Frodi online: Tg1 – Intervista Arturo Di Corinto del 7 Novembre 2022


Fatture in Cloud, Aruba, Dhl: attenti a phishing e sim swapping
Hacker’s Dictionary. La duplicazione della Sim card è l’anticamera di molte truffe bancarie, e comincia con i dati ottenuti attraverso il phishing. Verizon, D3Lab e Cert-Agid lanciano l’allarme. Ecco i consigli per proteggersi
di ARTURO DI CORINTO per Il Manifesto del 27 Ottobre 2022
Verizon, tra i maggiori operatori Usa di telecomunicazioni, qualche giorno fa ha notificato ai propri utenti un attacco ai loro account finalizzato al SIM swapping per sfruttare i dati di carte di credito divulgate illegalmente. Che cos’è il Sim swapping? É lo “scambio”, ovvero la duplicazione della Sim card del proprio numero di telefono.
Affinché un criminale possa riuscirci deve però prima ottenere l’accesso ai dati personali dell’utente, si tratti di carte di identità, numero di telefono con nome e cognome, oppure altri dati che possono essere rubati con tecniche di phishing. A quel punto il delinquente può contattare l’operatore mobile fingendo di essere l’utente di un telefono perduto e ottenere una nuova Sim. Alcuni operatori consentono di farlo via Internet, ma la criminalità organizzata è così spavalda da rivolgersi anche in negozio.
Ottenuto il duplicato della Sim, il delinquente può inserirla in un altro dispositivo e acquisire tutte le informazioni e i dati dell’account della vittima, riuscendo ad aggirare il processo di autenticazione a due fattori che protegge servizi essenziali come l’home banking e i servizi di e-commerce, identità digitale, eccetera.
Per questo è molto importante prestare attenzione alle tecniche di phishing, la tecnica fraudolenta che ci porta a cedere fiduciosi i nostri dati personali.
Proprio ieri il Threat Intelligence Team di D3Lab durante la normale routine di analisi delle frodi online ha rilevato una pericolosa campagna di phishing ai danni di Fatture in Cloud, un servizio e portale web per la fatturazione online di società e autonomi con partita Iva che attraverso il suo portale gestiscono fatture, preventivi e acquisti. La campagna, diffusa tramite e-mail, richiede all’utente di confermare il proprio account reinserendo email e password su un sito fasullo.
In questi giorni al phishing c’è da fare attenzione perché, come ci ricorda una nota di Check Point Software, Halloween è alle porte e molti utenti potrebbero ordinare prodotti da consegnare in fretta e furia. Una pacchia per gli operatori di brand phishing che ci imbrogliano inviandoci finte comunicazioni dei principali marchi commerciali per impossessarsi dei nostri dati personali. Quelli più sfruttati sono DHL (22% di tutti gli attacchi phishing a livello mondiale), Microsoft (16%), LinkedIn (11%), Google (6%), Netflix (5%), WeTransfer (5%), Walmart (5%), Whatsapp (4%), HSBC (4%), Instagram (3%).
Nel frattempo il Computer Emergency Team dell’Agenzia per l’Italia digitale, Agid, ha individuato otto brand coinvolti in 14 campagne di phishing anche via Pec. I brand usati per ingannare gli utenti italiani sono Aruba e Inps, le banche Bper, Banco Desio, Sella e quindi Microsoft e Amazon.
In fondo però basta seguire poche regole per stare tranquilli:
In vacanza, e non solo, attenti ai Qr code
Hacker’s Dictionary. Oggi si festeggia il «Social media day» ed è importante ricordare che molte truffe iniziano rovistando tra le informazioni personali che divulghiamo attraverso i social. Il phishing ad esempio rimane […]
di ARTURO DI CORINTO per Il Manifesto del 30 Giugno 2022
Oggi si festeggia il «Social media day» ed è importante ricordare che molte truffe iniziano rovistando tra le informazioni personali che divulghiamo attraverso i social. Il phishing ad esempio rimane ancora lo strumento preferito dei criminali per entrare nelle nostre vite.
