Proofpoint ha pubblicato il secondo volume del suo studio annuale “Human Factor 2025” , incentrato sul phishing e sugli attacchi basati su URL. L’analisi dei dati da maggio 2024 a maggio 2025 mostra che gli aggressori utilizzano sempre più spesso il social engineering in combinazione con i link, che sono diventati il principale vettore per attaccare gli utenti.

Secondo le statistiche, i link sono stati riscontrati quattro volte più spesso degli allegati con contenuti dannosi. Oltre il 55% degli SMS con tracce di phishing conteneva un URL e il numero di campagne con la tecnica ClickFix è aumentato di quasi il 400% in un anno. In totale, i ricercatori hanno registrato 3,7 miliardi di tentativi di furto di credenziali tramite link dannosi, contro gli 8,3 milioni di tentativi di distribuzione di malware, il che conferma che l’obiettivo principale degli aggressori oggi è compromettere gli account.

Particolarmente preoccupante è il crescente numero di attacchi che utilizzano servizi legittimi. Gli aggressori mascherano URL dannosi come documenti su OneDrive o Google Drive e creano anche pagine di autorizzazione false, indistinguibili da quelle reali. L’uso diffuso di modelli di intelligenza artificiale generativa consente loro di perfezionare all’infinito i modelli di email di phishing, aumentandone la persuasività.

Tra gli strumenti principali ci sono kit di phishing già pronti all’uso come CoGUI e Darcula. Il primo è attivamente utilizzato da gruppi di lingua cinese e si rivolge principalmente agli utenti in Giappone, il secondo viene utilizzato negli attacchi SMS , spesso spacciandosi per messaggi provenienti da agenzie governative o aziende postali. Entrambi gli strumenti possono aggirare la protezione e persino intercettare i codici MFA.

Una delle tendenze più evidenti è stata la diffusione del programma ClickFix . Alla vittima viene mostrata una falsa finestra di errore o un CAPTCHA, che la invita a eseguire manualmente i comandi. Questo installa RAT , infostealer e downloader sul dispositivo. Le campagne ClickFix sono diventate una pratica comune, utilizzata sia da gruppi motivati finanziariamente che da attori statali.

Separatamente, gli esperti notano la crescita degli attacchi ai dispositivi mobili. Secondo il rapporto, nel 2024, il numero di minacce URL negli SMS è aumentato del 2534%. Nel 2025, almeno il 55% degli SMS di phishing conteneva link e il 75% delle organizzazioni ha confermato di aver subito tali attacchi. I principali attacchi sono le frodi con “multe stradali” e false notifiche di consegna.

Anche gli attacchi di phishing tramite QR code stanno guadagnando terreno. Solo nei primi sei mesi del 2025, Proofpoint ha identificato quasi 4,2 milioni di casi di abuso di codici QR. Questo vettore è comodo per i criminali, poiché consente loro di aggirare il filtro del gateway di posta: la vittima scansiona il codice su uno smartphone e finisce su un sito falso per rubare password o dati di carte di credito.

Il rapporto conclude che gli attacchi più distruttivi oggi non sono rivolti ai sistemi, ma alle persone. Tali campagne non possono avere successo senza un clic da parte dell’utente, il che significa che la principale linea di difesa è proteggere tutti i canali di comunicazione: dalle email aziendali alla messaggistica istantanea e ai servizi SaaS. Proofpoint consiglia soluzioni di intelligenza artificiale multilivello in grado di rilevare anche i più piccoli segnali di phishing in qualsiasi flusso digitale.

L'articolo Clicchi sui link degli SMS? Ecco 4,2 milioni di motivi per non farlo proviene da il blog della sicurezza informatica.

Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I malintenzionati prendono di mira la tecnologia Cisco Safe Links, ideata per mettere al sicuro gli utenti da indirizzi URL pericolosi, al fine di sviare i sistemi di individuazione e superare i controlli di rete, approfittando della credibilità legata al nome Cisco nel settore della sicurezza.

