Il Cyber Monday è ormai diventato un appuntamento fisso per chi ama la tecnologia: smart TV, elettrodomestici connessi, assistenti vocali e sistemi di domotica finiscono nei carrelli virtuali di milioni di italiani. Ma mentre crescono le offerte, aumentano anche le ombre sulla nostra vita digitale. Federprivacy, in occasione del boom annuale degli acquisti online, invita a non dimenticare il rovescio della medaglia: molti dei dispositivi che portiamo in casa possono trasformarsi, senza che ce ne accorgiamo, in strumenti di sorveglianza.

Uno dei rischi più sottovalutati riguarda le smart TV. Come spiega Nicola Bernardi nel libro “Smetti di farti spiare, difendi la tua privacy”, i televisori moderni non sono più semplici schermi: sono veri e propri computer collegati alla rete, capaci di raccogliere informazioni dettagliate sulle nostre abitudini.
Molti modelli utilizzano sistemi di Automated Content Recognition (ACR), una tecnologia che “legge” ciò che passa sullo schermo analizzando i pixel. In pratica, sa se stiamo guardando un film su Netflix o una partita su DAZN, a che ora lo facciamo e con quale frequenza. È un po’ come avere un commesso che osserva ciò che metti nel carrello, solo che il carrello è la tua serata sul divano.

Dove si nasconde l’insidia

Il problema non si limita ai contenuti. Telecamere e microfoni integrati possono diventare porte d’ingresso per chi vuole spiarci: hacker, malware, o perfino aziende poco trasparenti. Nei casi peggiori, un criminale informatico potrebbe prendere il controllo del televisore, accendere la videocamera o ascoltare ciò che viene detto in casa. Sembra fantascienza, ma negli ultimi anni non sono mancati episodi documentati di intrusioni simili.

La smart home aggiunge un ulteriore livello di complessità. Frigoriferi connessi, robot aspirapolvere, termostati intelligenti, videocamere e sensori di allarme comunicano tra loro e con server remoti. Ognuno raccoglie un frammento della nostra vita quotidiana: orari in cui siamo a casa, consumi, abitudini, spostamenti nelle stanze. Presi singolarmente sembrano dati innocui; messi insieme possono raccontare molto più di quanto immaginiamo.

“La tecnologia migliora la qualità della vita, ma senza misure di sicurezza può diventare un accesso indesiderato alla nostra privacy“, ricorda Bernardi. Per questo la consapevolezza non è più un optional: aggiornare i dispositivi, usare password robuste, controllare le impostazioni di privacy e scegliere prodotti affidabili è importante quanto confrontare il prezzo durante gli sconti.

In questo Cyber Monday, dunque, il consiglio è semplice: prima di cliccare su Acquista, fermiamoci un attimo a valutare la sicurezza dei dispositivi che entreranno nelle nostre case. Perché una smart home davvero intelligente non è quella che raccoglie più dati, ma quella che protegge chi ci vive.

Leggi anche: “La casa connessa secondo Somfy“

Una falla scoperta di recente in WhatsApp ha permesso di estrarre fino a 100 milioni di numeri di telefono da tutto il mondo. La vulnerabilità è stata individuata dai ricercatori dell’Università di Vienna e corretta da Meta, ma gli esperti invitano alla prudenza: anche se non ci sono prove che sia stata sfruttata, il rischio non può essere considerato nullo. Per capire la portata del problema, bisogna ricordare che il numero di telefono è spesso la chiave d’accesso alla nostra identità online. È usato per registrarsi ai servizi, ricevere codici di conferma e può essere collegato a foto profilo, dispositivi e informazioni personali. A differenza delle password, raramente lo cambiamo. Questo lo rende un bersaglio molto prezioso.

