Una falla scoperta di recente in WhatsApp ha permesso di estrarre fino a 100 milioni di numeri di telefono da tutto il mondo. La vulnerabilità è stata individuata dai ricercatori dell’Università di Vienna e corretta da Meta, ma gli esperti invitano alla prudenza: anche se non ci sono prove che sia stata sfruttata, il rischio non può essere considerato nullo. Per capire la portata del problema, bisogna ricordare che il numero di telefono è spesso la chiave d’accesso alla nostra identità online. È usato per registrarsi ai servizi, ricevere codici di conferma e può essere collegato a foto profilo, dispositivi e informazioni personali. A differenza delle password, raramente lo cambiamo. Questo lo rende un bersaglio molto prezioso.

Come funzionava la vulnerabilità

Secondo quanto riportato, un attaccante avrebbe potuto “enumerare” milioni di numeri, cioè verificare automaticamente quali fossero associati a un account WhatsApp. Tecnicamente si tratta di un processo simile a fare prove ripetute finché l’app non risponde “questo numero esiste”. Anche un ladro digitale molto prudente, effettuando richieste lente e da indirizzi diversi, avrebbe potuto passare inosservato tra il traffico normale della piattaforma. Non si tratta quindi di accedere alle chat – che restano protette dalla crittografia – ma di raccogliere informazioni sensibili. Un database con numeri, dispositivo usato, data di creazione dell’account e foto profilo sarebbe un arsenale perfetto per truffe mirate o campagne di phishing.

Perché questo “quasi incidente” è pericoloso

Luis Corrons, Security Evangelist di Avast, sottolinea che la vulnerabilità potrebbe essere stata sfruttata senza lasciare tracce evidenti. E il fatto che Meta non abbia rilevato abusi non significa che nessuno l’abbia mai utilizzata. Per Corrons, questo episodio dovrebbe spingere l’intero settore a ripensare il modo in cui vengono cercati e verificati i contatti nelle app di messaggistica. C’è poi un altro elemento che preoccupa: molti numeri coinvolti in vecchi leak — come quello di Facebook del 2021 — risultano ancora attivi su WhatsApp. Se un numero resta lo stesso per anni, diventa un identificatore stabile, facile da rintracciare e collegare ad altre informazioni sparse online. Perfetto per costruire profili dettagliati delle vittime.

Cosa fare per proteggersi

La buona notizia è che tutti possono adottare misure semplici ma efficaci, come limitare la visibilità del profilo in modo che foto e informazioni siano visibili solo ai propri contatti. Evitare di condividere il numero pubblicamente su siti web, social, annunci. Inoltre, attivare la verifica in due passaggi, che aggiunge un PIN alla registrazione dell’account.
La vulnerabilità è stata risolta, ma il messaggio degli esperti è chiaro: non abbassare la guardia.

Leggi anche: “La MOD malevola di WhatsApp”

*Illustrazione progettata da Univie

Le truffe online stanno cambiando pelle. Non più semplici e-mail sospette o siti improvvisati, ma interi ecosistemi digitali creati per sembrare autentici in ogni dettaglio. È quanto emerge da una recente indagine di Check Point Software, che ha analizzato la crescita delle truffe basate sull’intelligenza artificiale nel mercato dei farmaci dimagranti GLP-1, come Ozempic e Wegovy. La domanda globale di questi prodotti – complici scarsità e prezzi elevati – ha aperto la strada a criminali capaci di sfruttare l’IA generativa per costruire vere e proprie “fabbriche del falso”. Non si limitano più a imitare un prodotto: oggi clonano medici, referti, recensioni, confezioni e persino l’identità delle istituzioni sanitarie nazionali.

Sito che riposta il logo di AIFA contraffatto

Falsi siti che imitano AIFA e servizi sanitari europei

In Italia sono stati rilevati annunci che riproducono lo stile dell’Agenzia Italiana del Farmaco (AIFA), mescolando linguaggio clinico e riferimenti alla fitoterapia per risultare più credibili agli occhi del pubblico locale. Grafiche, loghi, colori e persino uniformi mediche vengono ricreati in pochi secondi grazie all’IA generativa. Il meccanismo è semplice: gli utenti vedono un banner pubblicitario dall’aspetto ufficiale, cliccano e vengono indirizzati a un sito che sembra approvato da un ente pubblico. Ma è tutto artificiale. Per chi non ha competenze tecniche la differenza è quasi indistinguibile.