Per fortuna stiamo imparando a non cascarci più. Quando vediamo un’email sospetta, inattesa, proveniente da indirizzi sconosciuti siamo pronti a buttarla nel cestino vincendo la curiosità di aprirla e ritrovarci il computer infetto.
Abbiamo anche imparato a non navigare siti di dubbia natura, a non cliccare sui banner pubblicitari con offerte da urlo e sappiamo ormai come difenderci da Sms e messaggi in chat non richiesti: cancellandoli. Però secondo Ermes, tra aprile e maggio la rilevazione dei siti di phishing è aumentata di oltre il 20% e la parte riguardante il settore Viaggi potrebbe raggiungere presto il picco del 50%.
Phishing e PEC compromise: nuovi strumenti per affrontare le frodi online
Mar 22 feb 2022 17.00 – 18.15 CET
Di fronte alla nuova ondata di cyberattacchi, la cui efficacia è legata molto spesso alla capacità di ingannare gli utenti, inducendoli a cliccare su allegati o link all’apparenza innocui ma con conseguenze potenzialmente drammatiche, la sicurezza della PEC risulta a rischio.
La PEC è diventata uno strumento irrinunciabile nella quotidianità, gli utenti la ritengono uno strumento sicuro, e per tali motivi un canale sempre più appetibile per gli attacchi informatici.
Che evoluzione avrà la PEC nell’immediato futuro? Come renderla più sicura rispetto agli attacchi di phishing? Danilo Cattaneo, CEO di InfoCert, e Giuseppe Tusa, product marketing manager di InfoCert, la più grande Autorità di Certificazione europea, e Marco Ramilli, CEO di Yoroi, società attiva nello sviluppo di sistemi integrati di difesa cibernetica, risponderanno a queste domande nel webinar in programma Martedì 22 Febbraio 2022 dalle ore 17 alle ore 18.
Modera Arturo Di Corinto
Sondaggi falsi e finti regali, state attenti
Hacker’s Dictionary. L’azienda di cybersecurity Group-IB mette in guardia dalla prospettiva di facili guadagni come premio per la risposta a indagini di mercato di grandi marchi di telecomunicazioni, e-commerce e vendita al dettaglio
di ARTURO DI CORINTO per Il Manifesto del 23 Dicembre 2021
I truffatori non riposano mai, e lavorano soprattutto durante le festività quando siamo tutti più rilassati e con più tempo a disposizione. Tra i loro metodi il phishing, la tattica fraudolenta per fare incetta di dati personali impera, e le romance scam, le truffe romantiche che usano account fasulli su siti di incontri, la fanno da padrone.
Però, mentre su Facebook si moltiplicano le finte offerte di lavoro con richiesta di curriculum e conto bancario, su Instagram improbabili signorine turche che vivono in America offrono guadagni stratosferici per partecipare, dicono, ai profitti di aziende legittime investendo in cryptomonete. Ma c’è un’altra truffa che fa leva sulla prospettiva di facili guadagni: le indagini di mercato con un finto premio in denaro. I truffatori utilizzano infatti la tecnica dei sondaggi falsi e degli omaggi di marchi famosi per rubare i dati personali e di pagamento degli utenti, usando link personalizzati.
Phishing e Business Email Compromise: Nuovi strumenti per affrontare le frodi online
Modera
Arturo Di Corinto, giornalista e professore di Identità digitale, Privacy e Cybersecurity presso l’Università La Sapienza di Roma
Scenario e trend sugli attacchi via email e principali driver per la protezione
Interviene
Marco Di Luzio, Chief Marketing Officer, Tinexta Cyber
Tavola rotonda
Case study, best pratice e strumenti per la collaborazione digital sicura
Intervengono
Romano Stasi, Direttore Operativo, CERTFin
Mauro Conti, Professore Universitario Gruppo SPRITZ, Università di Padova
Marco Ramilli | Founder & CEO, Yoroi
Pierguido Iezzi | CEO & Cybersecurity Director – Swascan
Alberto Da Pra | Presale and Market Development Manager – Business Unit Cybersecurity – Corvallis
Tra i contenuti chiave del webinar,
Per l’occasione Yoroi, società del polo Tinexta Cyber, illustrerà un servizio di protezione delle email certificate che utilizza strumenti specializzati come la sandbox Yomi, una tecnologia inglobata nell’ecosistema di VirusTotal. La sandbox è in grado di “detonare” elementi informatici malevoli e di renderli innocui per l’utente prima di aprire la posta elettronica.
