La scorsa settimana è andato in onda su Rai – Radiotelevisione Italiana un servizio di Alessandro Gaeta per TV7 dedicato al complesso rapporto tra monete virtuali e attività illecite nel “lato oscuro” della rete. Il reportage, arricchito dalla partecipazione del magistrato Dott. Nicola Gratteri e del sociologo Claudio Loiodice, ha offerto una panoramica davvero interessante e completa su un fenomeno in costante evoluzione.
Nel mio intervento tecnico ho voluto fare chiarezza sulle dinamiche reali di questo mondo, partendo dalle basi: spesso dimentichiamo che lo spazio digitale a cui accediamo quotidianamente rappresenta solo il 5% di internet. Esiste un livello più profondo, il Deep Web (dove risiedono ad esempio i nostri dati bancari protetti da password), e poi c’è il Dark Web: una rete accessibile solo tramite protocolli specifici come Tor, che garantiscono la cifratura e l’anonimato. Sebbene questa tecnologia protegga anche giornalisti e dissidenti in regimi oppressivi, sotto il profilo criminologico rappresenta un problema enorme, ospitando mercati di armi, droghe e dati rubati.
Il ruolo delle Criptovalute e la sfida del tracciamento Il cuore del mio contributo si è focalizzato sull’economia di questo mondo sommerso. Come spiego nel servizio, nel Dark Web non si usano contanti: la valuta di scambio è il Bitcoin (o frazioni di esso, dato il valore elevato). Ho approfondito le tecniche di acquisto, tracciamento, anonimizzazione e riciclaggio, mostrando concretamente come operiamo nelle perizie informatiche.
Per chi commette reati, il problema principale è che il Bitcoin, contrariamente a quanto si crede, non è totalmente anonimo: le transazioni sono stringhe alfanumeriche pubbliche. Per questo motivo, i criminali ricorrono a servizi di anonimizzazione chiamati “Mixers” o “Tumblers”: siti dove si versano fondi “sporchi” per riceverne indietro altri “puliti” (meno una commissione), nel tentativo di spezzare il legame con l’attività illecita. (Nota: Come da te indicato, nel servizio mostri l’utilizzo del software Crystal Intelligence per analizzare questi flussi su crypto, token ed NFT).
I numeri e la logistica del crimine I dati emersi sono allarmanti. Nel 2024 sono stati rilevati circa 383 miliardi di euro in transazioni criminali: una cifra che supera il doppio del bilancio annuale dell’Unione Europea. Questo fiume di denaro digitale ha cambiato anche le abitudini dei grandi cartelli del narcotraffico: se fino a pochi anni fa i narcos preferivano il contante, oggi accettano volentieri pagamenti in criptovaluta, considerandola paradossalmente più difficile da tracciare per le forze dell’ordine.
Oltre all’aspetto finanziario, il servizio illustra la logistica sorprendente di questi traffici: dalla vendita di armi con spedizioni postali, fino alle droghe recapitate tramite corrieri ignari o utilizzando indirizzi fittizi e “punti di appoggio” per evitare la firma alla consegna.
Per chi fosse interessato a comprendere meglio queste dinamiche e visionare il servizio “Il buco nero della rete”, il pezzo di Alessandro Gaeta inizia al minuto 27:25 ed è visionabile pubblicamente dalla pagina RaiPlay di TV7.
Hanno rubato e fatto chiudere l’account Google e quindi anche il canale Youtube di Andrea Galeazzi, con quasi 1.5 milioni di follower, tramite social engineering con phishing mirato e finta autenticazione OAuth, nonostante avesse 2FA attivo e fosse consapevole dei rischi degli attacchi mirati agli youtuber.
Andrea Galeazzi racconta in un video – pubblicato sul canale appena riaperto – come è avvenuto l’attacco da parte degli hacker al suo canale, come lo hanno tagliato fuori dal suo account Google nonostante avesse 2FA attivo e come ha reagito per recuperare l’accesso.
Nella famosa “Cantinetta”, tra smartphone e gadget affascinanti, con Andrea ci sono anche io per analizzare gli aspetti tecnici e dare alcuni consigli su come proteggersi da questi hack e come rimediare se il danno è già stato fatto.
Per chi fosse curioso di capire come è stato hackerato Andrea Galeazzi, la compromissione ha avuto origine da un attacco di Spear Phishing (phishing mirato e personalizzato) estremamente sofisticato.
A differenza delle campagne generiche, gli attaccanti hanno confezionato un’esca basata su una fase di reconnaissance precisa, sfruttando le lamentele reali degli utenti sulla qualità audio dei video recenti per proporre una falsa collaborazione con un brand di microfoni noto alla vittima.