Come funzionava la vulnerabilità

Secondo quanto riportato, un attaccante avrebbe potuto “enumerare” milioni di numeri, cioè verificare automaticamente quali fossero associati a un account WhatsApp. Tecnicamente si tratta di un processo simile a fare prove ripetute finché l’app non risponde “questo numero esiste”. Anche un ladro digitale molto prudente, effettuando richieste lente e da indirizzi diversi, avrebbe potuto passare inosservato tra il traffico normale della piattaforma. Non si tratta quindi di accedere alle chat – che restano protette dalla crittografia – ma di raccogliere informazioni sensibili. Un database con numeri, dispositivo usato, data di creazione dell’account e foto profilo sarebbe un arsenale perfetto per truffe mirate o campagne di phishing.

Perché questo “quasi incidente” è pericoloso

Luis Corrons, Security Evangelist di Avast, sottolinea che la vulnerabilità potrebbe essere stata sfruttata senza lasciare tracce evidenti. E il fatto che Meta non abbia rilevato abusi non significa che nessuno l’abbia mai utilizzata. Per Corrons, questo episodio dovrebbe spingere l’intero settore a ripensare il modo in cui vengono cercati e verificati i contatti nelle app di messaggistica. C’è poi un altro elemento che preoccupa: molti numeri coinvolti in vecchi leak — come quello di Facebook del 2021 — risultano ancora attivi su WhatsApp. Se un numero resta lo stesso per anni, diventa un identificatore stabile, facile da rintracciare e collegare ad altre informazioni sparse online. Perfetto per costruire profili dettagliati delle vittime.

Cosa fare per proteggersi

La buona notizia è che tutti possono adottare misure semplici ma efficaci, come limitare la visibilità del profilo in modo che foto e informazioni siano visibili solo ai propri contatti. Evitare di condividere il numero pubblicamente su siti web, social, annunci. Inoltre, attivare la verifica in due passaggi, che aggiunge un PIN alla registrazione dell’account.
La vulnerabilità è stata risolta, ma il messaggio degli esperti è chiaro: non abbassare la guardia.

Leggi anche: “La MOD malevola di WhatsApp”

*Illustrazione progettata da Univie

Le truffe online stanno cambiando pelle. Non più semplici e-mail sospette o siti improvvisati, ma interi ecosistemi digitali creati per sembrare autentici in ogni dettaglio. È quanto emerge da una recente indagine di Check Point Software, che ha analizzato la crescita delle truffe basate sull’intelligenza artificiale nel mercato dei farmaci dimagranti GLP-1, come Ozempic e Wegovy. La domanda globale di questi prodotti – complici scarsità e prezzi elevati – ha aperto la strada a criminali capaci di sfruttare l’IA generativa per costruire vere e proprie “fabbriche del falso”. Non si limitano più a imitare un prodotto: oggi clonano medici, referti, recensioni, confezioni e persino l’identità delle istituzioni sanitarie nazionali.

Sito che riposta il logo di AIFA contraffatto

Falsi siti che imitano AIFA e servizi sanitari europei

In Italia sono stati rilevati annunci che riproducono lo stile dell’Agenzia Italiana del Farmaco (AIFA), mescolando linguaggio clinico e riferimenti alla fitoterapia per risultare più credibili agli occhi del pubblico locale. Grafiche, loghi, colori e persino uniformi mediche vengono ricreati in pochi secondi grazie all’IA generativa. Il meccanismo è semplice: gli utenti vedono un banner pubblicitario dall’aspetto ufficiale, cliccano e vengono indirizzati a un sito che sembra approvato da un ente pubblico. Ma è tutto artificiale. Per chi non ha competenze tecniche la differenza è quasi indistinguibile.

Trasformazione di SlimPure UK

Immagini “prima e dopo” generate ad arte

Uno degli strumenti più usati dai criminali è la creazione di immagini persuasive che mostrano “trasformazioni fisiche” prima e dopo l’assunzione dei farmaci. In realtà, non c’è nessun paziente: si tratta di foto sintetiche, ottenute combinando foto d’archivio e modifiche generate dall’IA per simulare dimagrimenti spettacolari. È un trucco efficace perché fa leva su un bisogno reale – perdere peso – e sull’identificazione emotiva.