Secondo l’analisi di Raven AI, il vettore di attacco sfrutta Cisco Safe Links, un componente della suite Secure Email Gateway e Web Security di Cisco che riscrive gli URL sospetti nelle e-mail, indirizzando i clic attraverso l’infrastruttura di scansione di Cisco su secure-web.cisco[.]com. Gli aggressori hanno scoperto diversi metodi per generare Cisco Safe Link legittimi per scopi dannosi.

Quando gli utenti vedono URL che inizia con secure-web[.]cisco.com, istintivamente si fidano del collegamento grazie alla reputazione di Cisco nel campo della sicurezza informatica, creando quella che i ricercatori definiscono “fiducia per associazione”. Inoltre l’attacco aggira i tradizionali gateway di sicurezza della posta elettronica perché molti sistemi concentrano la loro analisi sui domini visibili negli URL.

Le tecniche principali includono sfruttano i servizi cloud che inviano e-mail tramite ambienti protetti da Cisco e riciclando i collegamenti sicuri generati in precedenza da campagne precedenti. Quando il dominio viene visualizzato come secure-web.cisco[.]com, spesso passa attraverso filtri che altrimenti segnalerebbero contenuti sospetti.

Tra gli esempi recenti rilevati da Raven AI figurano e-mail di “Richiesta di revisione documenti” dall’aspetto professionale provenienti da presunti servizi di firma elettronica, complete di branding e terminologia aziendale appropriati.

L’intelligenza artificiale contestuale di Raven AI ha identificato con successo questi attacchi analizzando simultaneamente più segnali, tra cui identità del mittente incoerenti, strutture URL sospette con parametri codificati e modelli di richiesta di documenti comunemente utilizzati nel phishing delle credenziali. La capacità del sistema di comprendere flussi di lavoro aziendali legittimi gli consente di individuare quando le comunicazioni si discostano dagli schemi previsti, anche quando sembrano redatte in modo professionale.

Questo comporta una trasformazione radicale nel panorama delle minacce informatiche, dove i malintenzionati prendono di mira i processi organizzativi e la psicologia dell’utente, andando oltre le semplici vulnerabilità tecnologiche.

L'articolo I Criminal Hacker sfruttano Cisco Safe Links per attacchi di phishing proviene da il blog della sicurezza informatica.

In what sounds like the plot from a sci-fi movie, scientists have isolated an incredibly rare immune mutation to create a universal antiviral treatment.

Only present in a few dozen people worldwide, ISG15 immunodeficiency causes people to be more susceptible to certain bacterial illnesses, but it also grants the people with this condition immunity to known viruses. Researchers think that the constant, mild inflammation these individuals experience is at the root of the immunoresponse.

Where things get really interesting is how the researchers have found a way to stimulate protein production of the most beneficial 10 proteins of the 60 created by the natural mutation using 10 mRNA sequences inside a lipid nanoparticle. Lead researcher [Vagelos Bogunovic] says “we have yet to find a virus that can break through the therapy’s defenses.” Researchers hope the treatment can be administered to first responders as a sort of biological Personal protective equipment (PPE) against the next pandemic since it would likely work against unknown viruses before new targeted vaccines could be developed.

Hamsters and mice were given this treatment via nasal drip, but how about intranasal vaccines when it comes time for human trials? If you want a short history of viruses or to learn how smartwatches could help flatten the curve for the next pandemic, we’ve got you covered.

hackaday.com/2025/08/19/antivi…

A cura di Luca Stivali e Roland Kapidani.

Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-action su Telegram, stessi sample in alta risoluzione. Cambiano solo i nomi degli hotel.

La geografia delle vittime è sorprendentemente estesa: da Milano a Roma, passando per Rimini, Bardonecchia, Montecatini, Venezia e Ischia, fino a Palma di Maiorca. Ed è proprio quest’ultimo caso, quello di Maiorca, che introduce un dettaglio critico — l’esplicita menzione di un ‘private cloud bucket’ — che ha acceso il nostro campanello d’allarme sull’esistenza di una probabile catena d’attacco unificata, ben oltre gli scenari di compromissione individuale degli hotel.