L’attuale disponibilità di strumenti basati sull’Intelligenza Artificiale permette ormai di automatizzare la creazione di scenari così contestualizzati, analizzando profili e commenti pubblici per ingannare la vittima con una precisione che un tempo avrebbe richiesto un operatore umano dedicato,.
Sotto il profilo tecnico, il vettore d’attacco non ha mirato alla sottrazione diretta della password, ma allo sfruttamento del protocollo OAuth o meglio, di ciò che pareva essere un’autenticazione OAuth.
Andrea Galeazzi, rassicurato dalla coerenza del contesto e colto in un momento di stanchezza, ha autorizzato l’accesso tramite una maschera di autenticazione che pareva legittima, concedendo di fatto l’accesso ai criminali che hanno proceduto in pochi secondi al hijacking del canale.
Quello che colpisce maggiormente dal punto di vista della Incident Response è la velocità della “Kill Chain”: in meno di venti secondi dall’autorizzazione, gli attaccanti hanno modificato le credenziali, revocato le sessioni attive e, mossa cruciale per la persistenza, impostato un token fisico (chiave hardware FIDO/U2F) come unico metodo di autenticazione, tagliando fuori il legittimo proprietario e rendendo inefficaci i metodi di recupero tradizionali.
Nel video Youtube girato in Cantinetta con Andrea Galeazzi abbiamo evidenziato la debolezza intrinseca del 2FA via SMS, vulnerabile a malware e SIM Swapping, a favore di metodi più robusti come le Passkey o meglio ancora le chiavi di sicurezza hardware come le note YubiKey.
Per i profili ad alto rischio, emerge l’importanza del Google Advanced Protection Program, un’impostazione di sicurezza che limita drasticamente l’accesso alle API di terze parti e impone finestre temporali di verifica estese per operazioni critiche come il Google Takeout, mitigando il rischio di esfiltrazione immediata dei dati,.
Dal punto di vista della Digital Forensics, nel video Youtube di Andrea Galeazzi sull’hack al canale Youtube emerge l’importanza di reperire artefatti specifici che provino la titolarità storica dell’account: non basta conoscere l’handle pubblico: è necessario recuperare l’ID univoco del canale, i log storici dei dispositivi che hanno un “trust” per il provider e i dettagli dei metodi di pagamento pregressi.
Si parla poi del concetto di isolamento dei dati (o compartimentazione): abbandonare l’idea di un unico account “monolitico” per tutti i servizi e separare nettamente le identità digitali lavorative, personali e finanziarie, riducendo così il raggio d’azione di un’eventuale compromissione anche con indirizzi email diversi e persino più numeri di cellulare, così da separare attività private e lavorative/bancarie/riservate.
Per fortuna il peggio è passato ma non bisogna mai rilassarsi troppo perché può capitare a chiunque, esperti e professionisti, nessuno escluso, basta trovare il momento o la chiave giusta e chiunque può cadere vittima di hacking o phishing.
Il video di Andrea Galeazzi con Paolo Dal Checco che parlano del furto e hack del canale Youtube e account Google è visionabile al seguente link: https://www.youtube.com/watch?v=rMwLbLAMKg4
Venerdì 12 dicembre 2025 si terrà, a Roma, presso il Centro Congressi Frentani Srl – in Via dei Frentani, 4, a pochi passi dalla Stazione Termini di Roma – il seminario “IISFA FORUM 2025 – Cybercrime, Artificial Intelligence & Digital Forensics” durante il quale si succederanno interventi su Cybercrime, Artificial Intelligence & Digital Forensics tenuti da esperti della materia.
La conferenza “IISFA Forum 2025 – Cybercrime, Artificial Intelligence e Digital Forensics”, organizzata dall’associazione IISFA, riunisce le principali istituzioni italiane impegnate nella sicurezza cibernetica per analizzare l’evoluzione delle minacce digitali e il ruolo crescente dell’intelligenza artificiale nelle attività investigative.
La mattinata è dedicata ai trend nazionali sui cyber attacchi, alle nuove forme di cybercrime e all’impatto delle tecnologie emergenti sulle indagini, grazie agli interventi di rappresentanti dell’Agenzia per la Cybersicurezza Nazionale, della Polizia Postale, dei Carabinieri, della Guardia di Finanza e di esperti del settore legale e forense. Due tavole rotonde approfondiscono i temi etici legati all’IA e la relazione tra criminalità informatica, social media e comunicazione giornalistica.