Trasformazione di SlimPure UK

Immagini “prima e dopo” generate ad arte

Uno degli strumenti più usati dai criminali è la creazione di immagini persuasive che mostrano “trasformazioni fisiche” prima e dopo l’assunzione dei farmaci. In realtà, non c’è nessun paziente: si tratta di foto sintetiche, ottenute combinando foto d’archivio e modifiche generate dall’IA per simulare dimagrimenti spettacolari. È un trucco efficace perché fa leva su un bisogno reale – perdere peso – e sull’identificazione emotiva.

Quando il volto del truffatore è… inventato

Un altro livello della truffa riguarda i video: i criminali possono creare figure di medici inesistenti o imitare esperti reali, replicandone tono, ambientazione e modo di parlare tramite deepfake. In un caso britannico, è stato ricreato lo stile comunicativo di un noto nutrizionista per sponsorizzare un prodotto falso, pur senza alcun legame con la persona reale.

Come difendersi

Nonostante la complessità di queste tecniche, i consumatori possono proteggersi con alcune semplici accortezze:

• Acquistare solo da farmacie ufficiali e verificate;
• Diffidare di offerte troppo convenienti, timer di acquisto e annunci che promettono risultati “miracolosi”;
• Verificare nomi di medici e cliniche citate negli annunci;
• Controllare sempre l’URL del sito, perché spesso differisce da quello dell’ente imitato

Le truffe basate sull’IA non colpiscono solo gli utenti: anche istituzioni sanitarie, piattaforme e sistemi di pagamento devono collaborare per individuare e bloccare siti falsi prima che raggiungano il pubblico. Secondo Check Point, ci troviamo davanti alla “fase successiva del cybercrime”: una criminalità che sfrutta l’IA per creare mondi digitali credibili e difficili da smascherare. L’unica difesa è restare informati, sviluppare spirito critico e, soprattutto, non fidarsi mai di ciò che sembra “troppo perfetto per essere vero”.

*Illustrazione progettata da CheckPoint

Il lancio di Battlefield 6 non ha attirato solo milioni di giocatori, ma anche l’attenzione dei criminali informatici. Secondo una nuova ricerca pubblicata da Bitdefender, sono attualmente attive diverse campagne malware che sfruttano l’entusiasmo per il gioco per diffondere software dannoso camuffato da versioni pirata o da “trainer”, ovvero quei programmi che promettono modifiche e vantaggi in game.

Come funziona la truffa

Il meccanismo è semplice: molti utenti, per risparmiare o per avere funzionalità extra, cercano online crack o mod non ufficiali. I cybercriminali ne approfittano distribuendo file che sembrano autentici ma che, una volta avviati, installano infostealer e altri malware capaci di rubare dati sensibili. Un infostealer è un programma progettato per sottrarre informazioni come password salvate nel browser o credenziali dei wallet di criptovalute. Basta un clic su un file fasullo e i dati più preziosi del PC diventano accessibili a chi attacca.

Per rendere i loro file più credibili, gli hacker fingono di appartenere a famosi gruppi di “cracking” come InsaneRamZes o RUNE, nomi ben conosciuti tra gli appassionati di modding. Ma, avverte Bitdefender, nessuno dei file che circolano online funziona davvero: non avviano Battlefield 6 né offrono trainer reali. Servono solo a infettare il sistema.

Le tecniche usate sono tutt’altro che rudimentali. I ricercatori hanno individuato malware in grado di limitare l’esecuzione in base alla posizione geografica, di nascondere il loro codice tramite sistemi di “hashing” – una sorta di offuscamento che rende difficile l’analisi – e perfino di riconoscere quando vengono avviati in una “sandbox”, cioè un ambiente sicuro usato dagli analisti per studiare i virus. In quel caso il malware si ferma, per non farsi scoprire.