A ogni post corrisponde un pacchetto di scansioni fronte/retro di documenti d’identità, ordinate “per paese d’origine” e vendute a blocchi da qualche migliaio fino a decine di migliaia di documenti. In totale, oltre 177.000 immagini sensibili messe sul banco.

La tempistica è troppo precisa per essere casuale. I post parlano di “guest management system” e “KYC di check-in”. I nomi dei file nei sample seguono lo stesso schema (UUID con suffisso _front/_back.jpg). In diversi thread la finestra è “fine luglio / inizio agosto 2025”. In quello spagnolo si cita esplicitamente un “private cloud bucket”.

Non è la classica somma di piccoli disastri locali: è l’effetto di un unico punto debole a monte, molto probabilmente un fornitore SaaS che tanti hotel usano per acquisire e archiviare i documenti alla reception. Una volta dentro quel perimetro – pannello multi-tenant, API, bucket di storage – si scarica cliente per cliente. E si monetizza per lotti.

L’economia della campagna è lineare. I pacchetti “turistici” da 20–22 mila immagini stanno a 10.000 dollari l’uno, i dataset “premium” come Venezia (38k) e Ischia (30k) salgono a 20k e 14k. I dump piccoli (Cassino 1,7k, Montecatini 3,6k) fanno da esca: prezzo accessibile, velocità di vendita, feedback sul profilo.

In media siamo intorno a 0,46$ per documento, una cifra che dice tutto sulla disponibilità del mercato nero a pagare per materiale che bypassa i controlli KYC. Perché è questo il punto: scansioni nitide, MRZ leggibile, fronte/retro. Il carburante perfetto per frodi identitarie di nuova generazione.

Cosa ci fanno, davvero, con questi documenti

Il primo utilizzo è banale e devastante: onboarding KYC su neo banche, wallet e exchange crypto che accettano la verifica solo documentale o con selfie liveness di base. Con scansioni in alta qualità e qualche trucco (stampa in scala reale, schermo ad alta luminanza, “document puppeteering”), molte pipeline di verifica cedono.

Si aprono conti “puliti” per riciclare denaro, incassare truffe, far transitare pagamenti di mule. Il secondo è il credito istantaneo: BNPL, microprestiti, linee revolving. Qui contano rapidità e tasso di accettazione; se la piattaforma è poco matura, bastano foto chiare e dati coerenti per ottenere merce o denaro che non verrà mai restituito.

Quando parliamo di onboarding KYC ci riferiamo al momento in cui una banca, un’app di pagamenti o una piattaforma di trading online deve “conoscere il cliente” (Know Your Customer). In pratica, al nuovo utente viene chiesto di caricare la foto del documento e talvolta un selfie, per dimostrare che la persona esiste davvero. È una misura pensata per fermare truffatori e riciclatori di denaro. Ma se i criminali mettono le mani su scansioni autentiche di passaporti e carte d’identità, possono usarle al posto della vittima e ottenere accesso a conti e servizi in maniera fraudolenta.

Poi c’è il mondo delle telecomunicazioni. Con un documento valido e l’abbinata di dati anagrafici reperibili altrove, si forza una portabilità o un duplicato SIM: il passaggio successivo è il SIM swap, con l’accesso ai codici OTP e l’account takeover di servizi bancari e caselle email. Non serve essere un APT: serve il documento giusto e l’operatore sbagliato.

Un altro uso meno evidente è la creazione di identità sintetiche. Si combinano pezzi reali (documento di Tizio) con tracce digitali di Caio (residenza, utenze, social “di supporto”), si costruisce un soggetto semi-plausibile e lo si fa crescere: piccoli acquisti, sottoscrizioni, cronologia “pulita”. Dopo qualche mese quell’identità è abbastanza “viva” da superare score di antifrode più severi. Le scansioni di qualità sono la base iconografica per questi avatar: consentono anche manipolazioni convincenti (cambio foto, ritocchi del background, watermark rimossi) che confondono sia l’occhio umano sia alcuni motori di validazione automatica.