Scopri di più sullo European Cybersecurity Month
Ti aspettiamo!
I guai per Microsoft non finiscono mai
Hacker’s Dictionary. La rubrica su web e nuove tecnologie a cura di Arturo Di Corinto
di ARTURO DI CORINTO per Il Manifesto del 29 Luglio 2021
Il 24 giugno Microsoft ha presentato la nuova versione del suo sistema operativo, Windows 11, che sarà disponibile per Pc entro la fine dell’anno.
Il sistema è già disponibile per il download in anteprima e Kaspersky ha rilevato e impedito 850 tentativi di attacchi attraverso file con varie minacce mascherate da Windows 11. Gli esperti della società russa di cybersecurity hanno anche messo in luce la varietà di minacce.
Hanno scoperto adware (software pubblicitari) relativamente innocui, ma anche software Trojan, backdoor (accessi segreti) e stealer che mirano ad rubare (to steal in inglese) le informazioni private degli utenti come le password.
Il fenomeno del “trust attack” è una delle strategie sempre più sofisticate messe in atto dai criminali informatici. Creando problemi alla reputazione aziendale e all’affidabilità delle soluzioni, in un’economia sempre più data-driven. Lo scenario della sicurezza secondo Michele Colajanni, docente di Ingegneria informatica e keynote speaker all’edizione 2021 di Banche e Sicurezza, il prossimo 25 e 26 maggio
di ARTURO DI CORINTO per Bancaforte del 27 Aprile 2021
Hacker’s Dictionary. Pubblicato il rapporto annuale del Dis, Aise e Aisi. Gli attacchi informatici nel 2020 sono aumentati del 20%. Pubbliche amministrazioni, Banche, Tlc e Farmaceutica tra i settori più colpiti. Gli hacktivisti sono tra i maggiori responsabili degli incidenti scoperti
di ARTURO DI CORINTO per Il Manifesto del 4 Marzo 2021
Gli italiani navigano senza protezione
Hacker’s Dictionary. Secondo una ricerca Avira il 61% dei datori di lavoro non bada alla protezione informatica nello smartworking. La metà degli italiani è preoccupata da furti e frodi informatiche ma solo il 24% comprerebbe un software per la sicurezza digitale
di ARTURO DI CORINTO per Il Manifesto del 29 Ottobre 2020
Dall’inizio della pandemia oltre la metà degli italiani (53%) ha acquistato un nuovo computer o un nuovo dispositivo tecnologico, ma meno di un terzo (31%) ci ha installato sopra un software di sicurezza. Lo dice l’ultima ricerca condotta da Opinion Matter per l’azienda di cybersecurity Avira.
La ricerca, che ha coinvolto 2.000 persone dai 18 anni in su residenti in Italia, Francia, Germania e Stati Uniti, illustra i cambiamenti comportamentali intervenuti durante la pandemia a cominciare dall’introduzione massiccia del così detto smartworking.
Il Manifesto: Riecco gli spalloni, sono i «money mule» digitali
Hacker’s Dictionary. Complice la crisi economica e il desiderio di soldi facili, le persone comuni diventano manovalanza di gang cybercriminali per far sparire i proventi delle frodi informatiche: li chiamano «money mule»
di ARTURO DI CORINTO per Il Manifesto del 9 Luglio 2020
Il bersaglio preferito sono i disoccupati. A seguire giovani in cerca di lavoro, commercianti in difficoltà e studenti. Li reclutano sui social, con email accattivanti o via Telegram.
L’esca preferita sono però gli annunci online, offerte di lavoro apparentemente normali che li indirizzano verso siti clone di società famose per realizzare la truffa. L’offerta di lavoro comincia quasi sempre con la richiesta di indicare il conto corrente dell’aspirante lavoratore per effettuare i pagamenti.
