mindmap
root((THREAT ACTORS))
Tipologie
Nation-State
APT sponsorizzato governo
risorse illimitate
Organized Crime
struttura gerarchica
RaaS model
Hacktivist
causa ideologica
visibilita pubblica
Insider Threat
accesso legittimo
malicious o accidental
Unskilled Attacker
script kiddie
tool altrui
Attributi Chiave
Internal vs External
esterno = la maggioranza
interno = piu' pericoloso per accesso
Resources Funding
nation-state illimitati
script kiddie quasi zero
Sophistication
APT exploit custom zero-day
unskilled Metasploit preconfigurato
Exam Trap
insider NON e entrato bucando
aveva gia accesso legittimo
bassa sofisticazione NON basso rischio
script kiddie fa danno serio
Il termine "threat actor" e' solo un nome piu' formale per "attaccante": chiunque lanci un attacco informatico. La categoria determina motivazione, risorse e TTP usati.
Tre categorie basate sull'asse Security+: origine interna o esterna + livello di risorse e sofisticazione. I sub-nodi per ogni attore sono: Chi e' / Risorse e Sofisticazione / Motivazione.
Esterni ad Alta Risorse — Nation-State e Organized Crime#
mindmap
root((Esterni
Alta Risorse))
Nation-State
Chi e
sponsorizzati da governo
APT per definizione
Risorse e Sofisticazione
illimitate
zero-day exploit custom evasion avanzata
Motivazione
spionaggio sabotaggio politico
caso Lazarus Group 81M Bangladesh Bank
Organized Crime
Chi e
struttura gerarchica come azienda
leader manager esecutori
Risorse e Sofisticazione
medie-alte
RaaS ransomware su scala
Motivazione
denaro
caso Wizard Spider Ryuk ransomware
Esterni a Basse Risorse — Hacktivist, Unskilled Attacker, Competitor#
mindmap
root((Esterni
Basse Risorse))
Hacktivist
Chi e
attivista digitale
causa ideologica o politica
Risorse e Sofisticazione
basse-medie
variabile
Motivazione
visibilita e protesta
caso The Yes Men sito falso BlackRock
Unskilled Attacker
Chi e
script kiddie
usa tool altrui senza capirli
Risorse e Sofisticazione
bassissime
Metasploit preconfigurato
Motivazione
noia ego curiosita
genera rumore di fondo su internet
Competitor
Chi e
organizzazione in competizione
spionaggio industriale
Risorse e Sofisticazione
medie
OSINT + metodi illegali
Motivazione
vantaggio competitivo
roadmap brevetti lista clienti
mindmap
root((Interni))
Insider Malicious
Chi e
dipendente o contractor
accesso legittimo usato con dolo
Risorse e Sofisticazione
accesso diretto
varia con il ruolo
Motivazione
vendetta guadagno ideologia
caso Snowden 2013 NSA contractor
Insider Accidental
Chi e
dipendente in buona fede
non sa di creare rischio
Risorse e Sofisticazione
accesso legittimo
bassa consapevolezza security
Motivazione
nessuna
apre phishing porta USB manda file sbagliati
Sponsorizzati da un governo per avanzarne gli interessi. Sono la forma tipica di APT (Advanced Persistent Threat):
Advanced: usa tecniche sofisticate — exploit custom, zero-day, evasion avanzata. Non e' uno script kiddie con tool preconfezionati.
Persistent: rimane dentro per mesi o anni senza farsi notare. L'obiettivo non e' fare danno immediato — e' restare, raccogliere, aspettare il momento giusto.
Threat: e' una minaccia attiva e intenzionale con un mandato preciso, non malware casuale.
Risorse illimitate, obiettivi precisi, persistenza lunga. Non attaccano a caso: hanno un mandato. I governi sponsor negano ufficialmente, ma la threat intelligence li ha documentati:
Lazarus Group (Nord Corea) e' un caso esemplare: ha rubato 81 milioni di dollari alla Bangladesh Bank (2016) via SWIFT compromesso, e ha bucato Sony Pictures (2014) per impedire l'uscita di un film. Due obiettivi diversi (economico e politico) nello stesso threat actor.
mindmap
root((Living-off-the-Land
LotL))
Cosa
usa tool gia presenti nel sistema
PowerShell WMI cmd.exe
certutil bitsadmin regsvr32
nessun malware da installare
Perche lo fa un APT
signature-based AV non rileva
il tool e legittimo
behavioral detection difficile
admin usa gli stessi tool
nessuna traccia di file malevolo
Indicatori
PowerShell con encoding base64
WMI per lateral movement
certutil per download da internet
Difesa
behavioral analytics
baseline dei comandi legittimi
Privileged Access Workstation PAW
Gli APT nation-state non portano tool dall'esterno se possono evitarlo. Usano invece LOLBins (Living Off the Land Binaries): eseguibili gia' presenti nel sistema operativo che gli amministratori usano ogni giorno. PowerShell, WMI (Windows Management Instrumentation), certutil, bitsadmin, regsvr32 sono tutti strumenti legittimi — e tutti usati da attaccanti avanzati per scaricare payload, spostarsi lateralmente e mantenere la persistenza.
Perche' e' efficace: un antivirus basato su signature non blocca powershell.exe — e' un binario legittimo firmato da Microsoft. Il comportamento (es. PowerShell che scarica ed esegue uno script da un URL esterno) e' tecnicamente identico a operazioni di amministrazione normale. Solo behavioral analytics con baseline di riferimento puo' distinguerlo.
Esempio concreto: un attaccante con accesso iniziale esegue:
powershell -encodedCommand <base64_payload>
Il base64 nasconde il contenuto al log human-readable. Il processo lanciato e' powershell.exe — identico a centinaia di operazioni legittime nel task manager.
Vettore
endpoint — tool di sistema usati come arma dopo l'accesso iniziale
Causa
tool amministrativi potenti e presenti di default su ogni sistema Windows
Effetto voluto
persistenza, lateral movement, esfiltrazione senza triggering di alert AV
Difesa
behavioral analytics, baseline di uso legittimo, limitare accesso a tool come PowerShell per utenti non-admin, PAW (Privileged Access Workstation)
Indicatore
PowerShell con parametri encoded, WMI chiamato da processi inusuali, certutil che contatta IP esterni, script execution da path temp
CIA Triad
Confidentiality (esfiltrazione) e Integrity (modifiche al sistema) senza violare la disponibilita'
Scope
rete interna — l'attaccante usa i tool di un sistema come pivot per espandersi
Warning
Exam trap: LotL NON e' un tipo di malware — e' una tecnica. Un APT che usa LotL non porta malware: usa quello che trova. Behavioral analytics e baseline deviation monitoring sono le uniche difese efficaci.
Struttura gerarchica come una vera azienda (leader, manager, esecutori). Motivazione primaria: denaro. Qualsiasi attivita' puo' essere ricondotta alla cupidigia. Il modello dominante e' il ransomware, spesso via RaaS (Ransomware as a Service): il gruppo vende l'accesso al proprio ransomware ad affiliati in cambio di una percentuale del riscatto.
Caso documentato: Wizard Spider (Russia) operava Ryuk ransomware contro ambienti enterprise. CrowdStrike ha ricostruito la gerarchia del gruppo con divisione dei ruoli e obiettivi economici chiari.
Usa script, exploit e tool gia' pronti senza capire come funzionano. Competenza tecnica bassa, budget minimo. Spesso citato come "teenager annoiato" ma l'eta' non e' il punto: e' la mancanza di comprensione, non l'anagrafe. Motivazione: noia, ego, curiosita', voler vedere cosa succede.
Bassa sofisticazione NON significa basso rischio: con Metasploit pre-configurato si puo' fare danno serio senza capire nulla. La maggior parte del rumore di fondo su Internet (port scan, brute force su SSH esposto) e' generata da script kiddie con tool automatici.
Attacca per promuovere una causa, non per guadagno personale. Obiettivo: visibilita', protesta, danneggiare la reputazione del target per ragioni ideologiche. Legalmente e' comunque un attacco, indipendentemente dalla nobilta' della causa.
Caso reale: The Yes Men (gennaio 2019) hanno creato un sito falso di BlackRock e rilasciato una lettera falsa del CEO con impegni climatici. Molte testate l'hanno riportata come vera. Nessun malware, pura disinformazione per una causa ambientale.
Chiunque abbia accesso legittimo alle risorse interne. La parola chiave e' "legittimo": non e' entrato bucando un firewall, era gia' dentro. Il rischio e' determinato dall'accesso, non dalla competenza tecnica:
Malicious insider: sa cosa sta facendo. Motivazione: vendetta, guadagno economico, ideologia. Esempio: Edward Snowden (2013), contractor NSA che ha esfiltrato documenti classificati.
Non-malicious insider: agisce in buona fede. Apre un allegato phishing, porta dati su USB personale, manda file sbagliati. Non sa di creare un rischio.
Un admin di sistema e' piu' pericoloso di un utente normale non perche' sia "ignorante" ma perche' ha accesso a piu' sistemi. DLP (Data Loss Prevention) e' il tool principale per monitorare e bloccare l'esfiltrazione, sia maliciosa che accidentale.
Organizzazione in competizione economica che vuole informazioni proprietarie: roadmap, lista clienti, prezzi, brevetti, strategie. Non attacca per soldi diretti o ideologia: e' spionaggio industriale per guadagno competitivo.
Raccogliere informazioni e' legale fino a un certo punto (OSINT: LinkedIn, comunicati stampa, database brevetti). I metodi illegali includono: dumpster diving (rovistare nei rifiuti fisici per trovare documenti non distrutti), assumere dipendenti di un competitor per estrarre informazioni interne, hacking diretto.
Tre attributi distinguono i diversi tipi di attaccante:
Attributo
Descrizione
Esempio
Internal vs External
La maggior parte degli attaccanti e' esterna (nation-state, organized crime, hacktivist, script kiddie). L'insider threat e' interno e spesso piu' pericoloso perche' ha gia' accesso.
Admin malicioso vs hacker da fuori
Resources / Funding
Quantita' di risorse economiche e umane disponibili. Determina che tipo di attacchi sono possibili: zero-day costano milioni.
Nation-state: illimitati. Script kiddie: quasi zero.
Sophistication / Capability
Livello di competenza tecnica e qualita' dei tool usati. Alta sofisticazione = exploit custom, evasion avanzata, persistenza lunga. Bassa = tool scaricati da internet.