Quando il volto del truffatore è… inventato

Un altro livello della truffa riguarda i video: i criminali possono creare figure di medici inesistenti o imitare esperti reali, replicandone tono, ambientazione e modo di parlare tramite deepfake. In un caso britannico, è stato ricreato lo stile comunicativo di un noto nutrizionista per sponsorizzare un prodotto falso, pur senza alcun legame con la persona reale.

Come difendersi

Nonostante la complessità di queste tecniche, i consumatori possono proteggersi con alcune semplici accortezze:

• Acquistare solo da farmacie ufficiali e verificate;
• Diffidare di offerte troppo convenienti, timer di acquisto e annunci che promettono risultati “miracolosi”;
• Verificare nomi di medici e cliniche citate negli annunci;
• Controllare sempre l’URL del sito, perché spesso differisce da quello dell’ente imitato

Le truffe basate sull’IA non colpiscono solo gli utenti: anche istituzioni sanitarie, piattaforme e sistemi di pagamento devono collaborare per individuare e bloccare siti falsi prima che raggiungano il pubblico. Secondo Check Point, ci troviamo davanti alla “fase successiva del cybercrime”: una criminalità che sfrutta l’IA per creare mondi digitali credibili e difficili da smascherare. L’unica difesa è restare informati, sviluppare spirito critico e, soprattutto, non fidarsi mai di ciò che sembra “troppo perfetto per essere vero”.

*Illustrazione progettata da CheckPoint

Il lancio di Battlefield 6 non ha attirato solo milioni di giocatori, ma anche l’attenzione dei criminali informatici. Secondo una nuova ricerca pubblicata da Bitdefender, sono attualmente attive diverse campagne malware che sfruttano l’entusiasmo per il gioco per diffondere software dannoso camuffato da versioni pirata o da “trainer”, ovvero quei programmi che promettono modifiche e vantaggi in game.

Come funziona la truffa

Il meccanismo è semplice: molti utenti, per risparmiare o per avere funzionalità extra, cercano online crack o mod non ufficiali. I cybercriminali ne approfittano distribuendo file che sembrano autentici ma che, una volta avviati, installano infostealer e altri malware capaci di rubare dati sensibili. Un infostealer è un programma progettato per sottrarre informazioni come password salvate nel browser o credenziali dei wallet di criptovalute. Basta un clic su un file fasullo e i dati più preziosi del PC diventano accessibili a chi attacca.

Per rendere i loro file più credibili, gli hacker fingono di appartenere a famosi gruppi di “cracking” come InsaneRamZes o RUNE, nomi ben conosciuti tra gli appassionati di modding. Ma, avverte Bitdefender, nessuno dei file che circolano online funziona davvero: non avviano Battlefield 6 né offrono trainer reali. Servono solo a infettare il sistema.

Le tecniche usate sono tutt’altro che rudimentali. I ricercatori hanno individuato malware in grado di limitare l’esecuzione in base alla posizione geografica, di nascondere il loro codice tramite sistemi di “hashing” – una sorta di offuscamento che rende difficile l’analisi – e perfino di riconoscere quando vengono avviati in una “sandbox”, cioè un ambiente sicuro usato dagli analisti per studiare i virus. In quel caso il malware si ferma, per non farsi scoprire.

Alcune varianti, come quella attribuita al falso gruppo RUNE, includono componenti C2 (Command & Control), cioè moduli che permettono a un attaccante di controllare il PC da remoto. In scenari reali ciò può significare l’installazione di nuovi malware, l’uso del computer per truffe online o il furto continuo di informazioni.

Bitdefender segnala anche che i torrent infetti presentano centinaia di seeder e leecher attivi: in altre parole, centinaia di persone stanno distribuendo e scaricando file compromessi, spesso senza saperlo. Non solo: un finto trainer di Battlefield 6 compariva già alla seconda pagina di Google, un dettaglio che aumenta il rischio di esposizione per molti utenti meno attenti.

Come difendersi?