Alcune varianti, come quella attribuita al falso gruppo RUNE, includono componenti C2 (Command & Control), cioè moduli che permettono a un attaccante di controllare il PC da remoto. In scenari reali ciò può significare l’installazione di nuovi malware, l’uso del computer per truffe online o il furto continuo di informazioni.

Bitdefender segnala anche che i torrent infetti presentano centinaia di seeder e leecher attivi: in altre parole, centinaia di persone stanno distribuendo e scaricando file compromessi, spesso senza saperlo. Non solo: un finto trainer di Battlefield 6 compariva già alla seconda pagina di Google, un dettaglio che aumenta il rischio di esposizione per molti utenti meno attenti.

Come difendersi?

Le raccomandazioni sono semplici ma fondamentali. Prima di tutto, scaricare i giochi solo da piattaforme ufficiali come EA App, Steam o Epic Games Store. Evitare torrent, crack e trainer non verificati è la regola d’oro: anche quando sembrano legittimi, possono nascondere codice malevolo. Infine, utilizzare una soluzione di sicurezza che includa protezione comportamentale, capace di bloccare un malware nel momento in cui tenta di eseguire attività sospette.

Leggi anche: “Videogiochi indie con il malware dentro“

*Illustrazione progettata da Bitdefender

L’enorme popolarità dei BlackPink (gruppo coreano formato da quattro ragazze), impegnati nel loro nuovo tour mondiale, non ha attirato solo fan e curiosi: anche i truffatori online stanno approfittando dell’entusiasmo per mettere in atto nuove frodi. Gli esperti di Kaspersky hanno individuato diversi siti falsi che imitano quasi alla perfezione lo store ufficiale del merchandising della band. L’obiettivo è indurre i fan a fare acquisti fasulli e, soprattutto, a condividere dati personali e bancari.

Un esempio di un sito web fake che incoraggia gli utenti ad acquistare prodotti BlackPink

La strategia messa in campo

I criminali creano una copia dello shop originale, completa di foto, catalogo prodotti, carrello e pulsante “checkout”. L’utente, convinto di trovarsi sul sito giusto, compila il modulo d’ordine inserendo informazioni come nome, indirizzo, e-mail e numero di carta. In apparenza tutto funziona, ma in realtà nulla verrà spedito. I soldi scompaiono, e insieme a loro anche i dati sensibili, che possono essere rivenduti o usati per altre frodi.

Si tratta di un esempio tipico di phishing, una truffa in cui un sito o un messaggio falso cerca di sembrare autentico per spingere l’utente a fidarsi. Nel caso del merchandising di gruppi molto seguiti, la tecnica è ancora più efficace: prodotti limitati, poco tempo per acquistare e forte pressione emotiva. Tutti fattori che riducono l’attenzione e aumentano le possibilità di cadere nel tranello.

Secondo Kaspersky, questo tipo di schema si presenta spesso in occasione di eventi musicali, tornei sportivi o uscite di prodotti molto attesi. I truffatori sanno che i fan, pur di non perdere un’occasione, tendono a cliccare rapidamente su qualunque link sembri promettente. E proprio la fretta è una delle principali alleate dei criminali informatici.

Esempio di modulo per il pagamento e la registrazione sul sito Web fake

Per capire se un sito è affidabile, Kaspersky consiglia di controllare con attenzione l’indirizzo Web: errori ortografici, domini insoliti o link ricevuti via social da profili sconosciuti sono segnali di allarme. Un altro accorgimento è verificare se il venditore è effettivamente autorizzato: spesso gli store ufficiali vengono elencati sui siti delle band o delle etichette discografiche.

Un ulteriore livello di protezione può arrivare dalle soluzioni di sicurezza. I software moderni non si limitano a bloccare virus e malware, ma riconoscono anche pagine sospette e tentativi di phishing.