Nel pomeriggio, la conferenza entra nel vivo delle attività tecniche, con interventi dedicati allo spyhunting su dispositivi mobili, alle investigazioni digitali in ambito aziendale, ai nuovi reati informatici legati alla cybersecurity e all’IA, fino alle sfide della post-quantum security e all’evoluzione dei ransomware.
La giornata si conclude con un coinvolgente cyber forensics game, una simulazione pratica su un caso reale di analisi forense, che permette al pubblico di confrontarsi direttamente con metodologie e tecniche operative utilizzate nei moderni scenari investigativi.
Spyhunting su smartphone: tecniche, strumenti e metodologie di rilevamento dei software spia
Avrò l’occasione di essere tra i relatori, nel pomeriggio, con un intervento intitolato “Spyhunting sui sistemi cellulari: lo stato dell’arte”, durante il quale parlerò delle tecnologie attualmente utilizzate per verificare la presenza di malware, captatori, spy software, trojan sugli smartphone iOS e Android.
In questi ultimi mesi sono emersi diversi casi di smartphone intercettati tramite software spia – o captatori – che hanno alzato la soglia di attenzione e la necessità di poter disporre di metodologie e strumenti per capire se un telefono è sotto controllo tramite spysoftware.
Durante il talk avrò l’occasione di presentare lo stato dell’arte nelle tecniche e strumenti di spyhunting, cioè di ricerca di software spia, captatori, trojan e malware finalizzati a intercettare le comunicazioni delle vittime, captare foto, video, messaggi Whatsapp, Signal, Telegram o iMessage.
Vedremo infatti in breve le principali tecniche di individuazione di software spia e attività malevole sui sistemi cellulari, le differenze tra le varie modalità di copia forense (logical, advanced logical, Full File System o FFS, physical) nelle possibilità di rilevamento dei malware, gli strumenti di analisi forense utilizzati oggi per l’attività di spyhunting su smartphone, gli strumenti di estrazione dati, analisi e malware detection come Mobile Verification Toolkit (MVT), Android Quick Forensics, parser per Sysdiagnose, le potenzialità della intelligenza artificiale nel rilevamento di malware e spy software; l’utilizzo dei log e dei dump (sysdiagnose, unified logs, shutdown.log, event log, crash log, bug report, logcat, tombstone, ANR, etc…) per rinvenire tracce delle infezioni da malware sui disposivi, l’analisi del traffico di rete come strumento di rilevamento di attività malevola di spy software su smartphone e alcuni casi d’uso e scenari investigativi in cui l’analisi forense mobile è centrale per la ricostruzione dei fatti.
La giornata sarà ricca d’interventi di altissimo rilievo, con relatori istituzionali, militari, con il seguente programma.
Programma della conferenza IISFA Forum 2025 a Roma
Il programma della giornata si snoda in una mattinata con saluti d’indirizzo e due tavole rotonde, mentre il pomeriggio si snoderà tra interventi focalizzati su specifici argomenti d’informatica forense, tutela aziendale, OSINT, reati informatici, intelligenza artificiale, post quantum security ed analisi forense con il cyberforensics game conclusivo.
Ore 9:30 – Saluti di indirizzo
Gerardo Costabile – Presidente IISFA
Nunzia Ciardi – Vicedirettore Agenzia per la Cybersicurezza Nazionale
Amm. Gianluca Galasso – Direttore del Servizio Operazioni e gestione delle crisi cyber/CSIRT Italia – Agenzia per la Cybersicurezza Nazionale Trend nazionale dei cyber attacchi: lo stato dell’arte in Italia
Ivano Gabrielli – Direttore del Servizio Polizia Postale e per la Sicurezza Cibernetica Cybercrime e nuovi trend
Gen. Vincenzo Molinese – Comandante ROS Carabinieri Intelligenza Artificiale e attività investigative
Gen. Antonio Mancazzo – Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza Cybercrime e follow the money: evoluzione e nuovi scenari
Stefano Mele – Partner, Head of Cybersecurity & Space Law Department, Gianni & Origoni Anatomia di un attacco ransomware: ricatti, psicologia e cryptoasset in attesa di una strategia italiana
Tavola rotonda Intelligenza artificiale, etica e informatica forense
Partecipano:
Eugenio Albamonte (Direzione Nazionale Antimafia)
Giuseppe Corasaniti (Professore ordinario UniMercatorum)
Paolo Galdieri (Avvocato)
Mattia Epifani (Presidente ONIF)
Marco Calonzi (Direttivo IISFA)
Gianluca Boccacci (Presidente Cyber Actors)
Tavola rotonda Cybercrime, social media e comunicazione giornalistica tra forma e sostanza
Partecipano:
Domenico Colotta (Assocomunicatori)
Arturo di Corinto (Giornalista professionista, Agenzia Cybersicurezza Nazionale)
Luigi Garofalo (Direttore responsabile Cybersecurity Italia)
Michela Carloni Gammon, Direttore Everbridge – Veronica Vacchi, Dinova Tutela aziendale, media investigation e open source intelligence
Stefano Aterno (Studio E-lex) I nuovi reati informatici nella cybersecurity e nell’intelligenza artificiale
Prof. Aniello Castiglione – Università di Salerno Post quantum security, evoluzione dei ransomware e complessità investigative
Cosimo de Pinto (Direttivo IISFA) & Salvatore Filograno (Direttivo IISFA) Cyber forensics game: simulazione con l’intervento del pubblico su un caso reale di analisi forense
Iscrizioni al seminario IISFA Forum 2025 a Roma
L’evento IISFA Forum 2025 a Roma è gratuito e aperto a tutti, non soltanto ai soci IISFA: per partecipare è sufficiente registrarsi online su Eventbrite e presentarsi venerdì 12 dicembre 2025 presso il Centro Congressi Frentani Srl alle ore 9:30 per l’inizio dei lavori.