Le raccomandazioni sono semplici ma fondamentali. Prima di tutto, scaricare i giochi solo da piattaforme ufficiali come EA App, Steam o Epic Games Store. Evitare torrent, crack e trainer non verificati è la regola d’oro: anche quando sembrano legittimi, possono nascondere codice malevolo. Infine, utilizzare una soluzione di sicurezza che includa protezione comportamentale, capace di bloccare un malware nel momento in cui tenta di eseguire attività sospette.

Leggi anche: “Videogiochi indie con il malware dentro“

*Illustrazione progettata da Bitdefender

L’enorme popolarità dei BlackPink (gruppo coreano formato da quattro ragazze), impegnati nel loro nuovo tour mondiale, non ha attirato solo fan e curiosi: anche i truffatori online stanno approfittando dell’entusiasmo per mettere in atto nuove frodi. Gli esperti di Kaspersky hanno individuato diversi siti falsi che imitano quasi alla perfezione lo store ufficiale del merchandising della band. L’obiettivo è indurre i fan a fare acquisti fasulli e, soprattutto, a condividere dati personali e bancari.

Un esempio di un sito web fake che incoraggia gli utenti ad acquistare prodotti BlackPink

La strategia messa in campo

I criminali creano una copia dello shop originale, completa di foto, catalogo prodotti, carrello e pulsante “checkout”. L’utente, convinto di trovarsi sul sito giusto, compila il modulo d’ordine inserendo informazioni come nome, indirizzo, e-mail e numero di carta. In apparenza tutto funziona, ma in realtà nulla verrà spedito. I soldi scompaiono, e insieme a loro anche i dati sensibili, che possono essere rivenduti o usati per altre frodi.

Si tratta di un esempio tipico di phishing, una truffa in cui un sito o un messaggio falso cerca di sembrare autentico per spingere l’utente a fidarsi. Nel caso del merchandising di gruppi molto seguiti, la tecnica è ancora più efficace: prodotti limitati, poco tempo per acquistare e forte pressione emotiva. Tutti fattori che riducono l’attenzione e aumentano le possibilità di cadere nel tranello.

Secondo Kaspersky, questo tipo di schema si presenta spesso in occasione di eventi musicali, tornei sportivi o uscite di prodotti molto attesi. I truffatori sanno che i fan, pur di non perdere un’occasione, tendono a cliccare rapidamente su qualunque link sembri promettente. E proprio la fretta è una delle principali alleate dei criminali informatici.

Esempio di modulo per il pagamento e la registrazione sul sito Web fake

Per capire se un sito è affidabile, Kaspersky consiglia di controllare con attenzione l’indirizzo Web: errori ortografici, domini insoliti o link ricevuti via social da profili sconosciuti sono segnali di allarme. Un altro accorgimento è verificare se il venditore è effettivamente autorizzato: spesso gli store ufficiali vengono elencati sui siti delle band o delle etichette discografiche.

Un ulteriore livello di protezione può arrivare dalle soluzioni di sicurezza. I software moderni non si limitano a bloccare virus e malware, ma riconoscono anche pagine sospette e tentativi di phishing.

Oltre alla prudenza nella navigazione, è utile attivare l’autenticazione a due fattori (2FA), soprattutto per servizi di pagamento e home banking. Funziona come un secondo lucchetto: anche se qualcuno ruba la password, non può accedere senza confermare l’accesso tramite app o codice sul telefono. Infine, controllare periodicamente i movimenti della propria carta può aiutare a intercettare rapidamente transazioni sospette.

La sicurezza informatica ha vissuto un momento di grande innovazione durante il Pwn2Own Ireland 2025, il celebre hackathon globale organizzato da Trend Micro. La manifestazione ha visto i partecipanti, esperti di sicurezza da tutto il mondo, sfidarsi per individuare vulnerabilità in dispositivi elettronici di uso quotidiano, con l’obiettivo di rendere la tecnologia più sicura per tutti. Il montepremi complessivo è stato superiore a un milione di dollari, segno della crescente importanza attribuita alla scoperta di nuove minacce digitali.