Oltre alla prudenza nella navigazione, è utile attivare l’autenticazione a due fattori (2FA), soprattutto per servizi di pagamento e home banking. Funziona come un secondo lucchetto: anche se qualcuno ruba la password, non può accedere senza confermare l’accesso tramite app o codice sul telefono. Infine, controllare periodicamente i movimenti della propria carta può aiutare a intercettare rapidamente transazioni sospette.

La sicurezza informatica ha vissuto un momento di grande innovazione durante il Pwn2Own Ireland 2025, il celebre hackathon globale organizzato da Trend Micro. La manifestazione ha visto i partecipanti, esperti di sicurezza da tutto il mondo, sfidarsi per individuare vulnerabilità in dispositivi elettronici di uso quotidiano, con l’obiettivo di rendere la tecnologia più sicura per tutti. Il montepremi complessivo è stato superiore a un milione di dollari, segno della crescente importanza attribuita alla scoperta di nuove minacce digitali.

Un festival della ricerca: cos’è Pwn2Own

Il Pwn2Own Ireland si distingue nel mondo della cybersicurezza come uno degli eventi più attesi, grazie al suo format unico che premia coloro che riescono a “bucare” – ovvero violare la sicurezza – di prodotti tecnologici tramite la scoperta di bug chiamati “zero-day”. Questi bug sono falle mai individuate prima dai produttori e possono essere sfruttate dai criminali informatici per accedere ai dispositivi. In questa edizione, i partecipanti hanno scoperto ben 73 vulnerabilità zero-day su stampanti, sistemi di archiviazione in rete, dispositivi smart home, apparecchi di sorveglianza e persino su smartphone di largo consumo.

Cos’è una vulnerabilità zero-day? Un esempio semplice

Immagina che il tuo smartphone abbia una porta invisibile che nessuno, nemmeno il costruttore, ha mai visto. Chi scopre quella porta può entrare senza chiavi e accedere ai tuoi dati. Solo quando la vulnerabilità viene segnalata, il produttore può “chiudere la porta” con un aggiornamento. Durante Pwn2Own, tanti ricercatori hanno segnalato queste porte invisibili, “zero-day”, aiutando le aziende a correggere i difetti prima che vengano usati per scopi illeciti.

I vincitori e gli exploit più curiosi

Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare il Samsung Galaxy S25, inclusa la fotocamera e il sistema di localizzazione, sfruttando un difetto nella verifica dei dati immessi dall’utente. Altri team hanno sfidato dispositivi come router di casa e speaker intelligenti, dimostrando come anche la sicurezza degli oggetti smart che usiamo a casa sia cruciale: Bongeun Koo ed Evangelos Daravigkas hanno impiegato 8 bug diversi per violare sistemi di rete e archiviazione, mettendo in luce la complessità della difesa digitale.
In definitiva, l’evento ha visto gli hacker etici competere per un montepremi di oltre 2 milioni di dollari. Ecco in dettaglio i momenti più salienti:

• Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare un Samsung Galaxy S25, inclusi la fotocamera e il rilevamento della posizione, utilizzando un bug di convalida dell’input improprio, aggiudicandosi un premio di $50.000.
• Ken Gannon / 伊藤 剣 di Mobile Hacking Lab e Dimitrios Valsamaras di Summoning Team hanno violato un Samsung Galaxy S25 utilizzando 5 bug diversi, aggiudicandosi un premio di $50.000.
• Bongeun Koo ed Evangelos Daravigkas di Team DDOS hanno utilizzato 8 differenti bug e injection multiple, per completare un “SOHO Smashup” del router QNAP Qhora-322 e del dispositivo QNAP TS-453E NAS. Per questo, si sono aggiudicati un premio di $100.000.
• dmdung di STAR Labs SG Pte. Ltd ha utilizzato un singolo bug di accesso OOB per violare lo smart speaker Sonos Era 300, aggiudicandosi un premio di $50.000.
• Sina Kheirkhah e McCaulay Hudson di Summoning Team hanno sfruttato un paio di vulnerabilità per hackerare un Synology ActiveProtect Appliance DP320.
• Il Team Z3 ha ritirato il tentativo di dimostrare un exploit zero-click di WhatsApp, ma la ricerca è stata condivisa privatamente con Trend Micro ZDI e Meta, per garantire che eventuali potenziali vulnerabilità possano essere risolte.