APT vs script kiddie
Exam tip CompTIA: "You need to know the major differences: internal vs external source, resources/funding, level of sophistication and capability."
mindmap
root((MOTIVATIONS))
Economiche
Financial Gain
ransomware frode furto credenziali
organized crime
Blackmail
dati sensibili per estorsione
organized crime insider
Data Exfiltration
IP clienti segreti
nation-state competitor
Politiche e Ideologiche
Espionage
intelligence strategica
nation-state
War
infrastrutture critiche
nation-state
Philosophical Political
causa ideologica
hacktivist
Operative
Service Disruption
DoS DDoS sabotaggio
hacktivist nation-state
Disruption Chaos
disordine senza obiettivo preciso
script kiddie hacktivist
Personali
Revenge
torto percepito
insider malicioso hacktivist
Ethical
bug bounty white hat
penetration tester autorizzato
Le motivazioni spiegano il "perche'" di un attacco. Sapere chi attacca aiuta a predire come. Questa lista e' richiesta dall'esame Security+ (Dominio 2.1):
Motivazione
Descrizione
Threat actor tipico
Data exfiltration
Rubare informazioni (proprieta' intellettuale, dati clienti, segreti)
Ottenere informazioni sensibili per estorcere denaro o compliance
Organized crime, insider malicioso
Service disruption
Rendere un servizio non disponibile (DoS/DDoS, sabotaggio)
Hacktivist, nation-state (cyber warfare)
Disruption / chaos
Creare disordine e instabilita', non necessariamente per un obiettivo specifico
Script kiddie, hacktivist
Philosophical / political beliefs
Avanzare un'ideologia o causa politica
Hacktivist
Espionage
Raccogliere intelligence strategica su governi, aziende, militari
Nation-state
War
Attacchi informatici come estensione della guerra tradizionale, contro infrastrutture critiche avversarie
Nation-state
Revenge
Danneggiare chi si percepisce abbia fatto un torto
Insider malicioso, hacktivist
Ethical
Identificare e segnalare vulnerabilita' per migliorare la sicurezza (white hat / ethical hacker)
Bug bounty hunter, penetration tester autorizzato
Exam tip: CompTIA vuole che tu conosca TUTTE queste motivazioni. La domanda tipo: "un attaccante vuole esporre pratiche aziendali scorrette attraverso un attacco informatico" = hacktivist con motivazione philosophical/political.
mindmap
root((THREAT VECTORS))
Umani
Message-based
email SMS IM
91% attacchi parte da email
Voice Call
vishing VoIP
caller ID falsificato
File e Dispositivi
File-based
macro Word PDF
utente abilita contenuto
Image-based
steganografia
C2 nascosto in PNG
Removable Device
USB con malware
bypass air-gap
Infrastruttura
Network-based
WiFi WEP Bluetooth
caso TJX 2007
Software-based
client-based o agentless
EOL senza patch
Supply Chain
fornitore fidato compromesso
caso SolarWinds 2020
Attack Surface
ridurre = compito del security engineer
server inutilizzati da spegnere
porte aperte da chiudere
software EOL da aggiornare
Threat vector: il percorso che un attaccante usa per accedere a computer e reti. Ogni vettore e' un modo diverso per arrivare alla vittima.
Attack surface: l'insieme di TUTTI i vettori a cui un'organizzazione e' esposta. Ridurre l'attack surface e' uno dei compiti principali del security engineer: server inutilizzati da spegnere, porte aperte da chiudere, software EOL da aggiornare.
Tre categorie: vettori che sfruttano le persone, vettori che sfruttano file e dispositivi fisici, vettori che sfruttano l'infrastruttura di rete e software.
mindmap
root((Vettori
Umani))
Message-based
Cosa
email SMS IM con link o allegato
91% degli attacchi parte da email
Vettore
phishing spear phishing whaling
allegato con exploit o link drive-by
Obiettivo
credenziali o installazione malware
caso RSA 2011 Excel con Flash zero-day
Voice Call
Cosa
attacco social engineering via telefono
vishing con VoIP
Vettore
caller ID falsificato
impersonazione IT support o banca
Obiettivo
credenziali VPN o dati finanziari
caso Twitter 2020 via finto IT interno
Vettori File e Dispositivi — File, Image, Removable#
mindmap
root((File e
Dispositivi))
File-based
Cosa
codice malevolo in documento
Word PDF spreadsheet
Vettore
macro in allegato email
utente abilita contenuto
Obiettivo
esecuzione codice sul sistema
caso Emotet 2014 via macro Word
Image-based
Cosa
codice nascosto in immagine
steganografia
Vettore
immagine scaricata o visualizzata
sembra traffico normale
Obiettivo
C2 nascosto nel payload visivo
caso Turla APT PNG su siti legittimi
Removable Device
Cosa
USB o hard disk con malware
autorun o esecuzione manuale
Vettore
device trovato o consegnato fisicamente
air-gap bypass
Obiettivo
infettare sistemi isolati da internet
caso Stuxnet 2010 centrale Natanz
mindmap
root((Infrastruttura))
Network-based
Cosa
debolezze nella rete stessa
WiFi Bluetooth segmentazione assente
Vettore
sniffing su WiFi non cifrato
WEP craccabile in minuti
Obiettivo
intercettare traffico e scalare
caso TJX 2007 da parcheggio
Software-based
Cosa
vulnerabilita nel software installato
client-based o agentless
Vettore
exploit su app presente sul sistema
SQL injection o XSS su web app
Obiettivo
esecuzione codice o accesso dati
caso WannaCry EternalBlue SMBv1
Supply Chain
Cosa
compromette fornitore fidato
MSP vendor software hardware
Vettore
aggiornamento legittimo ma infetto
firmato digitalmente dal vendor
Obiettivo
raggiungere migliaia di target
caso SolarWinds 2020 SUNBURST
Email, SMS, IM con link o allegati malevoli. Gibson stima che il 91% degli attacchi parta da un'email. Varianti: phishing (generico), spear phishing (mirato), whaling (dirigenti).
Caso reale: RSA Security (2011). Un dipendente riceve un'email con allegato Excel intitolato "2011 Recruitment plan.xls". Il file contiene un Flash zero-day. Un click apre una backdoor. Risultato: compromessi i token SecurID usati da appaltatori della difesa USA. Costo: centinaia di milioni di dollari.
Codice malevolo nascosto in un'immagine tramite steganografia, o exploit in file immagine. Quando l'immagine viene scaricata o visualizzata, il codice viene eseguito.
Caso reale: Turla APT (Russia) nascondeva le istruzioni C2 dentro immagini PNG pubblicate su siti legittimi (incluse gallery satellitari). Il malware sulla vittima scaricava l'immagine, estraeva i comandi dalla steganografia e li eseguiva. Il traffico sembrava normale download di immagini.
Codice malevolo in documenti apparentemente innocui: Word con macro, PDF con exploit, spreadsheet. Quando l'utente apre il file, il codice viene eseguito.
Caso reale: Emotet (2014-2021) si diffondeva via email con allegati Word contenenti macro malevole. L'utente apriva il documento, vedeva un messaggio "Abilita il contenuto per visualizzare il documento" e cliccava. Emotet si installava e scaricava altri malware (TrickBot, Ryuk). Ha infettato milioni di sistemi in tutto il mondo.
Attacchi social engineering via telefono (vishing). L'attaccante impersona un'entita' fidata (IT support, banca, IRS) per ottenere credenziali o accesso.
Caso reale: Twitter (luglio 2020). Attaccanti chiamarono dipendenti Twitter fingendo di essere l'IT interno, ottennero le credenziali VPN aziendali. Con quell'accesso compromissero account verificati di Barack Obama, Elon Musk, Joe Biden, Apple e altri per promuovere una truffa Bitcoin. 130 account compromessi, 120.000 dollari rubati in 24 ore. Attaccanti avevano 17, 19 e 22 anni.
USB drive, hard disk esterni carichi di malware. Quando il device viene collegato, il malware parte automaticamente (autorun) o viene eseguito dall'utente.
Caso reale: Stuxnet (2010). Il malware aveva bisogno di entrare nella centrale nucleare di Natanz (Iran), completamente air-gapped (senza connessione a internet). Soluzione: USB drive infetti lasciati nelle aree circostanti. Un dipendente o un appaltatore ha collegato il drive. Stuxnet si e' propagato silenziosamente e ha sabotato le centrifughe di arricchimento dell'uranio distruggendole fisicamente mentre i monitor mostravano valori normali. Primo cyberweapon fisicamente distruttivo della storia.
Questo vettore riguarda vulnerabilita' nel software. Diviso in due sottocategorie che confondono:
Client-based: la vulnerabilita' e' in un software installato sul dispositivo della vittima. L'attacco richiede che il software sia presente. Esempio: PDF malevolo che sfrutta un bug di Adobe Reader. Non e' il PDF in se' ad essere il problema, e' il Reader che lo apre. Analogia da developer: e' come un exploit in una libreria PHP che devi avere installata.
Agentless: l'attacco colpisce direttamente una web application o un servizio, senza bisogno di nulla sul dispositivo dell'attaccante. SQL injection, XSS: il codice malevolo viene inviato al SERVER, non installato sul client. Agentless non significa "senza agente sul server" ma "senza software da installare sull'attaccante".
Unsupported software: software EOL (End of Life) che non riceve piu' patch. Quando esce un CVE, nessuna fix. Vulnerabilita' garantita senza rimedio.
Caso reale: WannaCry (maggio 2017). Sfruttava EternalBlue (MS17-010), una vulnerabilita' in SMBv1 di Windows. Microsoft aveva rilasciato la patch (MS17-010) due mesi prima. Organizzazioni che non avevano aggiornato, incluse quelle con sistemi EOL (Windows XP), erano esposte. In 4 giorni: 200.000 sistemi in 150 paesi. NHS UK: 80 ospedali offline, operazioni cancellate, pazienti reindirizzati.
Attacchi che sfruttano debolezze nell'infrastruttura di rete: WiFi non cifrato, reti cablate non segmentate, Bluetooth vulnerabile.
Caso reale: TJX Companies (2007). Attaccanti in un parcheggio vicino a un negozio Marshalls con antenne WiFi rilevarono una rete WEP (craccabile in minuti). Si connessero, sniffarono il traffico, scalarono fino alla rete corporate. Risultato: 45,7 milioni di numeri di carte di credito rubati. Danno stimato: oltre 250 milioni di dollari. Primo grande breach da WiFi pubblicamente documentato.
L'attaccante compromette un fornitore fidato (MSP, vendor software, hardware manufacturer) per raggiungere il target finale tramite quella relazione di fiducia. La vittima scarica un aggiornamento legittimo, ma l'aggiornamento e' gia' infetto.
Caso reale: SolarWinds (2020). Attaccanti (APT29/Cozy Bear, Russia) sono entrati nel build environment di SolarWinds e hanno inserito una backdoor chiamata SUNBURST nel codice sorgente di Orion, il software di monitoring di rete usato da migliaia di aziende. L'aggiornamento e' stato firmato digitalmente da SolarWinds e distribuito regolarmente. 18.000+ organizzazioni hanno scaricato l'update infetto, tra cui NSA, Dipartimento del Tesoro USA, Microsoft, Cisco, Intel. Il breach e' rimasto nascosto per mesi. E' l'attacco supply-chain piu' documentato della storia.
Caso reale 2: XZ Utils (2024). Un contributor (identita' falsa) ha lavorato per due anni sulla libreria di compressione XZ su Linux, guadagnando fiducia nei maintainer. Poi ha inserito una backdoor che avrebbe permesso accesso SSH root su sistemi Linux con systemd. Rilevato per caso da un developer Microsoft che notava rallentamenti in SSH. Se non fosse stato scoperto prima della distribuzione stabile avrebbe colpito praticamente ogni server Linux del mondo.
mindmap
root((SHADOW IT))
Definizione
sistemi senza autorizzazione IT
non necessariamente malevolo
nasce da necessita pratica
sistema approvato lento o assente
Rischi
nessun patching
CVE critico senza fix
nessuno sa che esiste
nessun monitoraggio
fuori dal SIEM
fuori dai backup
nessun firewall aziendale
esposto su internet
credenziali deboli
Caso Reale
Equifax 2017
Apache Struts sconosciuto allIT
CVE-2017-5638 non patchata
147 milioni record rubati
Exam Trap
IT gestisce solo cio che conosce
sistemi nascosti non aggiornati
analogia AWS dimenticata
Qualsiasi sistema, applicazione o servizio cloud usato in un'organizzazione senza autorizzazione dell'IT. Non e' necessariamente malevolo: spesso nasce da necessita' pratiche (il sistema approvato e' lento, macchinoso, non esiste ancora). Il problema e' che questi sistemi vivono fuori dal controllo IT: niente patch, niente backup, niente monitoraggio, niente firewall aziendale.
Perche' aumenta il rischio: l'IT gestisce solo cio' che conosce. Sistemi nascosti non vengono aggiornati, non vengono inclusi nei backup, non vengono monitorati dal SIEM. Quando esce un CVE critico, la patch arriva su tutto tranne che sul server Shadow IT che nessuno sa che esiste.
Esempio da developer: apri un account AWS personale per un test rapido, carichi file di progetto, finisci il test e ti dimentichi dell'istanza. L'IT non sa che esiste. Nessun firewall, nessun patching, probabilmente credenziali deboli. Sei andato via dall'azienda due anni fa: l'istanza gira ancora con dati aziendali dentro.