Un festival della ricerca: cos’è Pwn2Own

Il Pwn2Own Ireland si distingue nel mondo della cybersicurezza come uno degli eventi più attesi, grazie al suo format unico che premia coloro che riescono a “bucare” – ovvero violare la sicurezza – di prodotti tecnologici tramite la scoperta di bug chiamati “zero-day”. Questi bug sono falle mai individuate prima dai produttori e possono essere sfruttate dai criminali informatici per accedere ai dispositivi. In questa edizione, i partecipanti hanno scoperto ben 73 vulnerabilità zero-day su stampanti, sistemi di archiviazione in rete, dispositivi smart home, apparecchi di sorveglianza e persino su smartphone di largo consumo.

Cos’è una vulnerabilità zero-day? Un esempio semplice

Immagina che il tuo smartphone abbia una porta invisibile che nessuno, nemmeno il costruttore, ha mai visto. Chi scopre quella porta può entrare senza chiavi e accedere ai tuoi dati. Solo quando la vulnerabilità viene segnalata, il produttore può “chiudere la porta” con un aggiornamento. Durante Pwn2Own, tanti ricercatori hanno segnalato queste porte invisibili, “zero-day”, aiutando le aziende a correggere i difetti prima che vengano usati per scopi illeciti.

I vincitori e gli exploit più curiosi

Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare il Samsung Galaxy S25, inclusa la fotocamera e il sistema di localizzazione, sfruttando un difetto nella verifica dei dati immessi dall’utente. Altri team hanno sfidato dispositivi come router di casa e speaker intelligenti, dimostrando come anche la sicurezza degli oggetti smart che usiamo a casa sia cruciale: Bongeun Koo ed Evangelos Daravigkas hanno impiegato 8 bug diversi per violare sistemi di rete e archiviazione, mettendo in luce la complessità della difesa digitale.
In definitiva, l’evento ha visto gli hacker etici competere per un montepremi di oltre 2 milioni di dollari. Ecco in dettaglio i momenti più salienti:

• Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare un Samsung Galaxy S25, inclusi la fotocamera e il rilevamento della posizione, utilizzando un bug di convalida dell’input improprio, aggiudicandosi un premio di $50.000.
• Ken Gannon / 伊藤 剣 di Mobile Hacking Lab e Dimitrios Valsamaras di Summoning Team hanno violato un Samsung Galaxy S25 utilizzando 5 bug diversi, aggiudicandosi un premio di $50.000.
• Bongeun Koo ed Evangelos Daravigkas di Team DDOS hanno utilizzato 8 differenti bug e injection multiple, per completare un “SOHO Smashup” del router QNAP Qhora-322 e del dispositivo QNAP TS-453E NAS. Per questo, si sono aggiudicati un premio di $100.000.
• dmdung di STAR Labs SG Pte. Ltd ha utilizzato un singolo bug di accesso OOB per violare lo smart speaker Sonos Era 300, aggiudicandosi un premio di $50.000.
• Sina Kheirkhah e McCaulay Hudson di Summoning Team hanno sfruttato un paio di vulnerabilità per hackerare un Synology ActiveProtect Appliance DP320.
• Il Team Z3 ha ritirato il tentativo di dimostrare un exploit zero-click di WhatsApp, ma la ricerca è stata condivisa privatamente con Trend Micro ZDI e Meta, per garantire che eventuali potenziali vulnerabilità possano essere risolte.

Un exploit “zero-click”: che significa?