C’è poi l’ingegneria sociale. Con il documento in mano, un helpdesk è più incline a “riconoscere” il chiamante; nei processi di account recovery molti operatori ancora accettano un ID mostrato in video call. Quei file resteranno in circolazione per anni, perché un documento d’identità non “scade” come una password.

Come si buca un fornitore a monte

Il quadro tecnico più verosimile è un pannello multi-tenant o un object storage condiviso tra clienti, con controlli granulari insufficienti. Bastano API key finite in log pubblici, una chiave hard-coded in un device di scansione, o una vulnerabilità nel modulo di upload/consultazione per ottenere un primo accesso. Da lì, se i tenant non sono isolati come dovrebbero, si passa da un hotel all’altro. A volte non serve neppure la vulnerabilità: una exposed bucket policy “list/get” senza ip-allow list è un invito. E se il provider non applica rotazioni e MFA sugli account operativi, l’accesso resta silenzioso per settimane.

Non è un caso che i post abbiano tutti la stessa finestra temporale: fine luglio / inizio agosto. È la fase in cui l’attaccante ha probabilmente stabilizzato l’accesso, schedulato gli export, e assemblato i pacchetti da vendere.

L’inserzione spagnola, con il riferimento esplicito al “private cloud bucket”, è il tassello che unisce i puntini: un servizio transnazionale, non il NAS di un singolo hotel.

Perché succede (e continuerà a succedere)

Abbiamo chiesto direttamente a MyDocs di darci qualche indizio su cosa accomuna tutti gli exploit che hanno colpito gli hotel italiani. Questa la sua risposta:

Thank you for your message.

If we had to point to a common factor behind the recent incidents affecting hotels in Italy, it would likely be the human element — specifically, the tendency not to change default or weak passwords, combined with the effectiveness of social engineering techniques.

These two aspects continue to be exploited across various sectors, and unfortunately, hospitality is no exception.

We hope this small insight is helpful for your research and awareness initiatives.

Best regards, MyDocs

L’attaccante mette in evidenza un punto che a noi di RHC sta particolarmente a cuore: il problema legato alle persone e ai processi. Negli hotel, come in molti altri settori, la priorità è spesso l’esperienza del cliente, mentre la sicurezza rimane in secondo piano. Questo favorisce la persistenza di password di default, scarsa rotazione delle credenziali e bassa formazione del personale: condizioni che aprono la porta a intrusioni malevole.

Come dimostra la risposta di MyDocs, la minaccia non è solo tecnica, ma organizzativa e culturale. Threat actor come lui sfruttano vulnerabilità “semplici” e ripetibili, scalando facilmente da una struttura all’altra con lo stesso approccio.

L’intervento del CERT-AgID

Nel pieno dell’escalation dei post di mydocs, il CERT‑AgID si è attivato con comunicati ufficiali per mettere in guardia sia il settore digitale sia i cittadini. Il primo, pubblicato il 6 agosto 2025, rilevava la presenza “di decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento” sottratti a hotel italiani attraverso accessi non autorizzati.

Il dipartimento ha anche diramato una circolare ai gestori di servizi fiduciari (ad es. SPID o firma digitale), invitandoli a rafforzare le pratiche di verifica documentale e sensibilizzando le strutture sull’impatto della vendita illegale di documenti. Inoltre, AgID ha rivolto un appello ai cittadini affinché prestino attenzione a possibili utilizzi illeciti dei propri documenti, come richieste di credito sospette o l’apertura non autorizzata di conti, e a segnalarli tempestivamente alle autorità.

E adesso?

La risposta non può essere solo legale, anche se qui il GDPR sarà protagonista: trattamenti ad alta sensibilità, dovere di notifica al Garante e agli interessati, audit sui Data Processing Agreement con il fornitore. Serve rimettere mano all’architettura. Tradotto: conservare meno, per meno tempo, e meglio. Le copie di documenti dovrebbero essere tokenizzate e segregate; gli originali cifrati con chiavi gestite dal titolare; l’accesso ai bucket ristretto a processi server-to-server con policy minimali. Telemetria: se qualcuno scarica ventimila JPG in tre ore, deve accendersi un riflettore, non un LED.

