco è un campanello d’allarme per le aziende di ogni settore: nessuno è immune. È fondamentale che le organizzazioni rafforzino costantemente la sicurezza dei propri endpoint, monitorino i segnali di intrusione e applichino aggiornamenti di sicurezza senza indugio. La protezione dei firewall e la sicurezza perimetrale devono essere una priorità assoluta, soprattutto in un contesto in cui ogni vulnerabilità può trasformarsi in un vantaggio per chi cerca di sfruttarla.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo In Vendita Gli Accessi Root ai Firewall di Asus Taiwan sul Dark Web proviene da il blog della sicurezza informatica.

Introduction

In August 2024, our team identified a new crimeware bundle, which we named “SteelFox”. Delivered via sophisticated execution chains including shellcoding, this threat abuses Windows services and drivers. It spreads via forums posts, torrent trackers and blogs, imitating popular software like Foxit PDF Editor and AutoCAD. It also uses stealer malware to extract the victim’s credit card data as well as details about the infected device.

This report in a nutshell:

• SteelFox is distributed via forum posts and malicious torrents.
• It communicates with its C2 via SSL pinning and TLSv1.3. It utilizes a domain with a dynamically changing IP, and it is implemented using Boost.Asio library.
• SteelFox can elevate its privileges through exploitation of a vulnerable driver.

Kaspersky’s products detect this threat as
HEUR:Trojan.Win64.SteelFox.gen, Trojan.Win64.SteelFox.*.

Technical Details

Background

In August 2024, we stumbled upon a massive infection caused by an unknown bundle consisting of miner and stealer malware. During our investigation, we found out that the campaign started in February 2023. Although the stealer has not evolved significantly since then, it is being gradually changed to avoid detection. No functional changes are being added, but the author updates all the required dependencies.

Infection timeline

Initial infection

Our investigation has led us to the fact that SteelFox’s initial attack vector consists of several various publications on forums and torrent trackers. These posts refer to the SteelFox dropper as an efficient way to activate a legitimate software product for free. We’ve seen the dropper pretend to be a crack for Foxit PDF Editor, JetBrains and AutoCAD. While these droppers do have the advertised functionality, they also deliver sophisticated malware right onto the user’s computer.

Malicious dropper advertisement

SteelFox dropper

In this research, we describe the sample imitating an activator for Foxit PDF Editor. The initial stage of the SteelFox campaign is an AMD64 executable under the name
foxitcrack.exe with a large .rdata section. Judging by the high entropy, it seems that the file is packed. At the startup the program welcomes us with a GUI asking to choose the Foxit PDF Editor installation path.

Dropper GUI

Because Foxit’s installation directory resides in the “Program Files” folder, FoxitCrack asks for administrator access, which will be used for malicious purposes later.

The execution chain looks legitimate until the moment the files are unpacked. Prior to a legitimate function, a malicious one is inserted that is responsible for dropping malicious code onto the target user’s system.

Inserted malicious code

First, the second stage (the dropped malicious code) is decrypted with the AES-128 algorithm. Its parameters are also encrypted — they are decrypted once dropped by the first stage. The encryption scheme looks like this.
// Sbox decryption
for (int i = 0; i < 256; i++) {
SBox[i] = enc_Sbox[i + 16] ^ enc_SBox[i % 16];
}

for (int i = 0 i < 8; i++) {
key[i] = enc_key[i + 8] ^ enc_key[i % 8];
iv[i] = enc_iv[i + 8] ^ enc_iv[i % 8];
}
AES-128 is implemented via vector SIMD instructions, thus requiring the payload to be divided into 16-byte blocks.

Executable decryption

In later versions of the dropper, the actor implemented the same algorithm but used the AES-NI instruction-set extension. Since they operate with 16-byte blocks, it implies that the requirement for the payload size alignment remains in place.

After that, the embedded payload, which is, in fact, a PE64 executable, is modified to avoid detection. Linking timestamps are overwritten with a random date in the range between May and December 2022, along with the linker version. Random junk data is also inserted into the
.rdata section to avoid hash detection. This is accomplished with an embedded PE parser.