Un exploit “zero-click”: che significa?

Si tratta di una tecnica che permette di compromettere un’app o un dispositivo senza che l’utente debba fare nulla: non serve aprire un messaggio, cliccare su un link, né scaricare un file. È come ricevere una lettera nel cassetto della posta che si apre da sola e mostra il contenuto a chi è alla porta. Al Pwn2Own, i tentativi di mostrare questi exploit sono stati portati avanti con responsabilità: la ricerca è stata condivisa in privato con i produttori, per evitare rischi agli utenti e consentire una rapida correzione.
Trend Micro mette in evidenza come questa competizione acceleri la protezione verso i propri clienti, offrendo aggiornamenti di sicurezza mediamente 71 giorni prima rispetto agli altri concorrenti. Significa che chi utilizza prodotti protetti grazie alle scoperte di Pwn2Own ha quasi due mesi di margine sulla diffusione delle nuove minacce.
Il prossimo evento, Pwn2Own Automotive, si terrà a Tokyo, Giappone, dal 21 al 23 gennaio 2026.

Una nuova e ampia campagna di phishing sta colpendo migliaia di aziende in tutto il mondo, sfruttando uno dei canali più insospettabili: le funzioni legittime di Facebook Business. A scoprirlo sono stati i ricercatori di Check Point, che hanno individuato oltre 40.000 email fraudolente inviate a più di 5.000 organizzazioni tra Europa, Stati Uniti, Canada e Australia. L’obiettivo? Rubare credenziali e accessi ai profili aziendali che gestiscono campagne pubblicitarie su Meta, un settore molto redditizio per gli attaccanti.

Esempio di e-mail di phishing intercettata

Come funziona la truffa

Il trucco alla base dell’operazione è tanto semplice quanto efficace. Gli hacker hanno creato pagine Facebook Business false, dotate di loghi e nomi che imitano perfettamente l’aspetto ufficiale della piattaforma. Da lì hanno sfruttato una funzione autentica – l’invito Business – per inviare notifiche che sembrano provenire davvero da Meta. A rendere tutto più credibile è il dominio utilizzato: le email partono da facebookmail.com, lo stesso usato per i messaggi ufficiali. Per un utente medio, il segnale di allarme principale – il mittente sospetto – risulta così completamente azzerato.

I messaggi contenevano inviti che richiamavano situazioni urgenti o vantaggiose, come “Verifica dell’account richiesta” o “Programma di crediti pubblicitari gratuiti”. Tutto costruito per spingere la vittima a cliccare senza pensarci troppo. Il link, però, reindirizzava a pagine ospitate su piattaforme come vercel.app, allestite per sottrarre password e informazioni sensibili.

Esempio di e-mail di phishing ricevuta da un utente dalla pagina di prova

In pratica

Check Point ha replicato la tecnica in un ambiente controllato, dimostrando che l’intero processo può essere realizzato in pochi minuti: si crea una pagina falsa, si modifica il nome per includere un messaggio, si carica un logo simile a quello ufficiale e si sfrutta il meccanismo di invito per inviare notifiche che sembrano autentiche. Per le difese tradizionali – come i filtri basati sulla reputazione del dominio – intercettare la minaccia risulta complesso, perché i messaggi provengono da un indirizzo considerato affidabile.

Il bersaglio principale della campagna sono state le piccole e medie imprese, spesso meno attrezzate sul fronte della sicurezza e più abituate a ricevere notifiche reali da Meta Business. Questo aumenta enormemente la probabilità che un dipendente clicchi sul link senza verificare ulteriormente la fonte.

Secondo gli esperti, l’attacco mette in luce una tendenza crescente: l’uso di servizi legittimi come “armi” per aumentare la credibilità delle truffe. Non si tratta più di email mal scritte o provenienti da domini improbabili, ma di messaggi che imitano alla perfezione processi reali delle piattaforme più usate.