Si tratta di una tecnica che permette di compromettere un’app o un dispositivo senza che l’utente debba fare nulla: non serve aprire un messaggio, cliccare su un link, né scaricare un file. È come ricevere una lettera nel cassetto della posta che si apre da sola e mostra il contenuto a chi è alla porta. Al Pwn2Own, i tentativi di mostrare questi exploit sono stati portati avanti con responsabilità: la ricerca è stata condivisa in privato con i produttori, per evitare rischi agli utenti e consentire una rapida correzione.
Trend Micro mette in evidenza come questa competizione acceleri la protezione verso i propri clienti, offrendo aggiornamenti di sicurezza mediamente 71 giorni prima rispetto agli altri concorrenti. Significa che chi utilizza prodotti protetti grazie alle scoperte di Pwn2Own ha quasi due mesi di margine sulla diffusione delle nuove minacce.
Il prossimo evento, Pwn2Own Automotive, si terrà a Tokyo, Giappone, dal 21 al 23 gennaio 2026.

Una nuova e ampia campagna di phishing sta colpendo migliaia di aziende in tutto il mondo, sfruttando uno dei canali più insospettabili: le funzioni legittime di Facebook Business. A scoprirlo sono stati i ricercatori di Check Point, che hanno individuato oltre 40.000 email fraudolente inviate a più di 5.000 organizzazioni tra Europa, Stati Uniti, Canada e Australia. L’obiettivo? Rubare credenziali e accessi ai profili aziendali che gestiscono campagne pubblicitarie su Meta, un settore molto redditizio per gli attaccanti.

Esempio di e-mail di phishing intercettata

Come funziona la truffa

Il trucco alla base dell’operazione è tanto semplice quanto efficace. Gli hacker hanno creato pagine Facebook Business false, dotate di loghi e nomi che imitano perfettamente l’aspetto ufficiale della piattaforma. Da lì hanno sfruttato una funzione autentica – l’invito Business – per inviare notifiche che sembrano provenire davvero da Meta. A rendere tutto più credibile è il dominio utilizzato: le email partono da facebookmail.com, lo stesso usato per i messaggi ufficiali. Per un utente medio, il segnale di allarme principale – il mittente sospetto – risulta così completamente azzerato.

I messaggi contenevano inviti che richiamavano situazioni urgenti o vantaggiose, come “Verifica dell’account richiesta” o “Programma di crediti pubblicitari gratuiti”. Tutto costruito per spingere la vittima a cliccare senza pensarci troppo. Il link, però, reindirizzava a pagine ospitate su piattaforme come vercel.app, allestite per sottrarre password e informazioni sensibili.

Esempio di e-mail di phishing ricevuta da un utente dalla pagina di prova

In pratica

Check Point ha replicato la tecnica in un ambiente controllato, dimostrando che l’intero processo può essere realizzato in pochi minuti: si crea una pagina falsa, si modifica il nome per includere un messaggio, si carica un logo simile a quello ufficiale e si sfrutta il meccanismo di invito per inviare notifiche che sembrano autentiche. Per le difese tradizionali – come i filtri basati sulla reputazione del dominio – intercettare la minaccia risulta complesso, perché i messaggi provengono da un indirizzo considerato affidabile.

Il bersaglio principale della campagna sono state le piccole e medie imprese, spesso meno attrezzate sul fronte della sicurezza e più abituate a ricevere notifiche reali da Meta Business. Questo aumenta enormemente la probabilità che un dipendente clicchi sul link senza verificare ulteriormente la fonte.

Secondo gli esperti, l’attacco mette in luce una tendenza crescente: l’uso di servizi legittimi come “armi” per aumentare la credibilità delle truffe. Non si tratta più di email mal scritte o provenienti da domini improbabili, ma di messaggi che imitano alla perfezione processi reali delle piattaforme più usate.

Per proteggersi, gli specialisti consigliano alcune pratiche semplici ma efficaci. Prima di tutto, non fidarsi ciecamente nemmeno dei mittenti apparentemente ufficiali: se la richiesta è insolita o troppo urgente, meglio verificare accedendo direttamente al proprio account senza passare dal link dell’email. Fondamentale anche l’autenticazione a più fattori (MFA), che impedisce agli attaccanti di accedere all’account anche se ottengono la password. Infine, le aziende dovrebbero adottare soluzioni di rilevamento avanzato, capaci di identificare anomalie nel comportamento delle email, non solo nella loro provenienza.