Junk insertion, linking date and linker version switching

The dropped PE is written into one of the three paths. The exact path depends on the dropper sample:

• C:\Program Files\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
• C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
• C:\Program Files\Autodesk\AdODIS\V1\Setup\lpsad.exe

The parameters of the malicious service are initialized as follows:

Service preparation

After this, the second-stage loader creates a service which writes itself to the autostart to persist in the system and remain active through reboots.

SteelFox loader

This service is started from
svchost.exe as a regular Windows service. First, it gets the full name of the current executable and compares it against service binary names to check whether the loader was started as a service. If the check is successfully passed, the service lists all running services (with a SERVICE_ACTIVE state), getting their executable paths and descriptions. This is quite a peculiar way to check against a debugger because if the binary is not started as a service, the loader will throw an exception and quit. This algorithm is obfuscated in the loader code, but after deobfuscating it resembles the following:vector<QUERY_SERVICE_INFOW> vec;
get_services_list(vec);
std::wstring serv_name;
GetModuleFileNameW(0, exec_name, 256);

for (auto service : vec) {
SC_HANDLE hService = open_service(service.lpServiceName);
LPCWSTR *bin_name = get_service_bin_path(hService, service.lpServiceName);

if (!wstrcmp(exec_name, bin_name) {
serv_name = service.lpServiceName;
break;
}
}

if (serv_name.empty()) {
throw std::system_error;
}
If these checks are passed, the malware creates a function table, which allows the attacker to perform decryption and create shellcodes. It also contains a random number generator along with placeholders.

The execution flow now proceeds to the
StartServiceCtrlDispatcherW function. It registers a dispatcher with a function that is responsible for decryption and injection. It controls the state of the service, handles the service restart and shutdown signals, and so on.
Before the actual payload is executed, the malware triggers an unusual persistence mechanism: a small but rather important step. This stage launches the AppInfo service and is then loaded inside that. This makes any user actions against this loader impossible because even copying this sample requires NT\SYSTEM privileges.

The target DLL is loaded via a malicious shellcode and encrypted with AES-128 in the same way as described earlier in the initial stage. The decryption of later versions is also implemented with AES-NI instructions.

The malicious shellcode is loaded in three fundamental steps. First, it creates an array of addresses to WinAPI functions that will be executed within the shellcode.

Gathering WinAPI addresses

Then the payload is decrypted with a rather simple XOR-based algorithm. After decryption, the shellcode is executed with hardcoded parameters.

Gathering WinAPI addresses

The shellcode is a basic loader: it utilizes provided imported WinAPIs to allocate memory for loading the final stage and to access library functions. This shellcode does not implement any protection against debugging. It remains just a basic PE loader that proceeds to the final stage.

SteelFox final stage

At the beginning, this stage (DLL) creates a mutex with a randomly generated name because its network communication heavily relies on multithreading and asynchronous network I/O. After that, it performs an important task: creating a service with a
WinRing0.sys driver running inside. This service is accompanied by a pipe named \\.\WinRing0_1_2_0 which allows the process to communicate with the driver. This is quite an old driver, vulnerable to CVE-2020-14979 and CVE-2021-41285, and allowing the actor to elevate privileges to NT\SYSTEM as soon as the direct unchecked communication with the driver is allowed and the attacker controls input forwarded to the driver. This driver is also a component of the XMRig miner, so it is utilized for mining purposes. The communication with the driver is performed in a separate thread.
After initializing the driver, the sample launches the miner. This represents a modified executable of XMRig with junk code fillers. It connects to a mining pool with hardcoded credentials.

The XMRig component is downloaded from one of the repositories at
hxxps://github[.]com/cppdev-123. It seems to get updates occasionally — we assume this is done in order to avoid detection of older versions.