Il conto, alla fine, lo pagano tutti: gli hotel, che vedono la fiducia dei clienti sgretolarsi, i fornitori, che dovranno spiegare tecnicamente l’accaduto, le persone ritratte che scopriranno tra mesi – magari alla prima carta rifiutata o alla SIM disattivata – cosa significa far parte di un dataset “ordinato per paese”. Finché continueremo a trattare il documento d’identità come un semplice allegato JPG dentro un SaaS, la domanda non sarà se vedremo un’altra campagna come questa. Ma quando e quanto grande.

Ed è qui che torna il nodo centrale: le persone e i processi. Nessuna tecnologia, da sola, potrà mai prevenire la mancanza di una cultura alla sicurezza. Senza formazione continua per chi lavora in reception, senza procedure chiare per la gestione delle identità digitali, ogni investimento tecnico rischia di trasformarsi in un castello di sabbia. La sicurezza non è (solo) un firewall o un cloud più robusto: è la somma di scelte quotidiane, di processi corretti e di persone consapevoli.

L'articolo Dark web e hotel italiani: ecco cosa ci ha rivelato MyDocs sui documenti rubati proviene da il blog della sicurezza informatica.

I truffatori del Sud-est asiatico hanno trovato un nuovo modo per riciclare denaro utilizzando carte di credito rubate. I ricercatori hanno segnalato un sistema che chiamano “ghost-tapping“, in cui i dati delle carte rubate vengono caricati su un telefono chiamato “bruciatore” e poi utilizzati per effettuare acquisti nei negozi.

In primo luogo, i criminali ottengono i dati delle carte di credito tramite phishing, ingegneria sociale o virus per dispositivi mobili. Per aggirare la protezione, intercettano i codici monouso che la banca invia al cliente. Le informazioni rubate vengono quindi collegate al telefono sotto il controllo dei truffatori. A volte viene utilizzato un software speciale che consente di inviare i dati a più dispositivi contemporaneamente.

Questi telefoni vengono poi venduti su canali Telegram chiusi. Gli acquirenti sono organizzazioni criminali che assoldano prestanome per fare shopping. Il più delle volte, si tratta di beni di lusso che vengono poi rivenduti, anche attraverso gli stessi canali Telegram.

La polizia di Singapore ha già registrato un aumento di tali attacchi. Solo negli ultimi tre mesi del 2024, sono stati registrati 656 casi in cui i dati delle carte rubate sono stati utilizzati per collegare portafogli mobili. Il danno totale è ammontato a circa 1,2 milioni di dollari. Le autorità avvertono i residenti di non inserire i dati delle carte di credito su siti dubbi e soprattutto di non confermare le transazioni con password monouso.

Lo scorso novembre, la polizia di Singapore ha arrestato quattro cittadini cinesi che cercavano di acquistare beni costosi per conto di gruppi criminali. In primavera, due cittadini taiwanesi sono stati arrestati per azioni simili. Questo si inserisce in una tendenza più ampia: l’Ufficio delle Nazioni Unite contro la Droga e il Crimine ha precedentemente rilevato un rapido aumento delle operazioni fraudolente nella regione e la creazione di un’intera “industria” di servizi a supporto di tali schemi.

Secondo i ricercatori, una parte significativa delle vendite tramite ghost-tapping avviene tramite i canali Telegram associati alla piattaforma Huione Guarantee. Nonostante l’annuncio della sua chiusura a maggio, la sua infrastruttura continua a funzionare ed è utilizzata dai criminali. Inoltre, le piattaforme alternative Xinbi Guarantee e Tudou Guarantee sono attive e offrendo servizi simili per incassare fondi rubati.

Gli esperti avvertono che la combinazione di professionalità e portata di tali programmi oltre i confini nazionali li rende una seria sfida per le forze dell’ordine in Asia e altrove.