Caso reale: Equifax (2017, 147 milioni di record rubati). Una delle cause root era un'applicazione Apache Struts che il team di sicurezza non sapeva esistesse. La vulnerabilita' CVE-2017-5638 era nota da marzo, patch disponibile da due mesi. L'app non e' mai stata patchata perche' nessuno sapeva che fosse in produzione. Risultato: la violazione piu' grande della storia dei dati finanziari USA.
mindmap
root((MALWARE))
Propagazione
Virus
aggancia host file
richiede esecuzione utente
Worm
self-replicating autonomo
nessun click necessario
payload delivery o botnet
Accesso e Controllo
Trojan
si maschera da software utile
non si replica
RAT
Trojan con sessione live
attaccante alla tastiera
Rootkit
kernel-level hooking
nasconde se stesso allOS
Furto Dati
Spyware
monitoraggio silenzioso ampio
include keylogger
Keylogger
cattura ogni tasto
hw o sw vanificato da 2FA
Danno e Sabotaggio
Ransomware
cifra dati chiede riscatto
RaaS model
Logic Bomb
dormiente fino al trigger
vettore = insider malicioso
Botnet
rete zombie con C2
DDoS spam mining
Software con intento malevolo. Non e' qualcosa che installi consapevolmente: viene installato sul sistema attraverso mezzi ingannevoli. Il termine "virus" viene usato colloquialmente per descrivere qualsiasi malware, ma e' impreciso: un virus e' un tipo specifico di malware. Malware include virus, worm, trojan, ransomware, rootkit, spyware, logic bomb e altro.
Sintomi tipici di infezione: sistema piu' lento, processi sconosciuti in esecuzione, email inviate senza azione dell'utente, riavvii casuali, comportamenti anomali generici.
Principio chiave per l'esame: ogni tipo di malware ha indicatori diversi. Riconoscere gli indicatori aiuta a determinare il tipo di attacco, e quindi la risposta corretta.
mindmap
root((Propagazione))
Virus
Cosa
aggancia un host file
non gira da solo
Vettore
file eseguito dall utente
USB autorun
Obiettivo
replica su altri file
payload a tempo
Worm
Cosa
self-replicating autonomo
vive in memoria
Vettore
vulnerabilita SMB o OS
nessun click richiesto
Obiettivo
propagazione = mezzo non fine
fine: consegnare payload
ransomware DDoS mining botnet
Accesso e Controllo — Trojan, RAT, Backdoor, Rootkit#
mindmap
root((Accesso e
Controllo))
Trojan
Cosa
software utile falso
non si replica
Vettore
download o crack pirata
drive-by download
Obiettivo
installare backdoor
aprire la porta
RAT
Cosa
Trojan con sessione live
attaccante alla tastiera virtuale
Vettore
drive-by o pirated app
Obiettivo
controllo remoto totale
webcam microfono schermo
Backdoor
Cosa
porta remota persistente
Vettore
lasciata da Trojan o exploit
Obiettivo
rientro garantito
senza ri-exploit
Rootkit
Cosa
kernel-level con hooking
si nasconde all OS
Vettore
exploit o installer compromesso
Obiettivo
backdoor C2 su porte non standard
esfiltrazione dati e credenziali
pivot verso sistemi interni
mindmap
root((Furto Dati))
Spyware
Cosa
monitoraggio silenzioso ampio
Vettore
drive-by o bundled software
Obiettivo
data harvesting identita
include keylogger come modulo
Keylogger
Cosa
cattura ogni tasto premuto
software o hardware fisico
Vettore
bundled in spyware o RAT
dispositivo USB sulla tastiera
Obiettivo
furto password e credenziali
vanificato da 2FA
Danno e Sabotaggio — Ransomware, Logic Bomb, Botnet#
mindmap
root((Danno e
Sabotaggio))
Ransomware
Cosa
cifra i dati della vittima
chiave solo all attaccante
Vettore
phishing o drive-by
RaaS tramite affiliati
Obiettivo
estorsione denaro
downtime forzato
Logic Bomb
Cosa
codice dormiente condizionale
non fa nulla prima del trigger
Vettore
insider con accesso al codice
Obiettivo
sabotaggio a trigger
data ora o evento specifico
Botnet
Cosa
rete di zombie con C2
ogni zombie e un sistema infetto
Vettore
worm o Trojan di reclutamento
Obiettivo
DDoS spam mining crypto
piattaforma per altri attacchi
flowchart TD
A([Suspicious behavior observed on system])
B{Self-replicating?
Spreads without user action?}
C{Needs host file?
Attaches to executable?}
D([WORM
WannaCry · SQL Slammer
No host needed · autonomous])
E([VIRUS
CIH · Chernobyl
Attaches to host file])
F{Ransom demand?
Encrypts files and demands payment?}
G([RANSOMWARE
Ryuk · LockBit
Encrypts data · extorts victim])
H{Remote control?
Attacker has live interactive access?}
I([RAT
Blackshades
Full remote control · webcam · keystrokes])
J{Hides from OS?
Processes invisible via kernel hooking?}
K([ROOTKIT
Sony BMG · kernel-level
Hooks OS calls · hides own process])
L{Triggered by event?
Dormant until condition fires?}
M([LOGIC BOMB
Payroll removal case
Sleeper code · fires on trigger])
N{Keystrokes only?
Captures and exfiltrates keystrokes?}
O([KEYLOGGER
Defeated by 2FA
Records all keystrokes])
P([SPYWARE · TROJAN · BOTNET
Broad monitoring · disguised software
Zombie node under C2 command])
A --> B
B -->|YES| D
B -->|NO| C
C -->|YES| E
C -->|NO| F
F -->|YES| G
F -->|NO| H
H -->|YES| I
H -->|NO| J
J -->|YES| K
J -->|NO| L
L -->|YES| M
L -->|NO| N
N -->|YES| O
N -->|NO| P
classDef start fill:#0d2a1a,stroke:#4aaf7e,stroke-width:2px,color:#ffffff
classDef decision fill:#2a1a0a,stroke:#ff7a4a,stroke-width:2px,color:#ffffff
classDef endpoint fill:#2a0a0a,stroke:#e05555,stroke-width:2px,color:#ffffff
class A start
class B,C,F,H,J,L,N decision
class D,E,G,I,K,M,O,P endpoint
Exploit vs Payload: due concetti distinti che lavorano in sequenza.
Exploit: il meccanismo che bypassa il controllo — sfrutta una vulnerabilita' per far fare al sistema qualcosa che non dovrebbe fare. E' il "come entri": buffer overflow, path traversal, SQL injection, command injection. Tecniche diverse, stesso principio. Il pacchetto malformato di SQL Slammer che ingannava SQL Server a eseguire codice arbitrario era l'exploit.
Payload: cosa viene eseguito una volta che l'exploit ha funzionato. E' il "cosa fai dopo che sei dentro" — come il body di una POST HTTP: il contenuto processato dopo che la richiesta e' stata accettata. Stesso exploit, payload intercambiabili. Metasploit li separa esattamente cosi': scegli l'exploit (quale vulnerabilita' sfruttare) e il payload (reverse shell, meterpreter, comando) come moduli indipendenti.
Exploit: il meccanismo che sfrutta la vulnerabilità per ottenere l'esecuzione di codice. È il "come entri". Il buffer overflow di SQL Slammer era l'exploit — quel pacchetto malformato che ingannava SQL Server a eseguire codice arbitrario. L'exploit è il meccanismo che bypassa il controllo — buffer overflow, path traversal, SQL injection, command injection. Qualsiasi tecnica che fa fare al sistema qualcosa che non dovrebbe fare
Codice malevolo che si aggancia a un'applicazione host. Non puo' girare da solo: ha bisogno che l'applicazione host venga eseguita. Quando l'utente lancia l'host, il virus si attiva.
Ciclo di vita:
Infezione: il virus si attacca a un'app host
Replicazione: cerca altri host da infettare (altri file, altre app)
Attivazione: ad un certo punto esegue il payload
Payload tipici: cancellazione file, riavvii casuali, aggiunta a una botnet, apertura di backdoor per accesso remoto.
Il virus di solito non causa danni subito: aspetta di replicarsi prima. L'utente esegue inconsapevolmente l'host infetto, o in alcuni casi il SO lo esegue automaticamente (esempio classico: USB drive infetta con autorun abilitato).
Host vs Endpoint: nel contesto del virus, "host" e' l'applicazione o il file a cui il virus si aggancia (un .exe, un documento Word), non il dispositivo. L'endpoint e' il dispositivo fisico (laptop, server) su cui tutto gira. Il virus si attacca all'host (file) → il file viene eseguito sull'endpoint (macchina) → l'endpoint viene compromesso. In EDR si parla di endpoint perche' e' li' che vive l'agent di monitoraggio; nel ciclo di vita del virus, host = il file portante.
Caso reale: CIH / Chernobyl Virus (1998). Si attaccava ai file .exe. Il payload si attivava il 26 aprile (anniversario di Chernobyl): sovrascriveva il BIOS e cancellava il contenuto del disco fisso. Il dispositivo diventava inutilizzabile. 60 milioni di computer infetti in tutto il mondo. L'utente doveva eseguire un .exe infetto per innescare la catena, e il virus si replicava ad altri .exe sul sistema.
Distinzione chiave per l'esame: virus = ha bisogno di un host. Worm = autonomo, si propaga da solo senza host.
Vettore
file — si aggancia a un eseguibile host (.exe, documento con macro)
Causa
esecuzione inconsapevole del file infetto da parte dell'utente o autorun su dispositivo rimovibile
Effetto voluto
replicazione su altri file del sistema, poi esecuzione del payload (danno, botnet, backdoor)
Difesa
antivirus con signature e heuristic, disabilitare autorun, policy di esecuzione file
Indicatore
file eseguibili che crescono di dimensione, processi anomali al lancio di applicazioni note, scansione AV con file multipli segnalati
CIA Triad
Integrity (Integrita') — i file vengono modificati dal virus che si attacca; Availability (Disponibilita') se il payload distrugge dati o rende il sistema inutilizzabile
Scope
singolo sistema — si propaga localmente ai file, poi ad altri sistemi tramite file condivisi o dispositivi rimovibili
Tipo di malware che prende il controllo del computer e dei dati della vittima, escludendola dal proprio sistema (locking out users). Il meccanismo principale e' la cifratura: l'attaccante cifra tutti i dati con una chiave nota solo a lui. La vittima non puo' accedere ai propri file finche' non paga il riscatto — o finche' non li ricrea da zero.
Come funziona:
Il malware arriva via drive-by download o allegato email
Cifra tutti i dati sul sistema con una chiave asimmetrica controllata dall'attaccante
Mostra una richiesta di riscatto con istruzioni di pagamento (spesso in crypto)
Se il riscatto viene pagato, l'attaccante promette di consegnare la chiave di decifratura
Se non viene pagato, minaccia di distruggere la chiave — perdita permanente dei dati
Evoluzione del target: gli attaccanti hanno spostato il focus da singoli individui (riscatto ~300$) a organizzazioni intere (riscatti da milioni di dollari). Ospedali, municipalita', infrastrutture critiche sono diventati target privilegiati perche' non possono permettersi downtime e sono piu' propensi a pagare.
Il problema del pagamento: l'FBI sconsiglia esplicitamente di pagare. Ragioni concrete:
Alcune organizzazioni hanno pagato senza ricevere una chiave utilizzabile
Alcuni attaccanti hanno chiesto ulteriori pagamenti dopo aver ricevuto il primo riscatto
Pagare finanzia il prossimo attacco e valida il modello di business criminale
Alcune organizzazioni pero' calcolano che pagare costi meno del downtime necessario a ricostruire i dati
RaaS — Ransomware as a Service: il modello dominante nell'organized crime. Il gruppo principale sviluppa e gestisce il ransomware, poi lo "affitta" ad affiliati che si occupano della distribuzione. Il gruppo prende una percentuale del riscatto (tipicamente 20-30%). Esempio documentato: Wizard Spider con Ryuk, poi REvil, LockBit.