Ma per fare che cosa? Per trasformarli in corrieri, money mule, in gergo, cioè «muli» adibiti al trasporto del denaro, un po’ come i nostri spalloni di un tempo, quelli che attraversavano le montagne a piedi per portare soldi sporchi oltralpe.
Coronavirus, smart working in sicurezza: come tenere il pc lontano dai virus informatici
Lavorare da casa, oltre alle policy aziendali, implica il rispetto delle norme di ‘cyber hygiene’. Ecco alcuni consigli per evitare intrusioni e brutte sorprese
di ARTURO DI CORINTO per La Repubblica del 14 Marzo 2020
Il coronavirus cambia il modo di lavorare e le aziende si attrezzano per rispondere alla richiesta di farlo da casa. Almeno per le attività che lo consentono. Ma come si fa a mantenere gli stessi livelli di sicurezza previsti dalle policy aziendali quando computer e smartphone non sono più all’interno del perimetro aziendale?
Nei loro uffici i lavoratori hanno in genere una postazione con un computer collegato alla rete aziendale tipicamente protetta da software e hardware specifici per mantenere al sicuro progetti, dati sensibili, idee creative, proprietà intellettuale dell’azienda. Per proteggere reti e computer vengono usati firewall, proxy, limitazione della navigazione web, messaggistica ed email sicure, perfino controlli tramite sistemi anti-intrusione (IPS/IDS). Ma a casa? “Intanto, per uno smart working in sicurezza bisogna dotare i dipendenti di strumenti adeguati”- spiega Filippo Monticelli di Fortinet – “e in Italia sono poche le aziende preparate a farlo”.
Lo smart working (o lavoro agile), consente di usare dispositivi propri se il lavoratore è d’accordo, ma quanto è sicuro? “Gestire un dispositivo remoto presso il domicilio di un dipendente ha implicazioni di privacy e non solo.” – prosegue Monticelli – “Perciò se il primo passo è mettere in sicurezza i dispositivi, ci vuole anche attenzione alle connessioni. I nostri impiegati ad esempio possono usare delle reti private virtuali che si installano sul browser in maniera dinamica e temporanea”. Continua a leggere La Repubblica: Coronavirus, smart working in sicurezza: come tenere il pc lontano dai virus informatici
“LA SUA carta di credito è stata bloccata. Per riattivare i servizi della carta deve accedere alla sua area personale e sbloccarla”. Dopo gli acquisti di Natale, da poco rientrati a lavoro e forse anche distratti, potremmo anche essere tentati di farlo. Ma è meglio di no, visto che si tratta dell’ennesima truffa online. D’altra parte la tattica fraudolenta che usa il phishing per derubare le proprie vittime usa sempre lo stesso schema: l’invio di una email per chiedere al destinatario di compiere un’azione per poterlo imbrogliare. Continua a leggere La Repubblica: Phishing, ennesima truffa via email: presi di mira gli utenti Nexi-CartaSì
Italia, la startup nation che potremmo diventare
Hacker’s Dictionary. Aumentano truffe e rischi sul web e molti ci cascano. Creare un ecosistema della cybersecurity è cruciale, anche favorendo la nascita di imprese italiane
di ARTURO DI CORINTO per Il Manifesto del 30 Maggio 2019
Se una cosa è troppo bella per essere vera, probabilmente non è vera. Vale anche per il web, dove ormai non si contano più imbrogli e raggiri a chi pensa di essere più furbo dei cyber-truffatori.
E vale sopratutto in questi giorni prima delle vacanze, quando tutti cerchiamo l’affare per viaggiare e alloggiare con pochi soldi.
Solo questo mese i ricercatori di Kaspersky Lab hanno infatti scoperto più di 8.000 attacchi di phishing mascherati da offerte provenienti da note piattaforme di prenotazione che in realtà iscrivevano illecitamente le vittime a servizi telefonici a pagamento. Sono sopratutto le email di phishing, combinate a tecniche di ingegneria sociale a sfruttare l’innata tendenza a fidarci degli altri, portarci su siti identici a quelli ufficiali, per rubarci i dati della carta di credito o pagare un servizio che non esiste.