GitHub payloads

After that, the malware resolves the IP address behind the
ankjdans[.]xyz domain which serves as a C2 server. Although the domain is hardcoded, switching IPs behind it helps the attacker remain undetected. SteelFox resolves this via Google Public DNS and DNS over HTTPS (DoH). This allows the attacker to hide the domain resolution.
After a successful IP resolution, the malware connects to its C2 server via TLSv1.3. This I/O model utilizes libraries like Boost.Asio and wolfSSL, which allows the attacker to implement end-to-end TLSv1.3 communication.

Unlike v1.2, TLS v1.3 generates a session secret from a preselected private key during the handshake stage. In this case, the shared secret is generated with a Windows cryptographically secure random number generator. Furthermore, SteelFox has fully implemented SSL pinning to ensure SSL communication can’t be wiretapped. Interestingly enough, SSL pinning is only enabled for C2 server communication.

GitHub payloads

When a connection is established, the stealer comes into play. This component can collect a large list of end users’ parameters. It enumerates browsers on the victim’s device and then compares them against the following list of browsers:

• chrome;
• opera;
• opera_gx;
• brave;
• firefox;
• yandex;
• wave;
• avg;
• avast;
• vivaldi;
• dragon;
• chedot;
• coccoc.

It extracts cookies, credit card data, browsing history and the list of visited places, the latter only from Mozilla Firefox. This is done with an embedded copy of SQLite3. Because the service runs as NT\SYSTEM, it calls the
ImpersonateLoggedOnUser API to get the security context for creating an SQL dump later.
The full list of extracted data is provided below.

Data is then combined into one large JSON that is sent to C2. The communication diagram is as follows.

Connection diagram

Victims

This campaign does not target any individuals or specific organizations. Instead, it operates on a larger scale, infecting everyone who stumbles upon the compromised software. At the time of this research, our security solutions had detected this threat more than 11,000 times. Users of various popular applications, such as AutoCAD, JetBrains and Foxit, are targeted. We have detected victims of this campaign worldwide, with most of the affected users in Brazil, China, Russia, Mexico, UAE, Egypt, Algeria, Vietnam, India and Sri Lanka.

TOP 10 countries targeted by SteelFox, August–September, 2024 (download)

Attribution

For this particular campaign, no attribution can be given. Posts with links to activators were either made by compromised accounts or by inexperienced users who were not aware of the threats they were spreading. This campaign was highly active on the Chinese platform Baidu and Russian torrent trackers.

Conclusions

SteelFox has emerged recently, and it is a full-featured crimeware bundle. It is capable of stealing various user data that might be of interest to the actors behind this campaign. Highly sophisticated usage of modern C++ combined with external libraries grant this malware formidable power. Usage of TLSv1.3 and SSL pinning ensures secure communication and harvesting of sensitive data.

SteelFox does not target any particular organizations or people. Instead, it acts on a mass scale, extracting every bit of data that can be processed later. To ensure protection from threats like this, install applications from official sources and use a reliable security solution that prevents downloading infected software.

Indicators of Compromise

Note: The indicators in this section are valid as at the time of publication.

File Hashes
Payload
fb94950342360aa1656805f6dc23a1a0

Loader

Dropper

File paths
C:\Program Files (x86)\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
C:\Program Files\Autodesk\AdODIS\V1\Setup\lpsad.exe

PDB paths
d:\hotproject\winring0\source\dll\sys\lib\amd64\WinRing0.pdb

Domains and IPs
hxxps://ankjdans[.]xyz
205.185.115[.]5

Malicious URLs
hxxps://github[.]com/DavidNguyen67/CrackJetbrains
hxxps://github[.]com/TrungGa123/Active-all-app-Jetbrains/
hxxps://github[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/
hxxps://github[.]com/TaronSargsyan123/ScaraSimulation
hxxps://raw.githubusercontent[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/TaronSargsyan123/ScaraSimulation/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/TrungGa123/Active-all-app-Jetbrains/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/DavidNguyen67/CrackJetbrains/main/jetbrains-activator.exe
hxxps://www.cloudstaymoon[.]com/2024/05/06/tools-1
hxxps://squarecircle[.]ru/Intelij/jetbrains-activator.exe
hxxps://drive.google[.]com/file/d/1bhDBVMywFg2551oMmPO3_5VaeYnj7pe5/view?usp=sharing
hxxps://github[.]com/cppdev-123

Windows commands used by attacker

securelist.com/steelfox-trojan…

Persone che condividono il suono delle loro foreste, che progetto meraviglioso!