Per proteggersi, gli specialisti consigliano alcune pratiche semplici ma efficaci. Prima di tutto, non fidarsi ciecamente nemmeno dei mittenti apparentemente ufficiali: se la richiesta è insolita o troppo urgente, meglio verificare accedendo direttamente al proprio account senza passare dal link dell’email. Fondamentale anche l’autenticazione a più fattori (MFA), che impedisce agli attaccanti di accedere all’account anche se ottengono la password. Infine, le aziende dovrebbero adottare soluzioni di rilevamento avanzato, capaci di identificare anomalie nel comportamento delle email, non solo nella loro provenienza.

Il terzo trimestre del 2025 segna un passaggio decisivo nel panorama del ransomware: nonostante le operazioni delle forze dell’ordine, gli attacchi non rallentano. È quanto emerge dal nuovo Ransomware Threat Intelligence Report di Check Point Research, che fotografa uno scenario più affollato, aggressivo e imprevedibile che mai.

Con 1.592 nuove vittime colpite da 85 gruppi di estorsione attivi, il ransomware continua a crescere (+25% rispetto al 2024), ma non grazie ai grandi nomi del passato. Mentre operatori storici come RansomHub e 8Base sono spariti, al loro posto si è fatto largo un ecosistema popolato da una moltitudine di piccoli affiliati, capaci di lanciare attacchi rapidi e senza alcun interesse a mantenere una reputazione credibile. Il risultato è una rete criminale estremamente frammentata, dove la prevedibilità – già limitata – si riduce ulteriormente.

Nel Q3 2025 sono emersi 14 nuovi gruppi, mentre quasi la metà degli attori attivi ha colpito meno di dieci organizzazioni. Per le aziende questo significa una cosa sola: anche pagando il riscatto, la probabilità di ottenere un decryptor funzionante diminuisce sensibilmente. L’estorsione diventa più caotica e le vittime più vulnerabili.

Richiesta di riscatto da parte di LockBit 5.0 relativa a un attacco avvenuto a metà settembre

A volte ritornano

In questo scenario di frammentazione, un ritorno ha attirato particolare attenzione. LockBit, dato per smantellato a inizio anno, è riemerso con LockBit 5.0, versione più sofisticata e multipiattaforma, capace di colpire Windows, Linux ed ESXi. Guidato dall’amministratore “LockBitSupp”, il gruppo sembra voler riaffermare una sorta di “ordine” nel mercato RaaS, richiedendo persino un deposito di 500 dollari agli affiliati come forma di verifica.

Accanto a LockBit, protagonista del 2025 è Qilin, oggi il gruppo più attivo con una media di 75 vittime al mese. Nonostante il tentativo di mascherarsi dietro motivazioni ideologiche, Qilin punta al profitto puro, arrivando perfino a colpire 30 istituti finanziari della Corea del Sud in poche settimane. Con percentuali di guadagno fino all’85%, è uno dei programmi RaaS più attrattivi per i criminali.

Interessante il caso di DragonForce, che introduce un modello quasi “startup”: coalizioni strategiche, PR sui forum underground e perfino servizi di “audit dei dati” per aiutare gli affiliati a identificare file di alto valore. Una criminalità che imita il marketing aziendale, rendendo la competizione sempre più aggressiva.

A livello geografico, gli Stati Uniti restano la regione più colpita (quasi il 50% delle vittime globali), seguiti da Germania, Regno Unito e Canada. Tra i settori più bersagliati spiccano manifatturiero, servizi aziendali e sanità.

Dragonforce pubblicizza servizi di revisione dei dati

Per quanto le operazioni di contrasto continuino a colpire infrastrutture e gruppi noti, l’effetto è temporaneo: gli affiliati migrano, si riorganizzano o fondano nuovi gruppi. È un ecosistema resiliente, capace di adattarsi più velocemente dei difensori. La lezione del 2025 è chiara: il ransomware non rallenta, ma cambia forma. Frammentazione e ricentralizzazione convivono, e solo chi saprà evolvere le proprie difese – dall’endpoint ai backup immutabili, dalla formazione al monitoraggio continuo del mondo RaaS – potrà mantenere un margine di sicurezza credibile.

*Illustrazione progettata da CheckPoint