I posti sono limitati ma vi sono ancora alcune disponibilità, raccomandiamo di affrettarvi con la registrazione e di cancellare l’adesione in caso d’impossibilità di partecipare all’evento IISFA a Roma.
Locandina dell’evento IISFA Forum 2025 a Roma
La locandina in PDF dell’evento IISFA Forum 2025 a Roma è disponibile qui di seguito, visionabile online o scaricabile direttamente sul proprio PC o Smartphone.
Dopo l’hacker dell’autoscuola sono tornato a collaborare con Le Iene, come perito informatico forense, nel caso di Noemi, una ragazza di Monreale in provincia di Palermo, che da 7 mesi sta raccogliendo prove digitali degli episodi di stalking di cui sarebbe vittima ricevendo quotidianamente messaggi con minacce da parte d’ignoti.
Il servizio de Le Iene, condotto da Veronica Ruggeri, andato in onda in due puntate, la prima il 18 novembre 2025 e la seconda il 26 novembre 2025 si apre con uno scenario nel quale Noemi narra gli eventi di cyberstalking che avrebbe subito nel corso degli ultimi sette mesi, fatti di messaggi SMS o Instagram, chiamate anonime, email con allegati, movimenti sotto casa, luci sospette e persino potenziali telecamere che spiano la vita sua e della madre.
Gli SMS paiono arrivare dallo stesso numero di telefono della ragazza, si possono quindi fare due ipotesi: spoofing (cioè invio di messaggi utilizzando come mittente il numero di qualcun altro) oppure provenienza degli SMS dallo stesso smartphone che li riceve.
I profili Instagram anonimi paiono essere stati creati e poi cancellati subito dopo le comunicazioni, quindi solo la Polizia Giudiziaria è in grado di ottenere informazioni, dall’esterno anche tramite tecniche OSINT non è possibile ricavare dati che possano essere utili a svelarne l’identità.
Durante la seconda puntata, nella quale ho contribuito come tecnico informatico forense per Le Iene al fine di far luce sul mistero dello stalker, abbiamo proceduto all’esecuzione di copie forensi tramite software Oxygen Forensics, con varie modalità – inclusa la Full File System FFS tramite Checkm8 – al fine di poter successivamente analizzare i dati acquisiti in maniera forense.
Prima di eseguire le copie forensi, insieme al collega Matteo Vinci – parte della società Forenser – abbiamo provveduto a generare il sysdiagnose degli iPhone e iPad, così da avere traccia dei crash log o bug report, utili per procedere con attività di spyhunting e rilevamento malware e spy software, per verificare l’eventualità che il telefono fosse controllato da remoto.
Come si acquisisce in maniera forense una pagina web? Come si cristallizza un post Instagram o un commento ricevuto su Facebook per fini giudiziari? Se stampo una mail in PDF ha valore legale come prova digitale in Tribunale?
Queste e altre domande troveranno risposta nel talk sulla Web Forensics che terrò insieme al collega Andrea Lazzarotto giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni”.