L'articolo Ghost-tapping: come i truffatori asiatici riciclano denaro con dalle carte di credito rubate proviene da il blog della sicurezza informatica.

Proseguo con la ripubblicazione dei miei post "Alternative", postati inizialmente su Facebook per raggiungere anche chi non ha mai sentito parlare di possibilità alternative...

Quello su Pockets è stato un post scritto in fretta in concomitanza con la chiusura del servizio da parte di Mozilla. Ne ho approfittato per parlare di mastodon.uno e della sua offerta riservata agli utenti. Mi pare corretto riportare comunque il post originale.

---
Approfitto della notizia a proposito di Mozilla che chiuderà domani il servizio "Pockets" di Firefox (utile per salvare articoli e pagine web per leggerle con calma) per segnalare che il gruppo Devol, che gestisce le istanze italiane Mastodon.uno, Pixelfed.uno, Peertube.uno e tanti altri servizi, ha messo a disposizione degli utenti del Fediverso italiano le app libere #wallabag e #readeck, che sono degli ottimi sostituti e in più sono libere e ospitate su server in Europa alimentati con energie rinnovabili (come tutti i servizi Devol)!
Per poterne usufruire, dovrete essere utenti attivi di una delle piattaforme gestite dal gruppo, perciò... quale miglior occasione di affacciarsi al Fediverso?
Date un'occhiata su www.mastodon.uno e entrate a far parte della più grande community italiana dell'universo social libero e federato, la rete sociale in cui ciascuno è realmente padrone di quello che vede (nel feed) e di quello che condivide.
---

Ahimé rimugino molto, e quando arriva il caldo divento ancora peggio.

Poco fa riflettevo su quanto il movimento del free software si sia snaturato nel tempo. Oggi, purtroppo, l'ho visto diventare solo un modo come un altro per veicolare una visione estremista delle cose, che non giova a nessuno. Un esempio?

Qualche settimana fa un amico su Mastodon ha detto di trovarsi in difficoltà con il suo browser (non ricordo nemmeno per quale ragione, o quale fosse il browser), e che aveva provato Vivaldi ma non si era trovato bene perché mancava una certa opzione. Visto che uso Vivaldi gli ho fatto presente che esisteva quell'opzione, e l'amico in questione ha detto che lo avrebbe riprovato.

A questo punto della discussione sono entrati a gamba due utenti, mettendo in discussione le esigenze personali e le scelte. Per capirci, se dicevo che uso Vivaldi mi rispondevano che non andava bene perché non è open. Rispondevo che so benissimo che non è 100% open, ma lo preferivo a Firefox dopo che Mozilla è diventata quel che è. Non entrando minimamente nel merito di questa mia affermazione, hanno cominciato ad attaccarmi sul fatto che la sincronizzazione di segnalibri e password è un grave problema per la privacy, ecc.

Insomma, per come l'ho vissuta io, una trollata. Conversazione lasciata cadere, non valeva la pena.

Ma continuo a pensarci.

Mi chiedo perché come esseri umani dobbiamo sempre rompere gli zebedei e affrontare le cose in maniera così tranchante e pure un po' estremista. Voglio dire, ma se vedi un gruppo di persone che discute di Vivaldi, perché devi fare presente che "non è free", lasciando intendere 1) che non lo sappiano 2) che di conseguenza è il male è assoluto?

Il software libero NON era questo, e non è nato per questo. Il software libero era un movimento di persone che cercavano di migliorare le cose, non di cadere in estremismi vari, e oggi purtroppo vedo che accade più spesso la seconda cosa. Pur comprendendo l'importanza del free software, che continuo a promuovere, non credo che il modo migliore di farlo sia quello di fare i duri e puri.

Ma questo è solo un esempio, ci siamo capiti.

Dovremmo seriamente pensare come fare a rieducarci ad una visione del mondo più morbida, dove non esiste solo il bianco o il nero, perché la realtà è molto più complessa di una dicotomia sterile tra due soli punti di vista.

#discussioni #tolleranza #estremismi