Stefan Bohacek

2024-11-05 13:39:47

Ah, yes, this will be very useful today.

"People around the world recorded the sounds of their forests, so you can escape into nature, and unwind wherever you are. Take a breath and soak in the forest sounds as they breathe with life and beauty!"

tree.fm

via graphics.social/@metin/1134301…

#relax

tree.fm – Tune Into Forests From Around The World 🌳🔈

People around the world recorded the sounds of their forests, so you can escape into nature, while in lockdown or unable to travel. Use this site to chill, meditate or do some digital shinrin-yoku.

^www.tree.fm

Sicuri di far affari acquistando prodotti contraffatti? Un rapporto di Europol e dell'Ufficio dell'Unione europea per la proprietà intellettuale (EUIPO) avverte che i truffatori e le reti di criminalità organizzata utilizzano entità legali e scappatoie per evitare il rilevamento da parte delle autorità, e trarre profitto dall'appetito dei consumatori ’ a prezzi bassi con prodotti falsi.

Il rapporto di Europol «UNCOVERING THE ECOSYSTEM OF INTELLECTUAL PROPERTY CRIME / A focus on enablers and impact" («Scoprire l'ecosistema del crimine della proprietà intellettuale: un focus sugli abilitatori»), fa luce sui sofisticati metodi impiegati dai truffatori e dai gruppi criminali organizzati per commettere reati di proprietà intellettuale (PI) e sfruttare i comportamenti dei consumatori. Sottolinea l' impatto del crimine di proprietà intellettuale su una società più ampia, guidata da merci contraffatte e contenuti piratati. Il reato di proprietà intellettuale implica il furto, l'infrazione e l'uso non autorizzato della proprietà intellettuale, come i diritti d'autore, i disegni, i marchi, i brevetti e le indicazioni geografiche di origine, e i reati connessi ai segreti commerciali. Comprende la contraffazione, la produzione di beni che recano falsi marchi e la pirateria, la distribuzione illegale di materiali protetti. Il crimine IP minaccia quindi la sicurezza interna dell'UE, non solo l'economia, ma anche la salute dei consumatori, la sicurezza e l'ambiente naturale.

Questa relazione (un rapporto congiunto di analisi strategica EUIPO-Europol prodotto nell'ambito di EMPACT) descrive quindi i processi criminali alla base del crimine IP, esaminando i fattori che lo consentono e la sua connessione con altri reati organizzati. Sottolinea anche gli effetti dannosi sulle imprese e sui consumatori dell'UE.

Secondo il rapporto, circa 86 milioni di articoli falsi sono stati sequestrati nell'UE solo nel 2022, con un valore totale stimato superiore a 2 miliardi di EUR. Lo studio sottolinea che, sebbene i consumatori siano attratti da beni a basso prezzo, le loro decisioni supportano inavvertitamente una serie di altri reati gravi, tra cui il crimine informatico, il riciclaggio di denaro e persino il crimine ambientale.

João Negrão, direttore esecutivo dell'EUIPO, sottolinea l'importanza della consapevolezza dei consumatori: "Quando i consumatori optano per prodotti contraffatti o vengono indotti in errore nell'acquistare falsi, non solo ricevono beni scadenti, ma contribuiscono anche a un'economia sommersa che mina le imprese legittime e alimenta altre attività criminali. È essenziale comprendere il costo reale delle merci contraffatte – un costo che si estende oltre il prezzo e influisce sul benessere della nostra società ".