Exam tip: ransomware = malware che prende il controllo + richiede pagamento. La parola chiave e' extort (estorcere) — se la domanda parla di estorsione digitale, la risposta e' ransomware. Collegato al threat actor organized crime e alla motivazione financial gain.
CPU al massimo senza motivo, file che diventano inaccessibili o con estensione cambiata, nota di riscatto sullo schermo, connessioni verso C2 in uscita
CIA Triad
Availability (Disponibilita') — i dati vengono resi inaccessibili; Confidentiality (Riservatezza) nelle varianti double extortion che esfiltrano prima di cifrare
Scope
organizzazione — si propaga a tutti i sistemi raggiungibili dalla macchina infetta, colpisce backup di rete, file server condivisi
Si presenta come qualcosa di utile ma contiene un componente malevolo. Il nome viene dalla mitologia greca: i Greci non riuscirono ad espugnare Troia per anni. Odisseo costrui' un enorme cavallo di legno con guerrieri nascosti dentro, convinsero i Troiani che era un dono di pace, e di notte i guerrieri aprirono le porte. Stesso principio: l'utente installa il Trojan pensando sia qualcosa di legittimo.
Canali di distribuzione:
Drive-by download: l'attaccante compromette un sito web, inserisce codice malevolo. Quando l'utente visita il sito, il Trojan si scarica e installa automaticamente
Pirated software / giochi: software craccato distribuito con Trojan integrato
Scareware: finto antivirus gratuito che mostra alert inventati ("47 virus trovati!"), spaventa l'utente, chiede soldi per la "versione completa". I problemi non esistono, li riporta anche su un sistema appena installato e pulito
Browser extensions: estensioni apparentemente utili che esfiltra dati. Nel 2020 Google ha rimosso 500+ estensioni Chrome create da un singolo threat actor
Payload tipico — Backdoor:
Il Trojan installa una backdoor che permette all'attaccante di rientrare quando vuole. Forme concrete:
Aggiunge la chiave SSH dell'attaccante a ~/.ssh/authorized_keys → accesso SSH silenzioso senza password
Droppa una web shell (file PHP) sul server → ?cmd=whoami esegue comandi via HTTP
Avvia un C2 reverse beacon: il malware fa una connessione USCENTE verso il server dell'attaccante e aspetta comandi. Il firewall non la blocca perche' sembra traffico normale in uscita. L'attaccante non deve aprire porte — e' il malware che telefona a casa
Trojan vs Virus:
Entrambi richiedono che l'utente esegua qualcosa. La differenza: il virus si auto-replica attaccandosi ad altri file e cerca di diffondersi. Il Trojan non si replica — si installa, apre la backdoor, e basta. Piu' silenzioso, meno rumoroso sulla rete.
utente ingannato a installare qualcosa che sembra legittimo (software, crack, finto antivirus)
Effetto voluto
installazione di backdoor, apertura accesso remoto persistente, furto di credenziali
Difesa
download solo da fonti ufficiali, verifica firma digitale del software, endpoint protection, policy di installazione software
Indicatore
connessioni in uscita verso IP sconosciuti, processi sconosciuti in esecuzione dopo installazione di nuovo software, chiavi SSH non autorizzate in authorized_keys
CIA Triad
Confidentiality (Riservatezza) — furto di credenziali e dati; Integrity (Integrita') — backdoor modifica il sistema; Availability (Disponibilita') se il payload include distruzione dati
Scope
singolo sistema — il Trojan non si propaga autonomamente, ma la backdoor permette all'attaccante di espandersi manualmente ad altri sistemi
Malware self-replicating che si propaga nella rete senza host application e senza interazione utente. Vive in memoria, scansiona la rete, trova sistemi vulnerabili, si copia autonomamente. Non ha bisogno che qualcuno clicchi o apra qualcosa.
Il problema principale non e' solo il payload: e' il consumo di banda. Ogni sistema infetto scansiona e tenta di infettare altri sistemi contemporaneamente. Centinaia di copie in pochi minuti. La rete rallenta fino al blocco.
Caso reale: SQL Slammer (2003). Un worm di soli 376 byte che sfruttava una vulnerabilita' in Microsoft SQL Server. Raddoppiava il numero di sistemi infetti ogni 8,5 secondi. In 10 minuti aveva infettato 75.000 server. Ha mandato offline gli ATM di Bank of America, il sistema di prenotazione di Continental Airlines e i servizi di emergenza 911 a Seattle. Non richiedeva nessuna azione utente: bastava avere la porta UDP 1434 esposta.
Caso reale 2: WannaCry (2017). Worm + ransomware. Si propagava via EternalBlue (MS17-010, vulnerabilita' SMBv1). Nessun click, nessun allegato: scansionava la rete, trovava sistemi Windows non patchati, si installava automaticamente, cifrava i file e chiedeva riscatto. 200.000 sistemi in 150 paesi in 4 giorni.
Distinzione per l'esame:
Virus
Worm
Host application
Necessario
Non necessario
User interaction
Spesso necessaria
Non necessaria
Propagazione
Tramite file infetti
Autonoma via rete
Problema principale
Payload
Consumo di banda + payload
Vettore
rete — sfrutta vulnerabilita' nel sistema operativo o nei servizi esposti (SMB, SQL, RDP) senza interazione utente
Causa
sistemi non patchati con porte di servizio esposte sulla rete
Effetto voluto
propagazione massiva e rapida, consegna di payload (ransomware, DDoS, botnet)
Difesa
patch management tempestivo, segmentazione di rete, firewall che blocca porte di servizio non necessarie
Indicatore
traffico di rete anomalo e sostenuto, porta scansionata in massa verso altri host, degrado delle performance di rete, propagazione rapida tra sistemi
CIA Triad
Availability (Disponibilita') — consumo di banda che blocca la rete; Integrity (Integrita') e Confidentiality (Riservatezza) dipendono dal payload consegnato
Scope
rete — ogni sistema raggiungibile con la vulnerabilita' esposta viene infettato automaticamente
Programma (o gruppo di programmi) che ottiene accesso amministrativo al sistema con due obiettivi: dare all'attaccante privilegi elevati e/o nascondere il fatto che il sistema e' compromesso. L'utente sospetta qualcosa, ma antivirus e controlli riportano tutto normale — perche' il rootkit nasconde i propri processi in esecuzione.
Livello di accesso: root-level o kernel-level — lo stesso livello del sistema operativo. Non e' un programma che gira sopra Windows: e' dentro Windows, con gli stessi privilegi.
Hooking: tecnica con cui il rootkit intercetta le chiamate al sistema operativo. Quando l'antivirus chiede all'OS "mostrami i processi in esecuzione", il rootkit intercetta quella chiamata e restituisce una lista ripulita — il proprio processo non appare. L'antivirus non vede nulla di strano perche' non riesce nemmeno a fare la domanda giusta.
Registry: database gerarchico di Windows che contiene tutte le configurazioni del sistema — OS, hardware, software installato, avvio automatico. Come /etc/ su Linux ma centralizzato e strutturato ad albero. I rootkit lo modificano per:
Persistenza: aggiungono se stessi a HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run → partono ad ogni boot
Nascondersi: alterano come l'OS riporta processi e file
Disabilitare difese: modificano impostazioni di Windows Defender, UAC
Payload tipico dopo installazione: backdoor per accesso remoto, keylogger, esfiltrazione file. L'attaccante ha accesso completo al sistema con privilegi di amministratore.
Come si rileva (difficile):
Esaminare il contenuto della RAM: i processi hookati lasciano tracce in memoria anche se nascosti all'OS
Boot in safe mode o scan pre-boot: il rootkit non e' ancora caricato, i processi reali sono visibili
Un "tutto ok" dall'antivirus NON e' sufficiente su un sistema sospettato di rootkit
Exam tip — discriminante esame: i tre segnali che identificano rootkit in una domanda:
Processi nascosti che non appaiono nel task manager o nei tool di sistema — questo e' il tratto definitorio del rootkit
Connessioni verso sistemi esterni su porte non standard o inusuali
L'antivirus non rileva nulla nonostante comportamento anomalo del sistema
Confronto con i malware simili:
Trojan: si spaccia per software legittimo per entrare — non nasconde processi
Backdoor: apre un canale di accesso remoto persistente — non nasconde processi
Rootkit: fa entrambe le cose di backdoor, PIU' nasconde se stesso e tutto il resto
Regola pratica: se la domanda dice "hidden processes" o "processes not visible to the OS" → rootkit. Se dice solo "connessioni esterne non autorizzate" → backdoor. Se dice "software che sembrava legittimo" → trojan.
Caso reale: Sony BMG (2005). Sony installo' un rootkit sui CD musicali per impedire la copia. Quando il CD veniva riprodotto su Windows, il rootkit si installava silenziosamente, nascondeva i processi con hooking, e disabilitava la possibilita' di copiare il CD. Il problema: nascondeva anche qualsiasi processo che iniziava con $sys$ — gli attaccanti lo scoprirono e iniziarono a usare quel prefisso per nascondere i propri malware. Sony distribuiva involontariamente protezione per i criminali. Richiamati 52 titoli musicali, class action, danno reputazionale enorme.
Vettore
endpoint — exploit che eleva i privilegi, o installer compromesso che installa direttamente a livello kernel
Causa
exploit di una vulnerabilita' del kernel o privileged account compromesso; spesso consegnato da un Trojan o dal vettore supply chain
Effetto voluto
persistenza invisibile, controllo kernel-level, nascondere tutti gli altri malware presenti sul sistema
Difesa
File Integrity Monitor (FIM), boot pre-scan, Secure Boot, EDR con analisi comportamentale, scan da media esterno quando si sospetta infezione
Indicatore
processi non visibili nel task manager ma rilevabili in RAM, AV che riporta "tutto ok" su sistema con comportamento anomalo, hash dei file di sistema che non corrispondono alla baseline FIM
CIA Triad
Confidentiality (Riservatezza) — keylogger e esfiltrazione dati; Integrity (Integrita') — modifica file di sistema e registry; Availability (Disponibilita') nei casi estremi di bootkit
Scope
singolo sistema — il rootkit opera a livello kernel sul sistema infetto; l'attaccante usa il sistema come pivot per espandersi alla rete
Bloatware: programmi che l'utente non ha voluto esplicitamente, anche se tecnicamente ha "acconsentito". Alcuni sono legittimi ma fastidiosi (toolbar, trial software, adware), altri sono direttamente malevoli (Trojan, spyware). Chiamato anche junkware, crapware o software indesiderato.
Come arriva: quasi sempre tramite installer di software popolare scaricato da un sito non ufficiale. L'esempio classico: 7-Zip scaricato da un sito terzo invece di 7-zip.org. L'installer include "offerte" aggiuntive con caselle pre-spuntate. Il consenso e' tecnicamente nel Terms of Use — ma sepolto, scritto in legalese e presentato in piu' pagine di fila. L'utente clicca Agree per arrivare all'installazione del software che vuole davvero. Alcune versioni presentano multiple schermate di termini: o le leggi tutte, o cancelli tutto, incluso il programma che volevi.
Browser hijacker: sottoinsieme del bloatware che prende il controllo del browser. Senza consenso chiaro modifica:
Homepage del browser
Motore di ricerca predefinito
Aggiunge toolbar non richieste
Apre tab aggiuntivi all'avvio
Inietta pubblicita' nelle pagine visitate
Raccoglie anche i dati comportamentali dell'utente (termini di ricerca, siti visitati) per mostrare pubblicita' mirata. Il revenue va all'autore del hijacker. Non sempre classificato come malware perche' il "consenso" era tecnicamente nel ToU. Termini di utilizzo, ma magari sotto a milioni di scritte che nessuno legge.