Relatori evento MSAB a Roma
L’evento, organizzato in collaboration con Nuix, SANS Institute and eTrace Digital Security, si terrà in presenza presso l’UNA HOTELS Hotel Empire dalle 8:30 alle 18:30 e prevede talk di altissimo livello su argomenti d’informatica forense e mobile forensics con l’intervento dei seguenti professionisti:
Mattia Epifani, CEO di Reality Net, consulente informatico forense, esperto in attività di Digital Mobile Forensics, docente certificato SANS, docente universitario, autore e divulgatore, con l’intervento: “Not So Private Browsing!”
Paolo Dal Checco, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, analisi di OSINT, malware e criptovalute, docente universitario, autore e divulgatore, insieme a
Andrea Lazzarotto, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, ricercatore, sviluppatore, con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
Roberto Murenec, Maresciallo in forza al Comando Provinciale della Guardia di Finanza di Pordenone, autore, divulgatore e esperto di Digital Forensics e relativa regolamentazione legislativa, insieme a
Pier-Luca Toselli, Luogotenente Carica Speciale in forza al Comando Provinciale della Guardia di Finanza di Bologna, esperto di Digital Forensics e relativa regolamentazione legislativa, con l’intervento: “Perquisizione e Sequestro del Dispositivo “Mobile” Tra Rispetto delle Regole Processuali e delle Garanzie di Parte”
I responsabili di E-Trace, rivenditore esclusivo MSAB per il territorio italiano.
Manlio Longinotti, Responsabile Italia SANS, con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
Dario Beniamini, GCFA, GCFE, GOSI, CFIP, CIFI, Esperto in proprietà intellettuale e tutela dei marchi, DFIR, NUIX Senior Consultant, docente certificato SANS, con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
Ghennadii KONEV, con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager.
Workshop sulla Web Forensics e le Indagini Digitali
Nel mio intervento, insieme ad Andrea Lazzarotto, parleremo di un tema sempre più centrale nelle indagini digitali: la Web Forensics, ovvero l’insieme di tecniche e metodologie per acquisire, preservare e analizzare prove provenienti dal web come siti web, pagine web, servizi online, piattaforme cloud, API, social network e applicazioni mobili.
Spesso le indagini digitali si concentrano su dispositivi fisici, ma oggi una parte sempre più significativa delle evidenze si trova “fuori” dal computer, nel cloud o su piattaforme web in continua evoluzione. Da qui nasce la necessità della webforensics, cioè quella di rendere l’acquisizione forense di risorse web affidabile, ripetibile e non disconoscibile, al pari di quella tradizionale.
Durante il talk sulla Web-Forensics mostreremo come costruire una macchina virtuale forense per l’acquisizione di pagine e contenuti web, documentando ogni passaggio (traffico di rete, video, log, certificati, riferimenti temporali, ecc.), come cristallizzare l’ambiente e i risultati con tecniche di hashing, timestamping e marca temporale e come utilizzare strumenti open source specifici per l’acquisizione e la verifica, come FIT (Freezing Internet Tool) e Fuji, sviluppati per garantire integrità, catena di custodia e trasparenza nelle operazioni di copia e analisi.
Parleremo anche di acquisizioni di contenuti “complessi”, come flussi video o chiamate API, oltre che di come intercettare e documentare correttamente il traffico HTTPS o REST attraverso strumenti utilizzabili in ambito web forensics come mitmproxy.
Le slide dell’intervento sulla Web Forensics sono visionabili e scaricabili gratuitamente in download dalla sezione qui di seguito.
Infine, a latere – poiché non si tratta di webforensics pura – discuteremo delle nuove sfide legate all’acquisizione forense dei dispositivi Mac con chip Apple Silicon, che richiedono un cambio di paradigma simile a quello già affrontato nel mondo mobile.
L’obiettivo del workshop sulla Web Forensics è mostrare un metodo pratico e ripetibile per affrontare in modo rigoroso e documentato la cristallizzazione di prove digitali web, in linea con i principi della Legge 48/2008, della ISO/IEC 27037 e delle best practice internazionali.
Agenda dell’evento MSAB a Roma
L’evento che si terrà giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni” seguirà la seguente agenda dei lavori:
8:45 Registrazione Partecipanti
9:30 Introduzione
9:45 Ghennadii Konev & Giovanni Maria Castoldi con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
10:30 Coffee Break
10:45 Mattia Epifani con l’intervento: “„”Not So Private Browsing!“
11:45 Dario Beniamini con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
12:30 Paolo Dal Checco & Andrea Lazzarotto con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
13:15 Pranzo
14:30 Manlio Longinotti con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
15:00 Pier Luca Toselli & Roberto Murenec con l’intervento: “Perquisizione e Sequestro del Dispositivo Mobile“ Tra Rispetto delle Regole Processuali e delle Garanzie di Parte“