Salute e sicurezza dei consumatori sono messi a repentaglio quando prodotti farmaceutici scadenti o falsificati emergono da laboratori clandestini pericolosi, esponendo i lavoratori e il pubblico a sostanze nocive. Inoltre, il dominio digitale è diventato un campo di battaglia, con i criminali informatici che fabbricano sofisticati negozi online falsi che non solo vendono prodotti contraffatti ma raccolgono anche informazioni sensibili sui pagamenti dei consumatori, intrecciando ulteriormente il crimine IP con il crimine informatico.

(Un laboratorio clandestino di sostanze ormonali illecite)

A sua volta Catherine De Bolle, direttore esecutivo di Europol, sottolinea: "I gruppi criminali organizzati stanno continuamente innovando per sfruttare la domanda dei consumatori di prodotti contraffatti e piratati. Non stanno solo vendendo prodotti falsi, ma stanno anche rubando dati personali ed esponendo i consumatori a prodotti pericolosi. È un'arma a doppio taglio in cui i consumatori sono vittime e, inconsapevolmente, abilitatori di queste reti criminali ".

Nel complesso, il rapporto evidenzia la crescente raffinatezza dei criminali IP. Le reti criminali organizzate si estendono oltre i confini, impegnandosi nell'importazione, esportazione e produzione di merci contraffatte, la maggior parte delle quali sono prodotte in Cina, Hong Kong e Turchia.

Gli attori di queste operazioni non sono dilettanti. Secondo il rapporto si avvalgono di strutture legali in tutte le fasi del crimine di proprietà intellettuale e selezionano giurisdizioni in cui è difficile per le forze dell'ordine dell'UE chiuderle o dove le sanzioni sono basse. In molti casi, i prodotti contraffatti vengono prodotti al di fuori dell'UE e quindi finalizzati con tag, loghi falsi e imballaggi in siti in Europa.

Questa relazione congiunta UEIPO-Europol è stata al centro dell'attenzione alla Conferenza sulla criminalità IP, organizzata a Madrid il 24-25 ottobre 2024 dall'EUIPO, Europol e Guardia Civil spagnola.

L'evento, intitolato “Segui i soldi per combattere il crimine IP, ” ha riunito oltre 240 delegati di forze dell'ordine, enti governativi e rappresentanti del settore privato in tutto il mondo per discutere strategie innovative per combattere il crimine di proprietà intellettuale (IPC) e le relative implicazioni di criminalità finanziaria.

La conferenza ha sottolineato la necessità di un approccio multisettoriale alla lotta contro l'IPC, incentrato sulla traccia finanziaria e sui partenariati pubblico-privato. Le discussioni hanno enfatizzato la condivisione delle conoscenze, il miglioramento della capacità investigativa e le pratiche di recupero delle risorse collaborative. Inoltre, i rappresentanti di Europol e EUIPO hanno rafforzato il ruolo del settore privato nel sostenere l'applicazione della legge attraverso la condivisione e la formazione dei dati. Un panel è stato dedicato al ruolo degli influencer dei social media, concentrandosi sul loro impatto sui comportamenti di acquisto contraffatti e ha sottolineato l'importanza delle campagne di sensibilizzazione.

@Politica interna, europea e internazionale

Negli ultimi decenni, scrive il saggista Mike Rothschild, le teorie sulla famiglia hanno progressivamente ceduto il passo a quelle su George Soros, il finanziere di origine ebraica che ha rimpiazzato i Rothschild nelle fantasie complottiste globali.

Un articolo su #Factanews di Leonardo Bianchi, giornalista esperto di tesi complottiste, autore di libri sull'argomento.

facta.news/articoli/rothschild…

@Storia
#Storia #complottismo #LeonardoBianchi

L’immortale mito antisemita dei Rothschild, la famiglia al centro di ogni teoria del complotto

Dall’Ottocento a oggi, la famiglia di banchieri di origine ebraica è il bersaglio preferito di antisemiti e complottisti

^{Leonardo Bianchi (Facta)}