Bloatware vs spyware: la distinzione e' sfumata. Il bloatware puro e' solo indesiderato. Quando raccoglie dati e li invia a terzi senza che l'utente lo sappia, diventa spyware. Il browser hijacker e' entrambe le cose: modifica il browser (bloatware) e raccoglie comportamenti (spyware).
Vettore
file — bundled con installer di software da fonti non ufficiali, caselle pre-spuntate nel processo di installazione
Causa
consenso ottenuto in modo ingannevole tramite ToU sepolti o installazione non attenta
Effetto voluto
raccolta dati comportamentali per revenue pubblicitario, modifica del browser per reindirizzare traffico verso siti monetizzati
Difesa
download solo da fonti ufficiali, leggere le schermate di installazione, anti-malware con rilevamento PUA (Potentially Unwanted Application)
Indicatore
homepage o motore di ricerca cambiati senza azione esplicita, toolbar non installate dall'utente, browser lento, redirect di ricerca, popup pubblicitari
CIA Triad
Confidentiality (Riservatezza) — raccolta e invio di dati comportamentali a terzi senza consenso reale
Scope
singolo sistema — agisce sul browser della macchina infetta; i dati raccolti vengono trasmessi a server dell'autore
Installato sul sistema senza consenso o consapevolezza dell'utente. Monitora l'attivita' e invia le informazioni raccolte a una terza parte — loss of confidentiality.
Forme leggere: cambia la homepage del browser, installa estensioni non richieste, reindirizza le ricerche. Fastidiose ma relativamente innocue, spesso rallentano il sistema.
Privacy-invasive software (forma grave): raccoglie dati per impersonare l'utente, svuotare conti bancari, rubare identita'. Tecnica principale: data harvesting. Spesso include un keylogger integrato — lo spyware legge periodicamente il file del keylogger e lo manda all'attaccante. In alcuni casi permette controllo remoto del sistema.
Come arriva: quasi sempre bundled con altro software come un Trojan (l'utente installa un'app e si porta dietro degli "extra" non dichiarati), oppure via drive-by download.
Drive-by download: metodo di consegna in cui il malware si installa automaticamente mentre l'utente visita un sito web, senza che clicchi nulla o scarichi consapevolmente un file. Il sito compromesso contiene codice che sfrutta una vulnerabilita' nel browser o in un plugin — la pagina si carica, il codice parte, il malware arriva. L'utente continua a navigare senza accorgersi di nulla.
Il drive-by non e' un tipo di malware: e' un canale di consegna, come la email o la USB. Quello che arriva puo' essere spyware, Trojan, ransomware o qualsiasi altro malware. La differenza dal virus classico: il virus richiede che tu esegua un file infetto; il drive-by richiede solo che tu carichi una pagina web.
Caso reale: Operation Aurora (2010). Attaccanti cinesi (APT17) hanno compromesso siti legittimi frequentati dai dipendenti di Google, Adobe, Intel e altre 30+ aziende. I dipendenti visitavano normalmente quei siti durante il lavoro. Il codice nella pagina sfruttava una vulnerabilita' di Internet Explorer 6 — zero click, zero download consapevole. Il risultato: accesso ai sistemi interni di Google e furto di codice sorgente.
Spyware vs Keylogger:
Keylogger: cattura i keystrokes e li salva in un file
Spyware: strumento di monitoraggio piu' ampio che INCLUDE il keylogger come componente, ma fa anche molto altro (browser hijacking, data harvesting, identity theft). Lo spyware legge il file del keylogger e lo invia.
Vettore
file/browser — bundled con software da fonti non ufficiali, drive-by download che sfrutta vulnerabilita' del browser
Causa
installazione inconsapevole tramite Trojan dropper o exploit di vulnerabilita' browser/plugin
Effetto voluto
monitoraggio silenzioso dell'attivita' utente, raccolta di credenziali e dati bancari, furto di identita'
Difesa
anti-malware, aggiornamento browser e plugin, download solo da fonti ufficiali, Content Security Policy sui siti web
Indicatore
sistema lento senza carico evidente, processi sconosciuti in background, traffico verso server sconosciuti, credenziali compromesse senza altri indicatori
CIA Triad
Confidentiality (Riservatezza) — dati dell'utente inviati a terzi; lo spyware non modifica dati ne' interrompe servizi, mira solo a raccogliere
Scope
singolo sistema — monitora le attivita' locali della macchina infetta e invia i dati raccolti verso server esterni
Registra i tasti premuti dall'utente a sua insaputa. I keystrokes vengono salvati in un file e inviati all'attaccante subito oppure conservati finche' l'attaccante non li recupera.
Software o hardware: il keylogger non e' solo software. Esiste anche in forma fisica — un dispositivo USB inserito tra la tastiera e il computer. Registra tutto in memoria interna. Non lascia tracce sul sistema operativo: nessun processo, nessun log, invisibile a qualsiasi antivirus.
Come viene thwarted: il 2FA (es. SMS sul telefono) vanifica il keylogger per le password. Anche se l'attaccante cattura la password, non ha accesso al codice SMS inviato al telefono. Il keylogger cattura qualcosa che da solo non basta piu' per entrare.
Relazione con altri malware: il keylogger e' quasi sempre un componente, non malware autonomo. Si trova integrato in RAT, Trojan, spyware. La categoria descrive la funzione (cosa ruba), non il meccanismo di consegna.
Vettore
endpoint — installato come componente di Trojan, RAT o spyware; versione hardware inserita fisicamente tra tastiera e computer
Causa
sistema compromesso da malware che include keylogger come modulo, oppure accesso fisico non sorvegliato alla workstation
Effetto voluto
cattura di password, PIN, dati bancari, conversazioni private, credenziali di accesso
Difesa
2FA (Multi-Factor Authentication) rende le password catturate inutili da sole, password manager con autofill (non si digita), endpoint protection
Indicatore
credenziali compromesse senza breach noto, accessi da IP insoliti su account utente, dispositivo USB sconosciuto collegato alla tastiera
CIA Triad
Confidentiality (Riservatezza) — ogni dato digitato viene catturato e trasmesso all'attaccante
Scope
singolo sistema — cattura i keystrokes del dispositivo su cui e' installato o a cui e' fisicamente connesso
Il RAT è un sottoinsieme del Trojan. Ogni RAT è un Trojan, ma non ogni Trojan è un RAT.
Il Trojan è la categoria più ampia — definita dalla deception: si maschera da qualcosa di utile per farsi installare. Il payload può essere qualsiasi cosa: cancellare file, minare crypto, mostrare scareware, installare un keylogger.
Il RAT è un Trojan specifico il cui payload è il controllo remoto interattivo. Non solo ruba dati in automatico — dà all'attaccante una sessione attiva sulla macchina, come se ci fosse seduto davanti.
Trojan (categoria) ├── Trojan che cancella file
├── Trojan che installa keylogger
├── Scareware
├── Trojan che mina crypto
└── RAT ← Trojan il cui payload= controllo remoto completo
La differenza pratica: un Trojan generico fa qualcosa di predefinito e basta. Un RAT è interattivo — l'attaccante decide cosa fare in tempo reale, usa la macchina come fosse la propria, si muove nella rete con le credenziali della vittima.
Trojan che dà all'attaccante controllo remoto completo del sistema infetto. Non e' solo una backdoor (porta lasciata aperta) — e' come se l'attaccante fosse seduto fisicamente davanti alla tastiera della vittima.
Cosa puo' fare l'attaccante:
Vedere lo schermo in tempo reale
Registrare tutti i tasti premuti (password, carte di credito, messaggi)
Aprire, copiare, cancellare file
Attivare webcam e microfono senza che la spia LED si accenda
Usare le credenziali di rete della vittima per accedere ad altri server interni
Installare altro malware su quella macchina o propagarsi ad altri sistemi della stessa rete
Mandare tutto all'attaccante in automatico a orari prestabiliti
Raccolta automatica: keylogger integrato, screenshot periodici, sessioni email e chat, browser history. Il RAT invia il pacchetto al server dell'attaccante senza che l'utente noti nulla.
Come arriva: drive-by download, allegato email, crack di software pirata. Classico vettore Trojan — l'utente crede di installare qualcosa di utile.
Connessione: come il C2, il RAT fa una connessione uscente verso il server dell'attaccante. Il firewall non la blocca perche' sembra traffico normale in uscita.
Backdoor vs RAT:
Backdoor = porta lasciata aperta, solo l'ingresso
RAT = l'attaccante si siede alla scrivania della vittima, vede e controlla tutto
Caso reale: Blackshades RAT (2013), venduto a 40$ su forum underground. Usato per spiare centinaia di migliaia di vittime. L'attaccante Jared Abrahams aveva infettato il computer di Miss Teen USA Cassidy Wolf, catturato foto dalla webcam e la stava ricattando. Il tool era cosi' semplice da usare che lo utilizzavano script kiddie. L'FBI arresto' 97 persone in 19 paesi in una singola operazione coordinata.
Vettore
file — consegnato come Trojan tramite software pirata, drive-by download o allegato email
Causa
utente ingannato a installare software che sembra legittimo, che include il RAT come payload nascosto
Effetto voluto
controllo remoto completo e interattivo del sistema: schermo, webcam, microfono, file, credenziali di rete
Difesa
endpoint protection, monitoraggio connessioni in uscita anomale, network filtering, EDR con rilevamento comportamentale
Indicatore
connessioni in uscita persistenti verso IP sconosciuti, attivita' webcam non richiesta, screenshot periodici in memoria, processi sconosciuti con traffico di rete
CIA Triad
Confidentiality (Riservatezza) — accesso completo a dati e credenziali; Integrity (Integrita') — l'attaccante puo' modificare o cancellare file; Availability (Disponibilita') se il payload include distruzione
Scope
singolo sistema come punto di ingresso, poi rete — l'attaccante usa le credenziali di rete della vittima per lateral movement verso altri sistemi interni
Stringa di codice incorporata in un'applicazione o script che si esegue in risposta a un evento specifico: una data, un orario, un'azione utente, o una condizione di sistema.
La differenza chiave con gli altri malware: la logic bomb non fa nulla finche' la condizione non si verifica. Puo' stare dormiente per mesi o anni. Questo la rende difficile da rilevare — sembra codice normale.
La storia del libro: un ingegnere viene licenziato. Nei mesi precedenti ha incorporato una logic bomb nel programma paghe aziendale. La bomba controlla ad ogni esecuzione se il suo nome e' nella lista dipendenti. Quando c'e' — tutto funziona. Quando non c'e' — kaboom. L'azienda lo richiama, i problemi spariscono. Lo licenziano di nuovo, i problemi tornano. Ci vogliono mesi per capire cosa sta succedendo.
Evento trigger tipici:
Data/ora specifica (es. "il 1 gennaio esegui X")
Nome utente non piu' presente nel sistema
File specifico che viene aperto o cancellato
Numero di login falliti che supera una soglia
Perche' e' insidioso: il codice malevolo e' gia' dentro il sistema, scritto da qualcuno con accesso legittimo. Non arriva dall'esterno come un worm. Il vettore e' quasi sempre un insider malicioso con accesso al codice sorgente o agli script di sistema.
Exam tip: logic bomb = eseguita in risposta a un evento. Se la domanda descrive malware che "aspetta una condizione" o "si attiva in una data specifica" → logic bomb.