Ma in questo periodo vanno molto di moda le blast email. Propongono voli gratis in cambio della compilazione di un breve sondaggio online e della condivisione del link. Dopo aver risposto alle prime tre domande, agli utenti viene chiesto il numero di telefono che, una volta inserito, i truffatori utilizzano per iscrivere le vittime a servizi a pagamento per cellulare. Oppure si usano link che ci portano sui siti truffa per prenotare alloggi economici in centro città con punteggi alti nelle recensioni di siti come Airbnb e scoprire poco dopo che della prenotazione e dei soldi non c’è più traccia.
Continua a leggere Il Manifesto: Italia, la startup nation che potremmo diventare
Il Manifesto: Gli europei hanno perso il controllo dei propri dati on line
Hacker’s Dictionary. E intanto si moltiplicano le truffe via SMS e Anonymous attacca pure le Università. Ieri è stata la volta della Sapienza di Roma
di ARTURO DI CORINTO per Il Manifesto del 1 Novembre 2018
Secondo una ricerca di Kaspersky Lab e Arlington Research condotta su 7.000 cittadini di sette nazioni europee tra cui l’Italia, abbiamo ormai perso il controllo dei nostri dati online: il 64% non conosce tutti i luoghi del web dove sono stati archiviati i propri dati personali e il 39% dei genitori intervistati non sa nemmeno quali dati vengono condivisi online dai propri figli. Il 57% si sente spaventato e stressato dalla possibilità che i propri dati finanziari vengano violati.
Solo il 36% crede che i dati siano effettivamente protetti sui social media e infine l’88%, si preoccupa del possibile uso illegale dei propri dati. Continua a leggere Il Manifesto: Gli europei hanno perso il controllo dei propri dati on line
‘Visiti siti porno? Ora paghi’. Perché il ricatto sessuale via mail ci fa tanto paura
di ARTURO DI CORINTO per Il Fatto Quotidiano del 20 Settembre 2018
Sextortion, revenge porn, slut shaming: sono solo alcuni dei nomi a cui l’uso acritico di Internet ci sta abituando. Sextortion è un termine che si riferisce alle estorsioni a sfondo sessuale, il revenge porn, il porno vendicativo, alla diffusione di immagini e video a sfondo erotico per vendicarsi di un rapporto finito male; lo slut shaming (l’onta della sgualdrina) invece mette alla gogna i desideri e i comportamenti sessuali di giovani donne eterosessuali o di uomini gay per farli vergognare all’interno della loro cerchia sociale. Sono tutti comportamenti che possono portare a conseguenze penali, anche perché spesso assumono la forma dello stalking online e del cyberbullismo, comportamenti molesti reiterati e in violazione delle più elementari norme di rispetto della privacy altrui. Continua a leggere Il Fatto Quotidiano: ‘Visiti siti porno? Ora paghi’. Perché il ricatto sessuale via mail ci fa tanto paura
Multe, conti, fatture: la maggior parte delle email di phishing ha come oggetto una richiesta di pagamento. In genere si presentano così: «Ti ricordi della fattura?»; «Ti abbiamo affidato una nuova attività»; «Mancato pagamento». Ma se si clicca sull’allegato o sul link per le informazioni inviate, in genere si viene infettati da software che rubano dati, trasferiscono documenti, attivano funzioni remote e la giornata diventa un incubo. Continua a leggere Il Manifesto: Un impiegato su due è vittima del «phishing»
Hacker’s dictionary. Utilizzato contro giornalisti, attivisti e operatori umanitari da parte di gruppi che cercano di spiarne le attività
di ARTURO DI CORINTO per Il Manifesto del 8 Febbraio 2018
Il phishing è una tattica fraudolenta di sottrazione delle informazioni personali online. Il suo scopo è indurre gli utenti in rete a fornire password e altri dati sensibili a siti web che sembrano legittimi ma che non lo sono. Più spesso il phishing ha la forma di una email che richiede di fornire informazioni private o di cliccare su link e allegati in grado di installare un virus all’interno di smartphone e pc. Continua a leggere Il Manifesto: Come difendersi dal phishing