Vettore
insider — codice malevolo inserito direttamente nel codebase o negli script di sistema da qualcuno con accesso legittimo
Causa
insider malicioso con accesso al codice sorgente, agli script di automazione o ai sistemi di deployment
Effetto voluto
sabotaggio ritardato e condizionale — distruzione dati, disabilitazione sistemi, cancellazione account al verificarsi del trigger
Difesa
code review obbligatoria, separation of duties, version control con audit trail, offboarding immediato con revoca accessi
Indicatore
comportamento anomalo del sistema in corrispondenza di eventi specifici (data, licenziamento, etc.), codice sospetto in script non documentato, funzioni condizionali non giustificate in produzione
CIA Triad
Integrity (Integrita') e Availability (Disponibilita') — il payload tipico e' sabotaggio: distruzione di dati o blocco di sistemi
Scope
organizzazione — agisce sui sistemi a cui l'insider aveva accesso; se i sistemi sono critici (paghe, database clienti) l'impatto e' sull'intera organizzazione
mindmap
root((INDICATORI ATTACCO))
Traffico di Rete
Traffico Anomalo
fuori dalla baseline normale
worm e botnet generano rumore
Connessioni IP Malevoli
zombie botnet verso C2
blacklist IP in log firewall
Traffico Cifrato Anomalo
volume insolito in uscita
DLP non legge contenuto
Dati
Data Exfiltration
trasferimento non autorizzato
DLP monitora dati uscenti
Spam in Uscita
PC normale non spamma
botnet usa credenziali reali
tasso apertura alto bypass filtri
Exam Trap
spam in uscita non e spam ricevuto
segnale che il sistema e zombie
traffico cifrato ok NON e ok
volume anomalo e gia indicatore
I sintomi generici di infezione sono noti, ma ci sono indicatori tecnici piu' specifici che aiutano a identificare il tipo di attacco in corso.
Traffico anomalo: il malware aggiunge traffico extra alla rete. Identificabile confrontandolo con una baseline di traffico normale. Worm e botnet sono i generatori principali di traffico anomalo — ogni sistema infetto propaga o riceve comandi.
Data exfiltration: trasferimento non autorizzato di dati fuori dalla rete. Il malware scarica database di credenziali o file verso server controllati dall'attaccante. Rilevabile con DLP (Data Loss Prevention) che monitora i dati in uscita.
Traffico cifrato anomalo: alcuni malware cifrano i dati prima dell'esfiltrazione per bypassare il DLP — se il DLP non puo' leggere il contenuto, non puo' bloccare in base a quello. Ma un volume insolito di traffico cifrato uscente e' gia' un indicatore, anche senza sapere cosa contiene.
Connessioni a IP noti malevoli: gli zombie della botnet si connettono ai server C2. I firewall possono blacklistare gli IP dei C2 noti. Ogni tentativo di connessione a un IP in blacklist e' un forte indicatore di compromissione. Il team di sicurezza deve monitorare i log del firewall per questo traffico.
Spam in uscita: i desktop normali non mandano grandi quantita' di email. Quando lo fanno, spesso e' perche' sono stati aggiunti a una botnet e inviano email di phishing come zombie. La mail parte dall'indirizzo reale della vittima — il malware usa le credenziali email trovate sul sistema (client di posta, sessioni browser salvate). Il vantaggio per l'attaccante: lo spam arriva da mittenti reali e riconoscibili dai destinatari, supera i filtri e ha tasso di apertura piu' alto. La vittima non sa di stare spammando nessuno.
mindmap
root((SOCIAL ENGINEERING))
Manipolazione Psicologica
Flattery e Conning
abbassa le difese
Frank Abagnale Jr
Authority Assumption
impersona IT manager funzionario
Milgram effect
Elicitation
estrae info senza chiedere
active listening reflective questioning
Fisico
Tailgating
segue senza badge
sfrutta cortesia
Shoulder Surfing
guarda lo schermo
contromisura screen filter
Impersonation
tecnico autorizzato
installa rogue AP
Baiting
USB infetta lasciata apposta
sfrutta curiosita umana
Digitale
Phishing
email link allegato
spear phishing mirato
Vishing
telefono VoIP
caller ID falsificato
Pretexting
storia falsa credibile
costruita con OSINT
Exam Trap
low-tech NON low risk
no exploit solo conversazione
regola universale mai dare password
Social engineering: la pratica di usare tattiche sociali per ottenere informazioni su individui o organizzazioni. Spesso low-tech: non serve bucare un firewall se puoi convincere qualcuno a darti la password. L'obiettivo e' far fare alla vittima qualcosa che normalmente non farebbe, o farle rivelare informazioni che normalmente non rivelerebbe.
Tecniche principali:
Flattery e conning: lusinga e raggiro. L'attaccante fa sentire la vittima speciale o competente per abbassarne le difese, poi costruisce una narrativa credibile per ottenere quello che vuole
Authority assumption: assumere una posizione di autorita' (IT support, manager, funzionario) per far sembrare la richiesta legittima
Impersonation: impersonare qualcuno — un tecnico autorizzato, un collega, un fornitore
Tailgating: seguire da vicino personale autorizzato attraverso una porta di sicurezza senza fornire le proprie credenziali, sfruttando la cortesia delle persone. passi al tornello con quello davanti. Scenario concreto: data center con porta a badge. Un tecnico autorizzato entra. L'attaccante — magari vestito da corriere con uno scatolone in mano — dice "grazie" e passa insieme a lui. Nessuno ferma qualcuno con le mani occupate che sembra avere fretta.
Shoulder surfing: guardare da sopra la spalla di qualcuno per vedere password, PIN o dati sullo schermo. Puo' avvenire di persona o tramite telecamera. Contromisura: screen filter
Gli attacchi possono avvenire di persona, via telefono, via email (phishing) o su siti web.
Caso esemplare — Catch Me If You Can: Frank Abagnale Jr. non hackerava sistemi — hackerava le persone. Imparava i segreti di una professione usando flattery e conning, costruiva credibilita', poi impersonava piloti e medici con documenti falsi. Stesso principio del social engineering moderno: prima la fiducia, poi l'attacco.
Scenario tipo — attacco telefonico:
Un dipendente (Marco) riceve una chiamata da qualcuno che si presenta come IT interno:
"Ciao Marco, ti ricordo che oggi aggiorniamo il tuo computer, sara' down per qualche ora."
"Non ne sapevo niente, ho un progetto urgente."
"Dovresti aver ricevuto la mail. Mi dispiace, devo completare gli ultimi aggiornamenti oggi."
"Non c'e' altro modo? Ho davvero bisogno del PC."
"Be'... si potrebbe fare via rete mentre lavori. Di solito non lo facciamo cosi' perche' serve la tua password."
"Se posso continuare a lavorare, fallo pure."
"Ok Marco, non dirlo a nessuno che lo sto facendo per te — dammi username e password e lo faccio via rete."
Nessuna vulnerabilita' tecnica. Nessun exploit. Solo autorita' inventata, urgenza e un favore speciale. La contromisura: training ripetuto su un'unica regola — non dare mai la tua password a nessuno.
Gli attaccanti piu' abili non chiedono la password direttamente: fanno domande innocenti che si usano nei sistemi di reset password. Nome del primo cane, migliore amico d'infanzia, nome del primo capo. Con un po' di flattery, la vittima risponde volentieri senza capire cosa sta cedendo. Se quelle stesse informazioni sono su LinkedIn o Facebook, l'attaccante non deve nemmeno fare una telefonata.
Shoulder surfing — contromisura pratica: uno screen filter (filtro privacy) rende lo schermo illeggibile da angolazioni laterali — solo chi e' direttamente di fronte vede il contenuto. Utile in spazi pubblici, open space, aeroporti.
mindmap
root((Manipolazione
Psicologica))
Elicitation
Cosa
estrae info senza chiedere
conversazione apparentemente innocua
Vettore
telefono o di persona
flattery e active listening
Obiettivo
scoprire info riservate
senza che la vittima se ne accorga
Pretexting
Cosa
storia falsa credibile come base
costruita con OSINT preliminare
Vettore
telefono email o fisico
Obiettivo
far eseguire azione
far rivelare informazioni
Disinformation e Hoax
Cosa
informazioni false costruite ad arte
hoax = bufala su virus inesistenti
Vettore
email o messaggi
Obiettivo
far fare azioni dannose
cancellare file o modificare config
mindmap
root((Impersonazione))
Impersonation
Cosa
fingersi tecnico o autorita
identita fisica falsa
Vettore
fisico o telefono
Obiettivo
accesso fisico o credenziali
BEC
Cosa
email da falso executive
CEO CFO o board impersonati
Vettore
phishing o account compromesso
ricerca OSINT sullo stile
Obiettivo
trasferimento denaro o dati
urgenza e riservatezza come leva
Brand Impersonation
Cosa
fingersi brand noto e fidato
logo colori layout identici
Vettore
email o pagina fake
Obiettivo
credenziali o dati carta
Typosquatting
Cosa
dominio con errore di battitura
paypa1.com gogle.com
Vettore
barra indirizzi browser
errore di digitazione
Obiettivo
reindirizzare su sito fake
rubare credenziali al login
mindmap
root((Accesso
Fisico))
Tailgating
Cosa
seguire chi entra senza badge
sfrutta cortesia del dipendente
Vettore
porta di sicurezza o tornello
Obiettivo
accesso fisico non autorizzato
Contromisura: mantrap vestibule
Shoulder Surfing
Cosa
guardare lo schermo da vicino
di persona o via telecamera
Vettore
open space aeroporto spazio pubblico
Obiettivo
rubare password PIN dati
Contromisura: screen filter
Dumpster Diving
Cosa
rovistare nei rifiuti fisici
Vettore
cassonetti aziendali
Obiettivo
documenti PII credenziali
directory aziendale per whaling
Contromisura: shredder
Baiting
Cosa
USB infetta lasciata apposta
sfrutta curiosita umana
Vettore
parcheggio lobby postazione condivisa
Obiettivo
esecuzione malware autorun
Contromisura: policy no-USB disable autorun
mindmap
root((Attacchi
Digitali))
Phishing
Cosa
email a rete larga
impersona servizio noto
Vettore
email spoofed con link o allegato
Obiettivo
credenziali o malware
Spear Phishing
Cosa
phishing mirato a individuo
costruito con OSINT
Vettore
email con dettagli personali
Obiettivo
accesso account specifico
Whaling
Cosa
spear phishing verso dirigenti
massimo valore massimo rischio
Vettore
email da falso board o legal
Obiettivo
dati riservati o trasferimenti
Vishing
Cosa
phishing via telefono o VoIP
caller ID falsificato
Vettore
chiamata o segreteria automatica
Obiettivo
credenziali o dati finanziari
Smishing
Cosa
phishing via SMS
bypassa filtri email
Vettore
SMS con link o richiesta codice
Obiettivo
hijack 2FA o click su link
Watering Hole
Cosa
compromette sito che il target visita
attende che la preda venga da sola
Vettore
sito di terze parti con meno difese
Obiettivo
malware sulle vittime
aggiramento difese dirette
L'attaccante si finge qualcun altro per convincere una persona autorizzata a rivelare informazioni o ad aprire un accesso. Obiettivo: far abbassare le difese facendo sembrare la richiesta legittima.
Esempio classico: impersonare un tecnico di riparazione per accedere fisicamente a una server room o a un armadio telecomunicazioni. Una volta dentro, installare hardware malevolo — come un rogue access point — per catturare traffico e inviarlo all'esterno via wireless. La vittima non vede nulla di strano: era solo "il tecnico".
Stessa tecnica via telefono: impersonare un'organizzazione legittima per ottenere informazioni. Contromisura: sistemi di verifica dell'identita' prima di fornire qualsiasi accesso o informazione.
Vettore
fisico o telefonico — l'attaccante si presenta di persona o chiama fingendo di essere un tecnico, un fornitore o un dipendente autorizzato
Causa
assenza di verifica sistematica dell'identita' prima di concedere accesso fisico o informazioni
Effetto voluto
accesso fisico non autorizzato a aree riservate, installazione di hardware malevolo, raccolta di informazioni riservate
Difesa
badge obbligatorio visibile, procedure di verifica identita' per visitatori e tecnici, security awareness training
Indicatore
persone non identificate in aree riservate, hardware sconosciuto installato su rete o telecom, richieste di accesso fisico non programmate
CIA Triad
Confidentiality (Riservatezza) — raccolta di informazioni; Integrity (Integrita') se viene installato hardware malevolo che altera il traffico
Scope
singolo sistema o area fisica — l'accesso fisico consente di compromettere i sistemi raggiungibili nell'area
Tailgating: una persona segue da vicino un'altra attraverso un accesso controllato senza fornire le proprie credenziali. Homer usa il badge, Francesca entra subito dopo senza usarlo. Francesca e' entrata per tailgating.
Funziona perche' i dipendenti lo fanno per cortesia: invece di chiudere la porta in faccia a chi segue, la tengono aperta (piggybacking). E' comodo e sembra scortese non farlo. Ma bypassa completamente il controllo degli accessi — e chiunque puo' infilarsi dietro un dipendente legittimo.
Contromisura — Access Control Vestibule (mantrap): una stanza con due porte. Entri dalla prima (si chiude dietro di te), le tue credenziali vengono verificate nello spazio intermedio, solo allora la seconda si apre. Una persona alla volta — fisicamente impossibile fare tailgating. Puo' essere presidiata da guardie o automatizzata con badge/proximity card.
Alternativa piu' semplice: tornello (come metro o stazione bus). Due persone non possono passare insieme fisicamente.
Vettore
fisico — seguire un dipendente autorizzato attraverso una porta di sicurezza senza usare badge o credenziali proprie
Causa
cortesia sociale dei dipendenti che tengono la porta aperta; assenza di controlli fisici che impediscono il passaggio multiplo
Effetto voluto
accesso fisico non autorizzato all'edificio o ad aree riservate (server room, data center, uffici)
Difesa
access control vestibule (mantrap), tornelli che permettono un solo accesso per volta, security awareness training, guardie all'ingresso
Indicatore
presenza in aree riservate senza badge visibile, log di accesso con un badge usato per aprire la porta ma due persone fisicamente rilevate da telecamera
CIA Triad
Confidentiality (Riservatezza) e Integrity (Integrita') — l'accesso fisico non autorizzato consente di vedere, copiare o modificare dati e sistemi fisici
Scope
area fisica — l'attaccante ottiene accesso all'area protetta e a tutti i sistemi fisicamente accessibili al suo interno
Rovistare nel cassonetto (dumpster = cassonetto) per trovare informazioni nei documenti scartati. Le organizzazioni buttano via materiale che per un attaccante e' prezioso: vecchie directory aziendali con nomi, numeri e titoli delle persone chiave, documenti con PII o PHI, note con credenziali, estratti conto, richieste di carta di credito preapprovate.
Con una vecchia directory aziendale un attaccante puo' costruire un attacco whaling contro i dirigenti o engineering sociale contro chiunque in azienda, sapendo gia' nomi reali, ruoli e contatti.
Contromisura: distruggi i documenti invece di buttarli — trituratore (shredder) o incenerimento. Qualsiasi documento con PII o PHI non va nel cassonetto intero.
Exam tip — policy language: se la domanda descrive una policy che "colloca i documenti cartacei in contenitori sicuri prima della distruzione" o "richiede che i documenti vengano depositati in appositi contenitori" → la minaccia che questa policy previene e' il dumpster diving. Non tailgating, non shoulder surfing — il contenitore sicuro serve esattamente a impedire che qualcuno rovisti nel materiale di scarto prima che venga distrutto.
Vettore
fisico — cassonetti e contenitori di rifiuti aziendali accessibili dall'esterno o da aree non sorvegliate
Causa
documenti cartacei con informazioni sensibili gettati interi invece di essere distrutti
Effetto voluto
raccolta di informazioni per ricognizione: nomi, ruoli, contatti, credenziali, dati finanziari, struttura organizzativa
Difesa
trituratore (shredder) obbligatorio per documenti con PII, PHI o informazioni aziendali; contenitori di raccolta sicuri prima della distruzione
Indicatore
difficile da rilevare in tempo reale; emerge quando le informazioni raccolte vengono usate in attacchi successivi (whaling, pretexting mirato)
CIA Triad
Confidentiality (Riservatezza) — informazioni riservate escono dall'organizzazione tramite i rifiuti fisici
Scope
organizzazione — le informazioni raccolte possono essere usate per costruire attacchi contro tutta l'organizzazione
Baiting: il nome viene da to bait (adescare, usare un'esca) — stessa metafora della pesca: metti l'esca sull'amo e aspetti che il pesce abbocchi (takes the bait). Qui l'esca è la USB, il pesce è il dipendente curioso.
Lasciare supporti fisici infetti (USB drive, CD, schede SD) in luoghi dove le vittime probabilmente li troveranno — parcheggi, lobby, postazioni di lavoro condivise. La vittima trova il dispositivo, lo inserisce per curiosita', e il malware viene eseguito automaticamente.
La tecnica sfrutta la curiosita' umana: chi trova una USB etichettata "Stipendi Q4" o "Progetto Riservato" spesso la inserisce anche senza conoscerne la provenienza. Non serve convincere nessuno con parole — basta mettere il dispositivo nel posto giusto.
Differenza da Phishing: il phishing usa messaggi digitali per ingannare la vittima. Il baiting usa oggetti fisici come vettore. Entrambi sfruttano la curiosita' e l'assenza di sospetto — ma il baiting richiede presenza fisica nell'area target o nei dintorni.
Caso documentato: un test di penetrazione condotto per il Department of Homeland Security (DHS USA) nel 2011 ha lasciato USB drive nei parcheggi di agenzie governative. Il 60% delle USB e' stato inserito; se l'USB aveva il logo di un'agenzia stampato sopra, la percentuale saliva al 90%.
Vettore
fisico / removable device — USB, CD o altro media lasciato in luogo accessibile
Causa
curiosita' e assenza di policy chiare sul divieto di inserire dispositivi sconosciuti
Effetto voluto
esecuzione automatica di malware (autorun) o installazione da file sul dispositivo
Difesa
policy di divieto USB non autorizzati, disable autorun su tutti i sistemi, DLP endpoint, security awareness training
Indicatore
connessioni USB anomale nei log, autorun event inusuali, traffico di rete dopo inserimento dispositivo
CIA Triad
Confidentiality (esfiltrazione dati) e Integrity (malware installato modifica il sistema)
Scope
singolo endpoint inizialmente, poi si espande via malware se si propaga sulla rete
Note
Exam trap: Baiting NON e' Phishing. Phishing = canale digitale (email/SMS). Baiting = oggetto fisico lasciato apposta. La domanda dice "USB infetta trovata nel parcheggio" → Baiting, non Phishing.
Disinformation: informazioni false create deliberatamente per influenzare il comportamento della vittima. Non e' un errore — e' costruita apposta. L'attaccante non deve hackerare nulla: basta far credere alla vittima qualcosa di falso per farle fare qualcosa di dannoso.
Hoax (bufala): forma concreta di disinformation. Un messaggio — spesso via email — che avverte di un virus o minaccia imminente che non esiste. La vittima viene incoraggiata a cancellare file di sistema o modificare configurazioni per "proteggersi". Se segue le istruzioni, si danneggia da sola.
Un hoax ben costruito puo' essere dannoso quanto un malware reale. Effetti concreti:
Utenti che cancellano file critici rendendo il sistema inutilizzabile
Help desk sommerso di chiamate inutili
Utenti che chiamano il supporto dopo aver rotto qualcosa seguendo le istruzioni della bufala
Esempio reale: email che avvisano "un hacker ha preso il controllo del tuo PC tramite webcam e ha registrato video compromettenti — paga o li pubblico". E' quasi sempre un hoax. L'attaccante non ha nessun video: spera che la vittima si spaventi e paghi. Gibson stesso racconta di averle ricevute — con la webcam sempre coperta, non aveva nulla da temere.
Vettore
messaggio — email, SMS o post sui social con false istruzioni o false minacce
Causa
mancanza di formazione sulla verifica delle informazioni prima di agire; risposta emotiva a minacce percepite
Effetto voluto
far eseguire azioni dannose alla vittima (cancellare file, modificare config) o estorcere denaro con false minacce
Difesa
security awareness training, canali ufficiali per verifica degli avvisi, cultura della verifica prima di agire su richieste urgenti
Indicatore
messaggi con tono urgente o minaccioso che richiedono azioni immediate su sistema, richieste di pagamento per minacce non verificabili
CIA Triad
Integrity (Integrita') e Availability (Disponibilita') — la vittima che segue le istruzioni del hoax puo' cancellare file critici o rendere il sistema inutilizzabile
Scope
singolo utente — l'attacco mira alla psicologia dell'individuo; il danno e' limitato al sistema dell'utente ingannato, ma l'impatto sull'help desk e' organizzativo
Elicitation (estrazione): ottenere informazioni senza chiedere direttamente. Il social engineer usa una conversazione apparentemente innocua per far parlare la vittima senza che si renda conto di stare cedendo informazioni utili.
Il processo tipico: prima costruire fiducia e rapport con flattery o incoraggiando la vittima a vantarsi delle proprie competenze. Poi usare tecniche per far continuare il discorso:
Active listening: dare piena attenzione quando la vittima parla. Le persone sono abituate a essere ignorate — qualcuno che ascolta davvero le incoraggia a continuare a parlare.
Reflective questioning: ripetere un'affermazione come domanda per incoraggiare l'approfondimento. Vittima: "il sistema ha bloccato la mia email." Attaccante: "Non riuscivi nemmeno a mandare la mail?"
False statements: dire una cosa sbagliata sperando che la vittima corregga. "Ho sentito che i dipendenti non possono visitare nessun sito non governativo, nemmeno Amazon." Se la vittima sa la verita', la corregge e rivela come funziona davvero il sistema.
Bracketing: citare un numero specifico o un range sperando che la vittima fornisca quello esatto. "Ho sentito che hanno una dozzina di telecamere solo nell'atrio." Se la vittima sa il numero reale, tende a correggerlo.
Le stesse tecniche le usano venditori, avvocati e agenzie di intelligence — il social engineer le applica a scopo malevolo.
Exam tip — Elicitation vs Vishing: entrambi usano la voce/telefono, ma l'obiettivo e' diverso.
Vishing: mira a credenziali, dati finanziari, codici OTP — la vittima viene ingannata a cedere accesso diretto
Elicitation: mira a informazioni operative — "che OS usate?", "quante telecamere avete?", "chi e' il responsabile IT?" — la vittima non si rende conto di stare cedendo dati utili per la ricognizione
Se la domanda descrive una chiamata da un "fornitore" o "tecnico" che chiede dettagli sulla configurazione del sistema = elicitation. Se chiede password, PIN o codici = vishing.
Vettore
conversazione — telefono, di persona, email informale; qualsiasi canale che permette dialogo bidirezionale
Causa
tendenza naturale delle persone a rispondere a domande in conversazione; mancanza di consapevolezza su cosa costituisce informazione sensibile
Effetto voluto
raccolta di informazioni operative per ricognizione: struttura IT, tecnologie usate, nomi di persone chiave, procedure interne
Difesa
training su classificazione delle informazioni, policy su cosa non condividere con sconosciuti, cultura della verifica
Indicatore
difficile da rilevare in tempo reale; conversazioni con domande tecniche apparentemente innocue da parte di persone non identificate
CIA Triad
Confidentiality (Riservatezza) — informazioni operative riservate vengono cedute inconsapevolmente
Scope
singolo utente — l'attaccante interagisce con individui specifici per raccogliere informazioni che poi usa in attacchi piu' ampi sull'organizzazione
Pretexting: inventare una storia credibile (il "pretext") per manipolare la vittima a fornire informazioni o garantire accesso. La chiave e' la credibilita' della storia — costruita con ricerca preliminare sul target (profili social, documenti trovati con dumpster diving, OSINT).
Esempio classico: attaccante che si finge tecnico IT e contatta un dipendente dicendo che c'e' un problema urgente con il suo account. Chiede le credenziali per "risolvere". Oppure: impersonare un fornitore o appaltatore e richiedere accesso fisico a un data center per "manutenzione".
Il pretexting e' la struttura narrativa che sorregge molti altri attacchi di social engineering — impersonation, elicitation, BEC spesso usano un pretext come base.
Risposta corretta a un attacco pretexting via telefono (domanda tipo esame: "what should the administrator do?"):
Non fornire nessuna informazione durante la chiamata in entrata, indipendentemente da quanto la storia sembri credibile
Non chiedere il numero di telefono del chiamante per richiamarlo — puo' fornire un numero falso
Terminare la chiamata e verificare l'identita' chiamando il numero ufficiale del presunto mittente (mai il numero fornito durante la chiamata)
Escalation al security team interno
Contattare le forze dell'ordine NON e' la risposta giusta come primo step — e' una risposta sproporzionata per una singola chiamata sospetta. La procedura corretta e' interna: verifica + escalation.
Vettore
conversazione — telefono, di persona, email; il pretext e' la storia costruita che da' credibilita' alla richiesta
Causa
storia credibile costruita con OSINT o dumpster diving; vittima che non verifica l'identita' del chiamante tramite canali ufficiali
Effetto voluto
ottenere credenziali, accesso fisico, trasferimento di dati o azioni specifiche da parte della vittima
Difesa
policy di verifica identita' sempre tramite canali ufficiali (non il numero fornito dal chiamante), training su procedure di escalation
Indicatore
richieste urgenti di credenziali o accesso da "tecnici" o "fornitori" non programmati, chiamate in entrata con identita' non verificabile
CIA Triad
Confidentiality (Riservatezza) — credenziali e informazioni riservate cedute; l'impatto dipende da cosa viene ottenuto con il pretext
Scope
singolo utente come entry point — ma l'obiettivo finale e' spesso l'intera organizzazione; il pretext e' il primo passo di un attacco piu' ampio
Watering hole (abbeveratoio): compromettere un sito web che il gruppo target visita normalmente, aspettando che le vittime vengano da sole. Il nome viene dalla savana: il leone non insegue la preda — aspetta nascosto vicino all'abbeveratoio dove sa che la preda dovra' venire a bere.
Logica dell'attacco: se il target diretto e' troppo difeso per attaccarlo frontalmente, l'attaccante trova un sito di cui il target si fida e che ha meno sicurezza, lo compromette, e aspetta.
Esempio: gli attaccanti vogliono entrare nella rete di una centrale nucleare. La centrale ha sicurezza forte, gli attacchi diretti falliscono. Scoprono pero' che i dipendenti visitano abitualmente il sito della squadra di baseball locale — sito con sicurezza minima. Installano malware sul sito del baseball. Quando i dipendenti lo visitano durante la pausa pranzo, il malware tenta di installarsi sui loro sistemi. La catena: baseball → dipendente → PC aziendale → rete della centrale.
Perche' ha una classificazione propria: non e' phishing (non contatta la vittima direttamente), non e' supply chain (non compromette un fornitore del target), non e' malvertising. E' una categoria distinta: attacco indiretto tramite un sito di fiducia del target. Spesso usa zero-day per massimizzare le probabilita' di infezione. Associato agli APT per attacchi ad alto profilo.
Vettore
web — sito di terze parti con sicurezza bassa compromesso dall'attaccante, visitato abitualmente dal gruppo target
Causa
il target e' troppo protetto per attacchi diretti; i siti che i dipendenti visitano hanno sicurezza minima
Effetto voluto
installazione di malware sui sistemi dei dipendenti quando visitano il sito compromesso, poi lateral movement alla rete aziendale
Difesa
web filtering, browser aggiornato, patch di plugin e browser, endpoint protection con rilevamento comportamentale, monitoring del traffico web
Indicatore
drive-by download rilevato da endpoint protection dopo visita a sito apparentemente legittimo, connessioni verso C2 dopo navigazione normale
CIA Triad
Confidentiality (Riservatezza) e Integrity (Integrita') — dipende dal malware installato; il watering hole e' il vettore di consegna, non il payload
Scope
organizzazione — tutti i dipendenti che visitano il sito compromesso sono potenzialmente infetti; usato da APT per attacchi ad alto profilo
Attacco mirato che sfrutta l'autorita' e la fiducia di dirigenti o personale chiave. L'attaccante impersona un CEO, CFO o altro executive tramite phishing, spoofing o compromissione reale dell'account email, poi richiede azioni urgenti — tipicamente trasferimenti di denaro o dati riservati.
BEC funziona perche': l'attaccante fa ricerca approfondita sull'azienda, sui suoi processi e sullo stile comunicativo del dirigente impersonato. Il messaggio arriva urgente, da un indirizzo che sembra reale, con un tono familiare. Il destinatario (spesso finance) non verifica perche' sembra una richiesta normale del capo.
Scenario tipo: email al responsabile finance che sembra arrivare dal CEO — "Devo chiudere un'acquisizione urgente e riservata, trasferisci subito 150.000€ su questo conto, non ne parlare con nessuno fino a lunedi'." L'urgenza, la riservatezza e l'autorita' combinati portano molti a eseguire senza verificare.
Mitigazioni: strong email security, training su riconoscimento BEC, procedure di verifica out-of-band per trasferimenti sopra soglia (telefonare al dirigente su numero noto, non su quello nella mail), MFA sugli account email.
Vettore
email — account email dell'executive compromesso via phishing, oppure spoofing del dominio con indirizzo visivamente simile
Causa
mancanza di verifica out-of-band per richieste urgenti di trasferimento; MFA assente sull'account email del dirigente
Effetto voluto
trasferimento di denaro verso conti dell'attaccante, esfiltrazione di dati riservati (buste paga, W-2, PII dipendenti)
Difesa
MFA su tutti gli account email dei dirigenti, procedure di verifica telefonica per trasferimenti sopra soglia, DMARC/DKIM/SPF per prevenire spoofing
Indicatore
richiesta urgente e riservata di trasferimento via email da un executive, email da dominio simile ma non identico al dominio aziendale
CIA Triad
Confidentiality (Riservatezza) — dati riservati esfiltrati; Availability (Disponibilita') e Integrity (Integrita') indirette tramite perdita finanziaria
Scope
organizzazione — attacco mirato a personale finance o HR con autorita' di trasferimento; l'impatto finanziario puo' essere milioni di dollari
Brand impersonation (impersonazione di brand): l'attaccante si finge un'azienda conosciuta e fidata — usa logo, colori, layout e domini simili per creare un falso senso di legittimita'. L'obiettivo: far inserire alla vittima credenziali, dati carta di credito o informazioni personali su una pagina che sembra quella vera.
Esempi: email fake da Apple che dice "il tuo account e' stato compromesso — accedi subito per verificare" con link a pagina identica ad apple.com. Oppure messaggio fake da una banca che chiede di "verificare i dati" per sicurezza.
Typosquatting (dirottamento tramite errore di digitazione): registrare domini con errori tipici di battitura che gli utenti fanno quando digitano l'URL di un sito noto. Chi sbaglia finisce su un sito identico all'originale ma controllato dall'attaccante.
Varianti comuni:
Carattere simile: paypa1.com (L minuscola → 1) invece di paypal.com
Lettera mancante: gogle.com invece di google.com
Lettera in piu': gooogle.com
TLD sbagliato: amazon.co invece di amazon.com
Trasposizione: amaozn.com
Il typosquatting sfrutta l'abitudine di digitare direttamente nella barra dell'indirizzo invece di usare i bookmark. E' classico contro siti ad alto traffico come paypal.com, amazon.com, gmail.com.
Exam tip — Typosquatting vs Pharming vs DNS Poisoning: tre attacchi diversi che portano tutti l'utente su un sito falso.
Attacco
Meccanismo
Chi controlla cosa
Typosquatting
L'utente digita un URL sbagliato
L'attaccante registra un dominio diverso (paypa1.com)
Pharming
L'utente digita l'URL giusto ma viene reindirizzato
L'attaccante modifica il file hosts o il DNS locale della vittima
DNS Poisoning
Il server DNS restituisce un IP falso per un dominio legittimo
L'attaccante corrompe la cache di un DNS resolver condiviso — colpisce tutti gli utenti che usano quel resolver
Discriminante rapido: se la domanda dice "l'utente ha digitato l'URL corretto ma e' finito su un sito falso" → pharming o DNS poisoning. Se dice "l'utente ha digitato un URL simile ma sbagliato" → typosquatting.
Vettore
web/email — pagina clone inviata via phishing o dominio con errore di battitura registrato dall'attaccante
Causa
fiducia nell'aspetto visivo di una pagina; abitudine di digitare URL direttamente nella barra del browser
Effetto voluto
raccolta di credenziali o dati di pagamento su pagina clone, installazione di malware via drive-by download
Difesa
bookmark per siti ad alto rischio (banca, email), controllo della barra degli indirizzi, certificati SSL con Extended Validation, password manager che non compila su domini non corrispondenti
Indicatore
URL con caratteri simili ma diversi (1 al posto di l), TLD diverso, certificato SSL di un dominio diverso da quello atteso
CIA Triad
Confidentiality (Riservatezza) — credenziali e dati di pagamento rubati tramite pagina clone
Scope
singolo utente — ogni vittima che finisce sul sito falso cede le proprie credenziali; l'impatto scala col traffico verso il dominio fake
mindmap
root((PRINCIPI PSICOLOGICI))
Pressione Esterna
Authority
obbedire a figure autorevoli
Milgram experiment
efficace con vishing whaling
Intimidation
bullying combinato con impersonation
urgency come leva
receptionist scenario
Conformita Sociale
Consensus
fare cio che gli altri fanno
social proof
efficace con Trojan e hoax
Familiarity
simpatia abbassa le difese
tailgating shoulder surfing
Trust
fiducia costruita nel tempo
investimento alto ritorno alto
Urgenza e Scarsita
Scarcity
risorsa limitata decide rapido
phishing link esclusivi
comprime tempo di riflessione
Urgency
agire subito timer countdown
ransomware 72 ore
phishing prezzo scade
Exam Trap
principi si combinano
scarcity plus urgency comune
authority plus intimidation combo
riconoscere la tecnica la interrompe
I social engineer usano uno o piu' principi psicologici per rendere gli attacchi piu' efficaci. Conoscerli riduce la probabilita' di essere ingannati — riconoscere la tecnica interrompe il meccanismo.
Molte persone sono cresciute rispettando l'autorita' e sono piu' inclini a obbedire quando una figura autorevole da' un ordine. Il caso piu' documentato e' il Milgram Experiment: volontari continuavano a somministrare scosse elettriche a soggetti che urlavano di dolore semplicemente perche' un uomo in camice bianco diceva di continuare. Le scosse erano false, le urla registrate — ma la situazione sembrava reale. Esperimento replicato piu' volte con risultati simili.
Authority e' piu' efficace in questi contesti:
Impersonation: impersonare Microsoft, IRS o altro ente governativo al telefono. Oppure impersonare un executive interno o un tecnico autorizzato. La vittima obbedisce perche' la fonte sembra legittima.
Whaling: i dirigenti rispettano le entita' legali. Molti attacchi whaling inviano file malevoli come allegati presentandoli come citazioni in giudizio o subpoena — e incoraggiano l'esecutivo ad aprirli immediatamente.
Vishing: al telefono e' piu' facile costruire l'illusione di autorita'. La voce, il tono, il numero visualizzato (caller ID falsificato) contribuiscono tutti.
In alcuni casi l'attaccante tenta di intimidire la vittima per farla agire. L'intimidazione usa tattiche di bullying ed e' spesso combinata con l'impersonazione. E' piu' efficace con impersonation e vishing.
Esempio concreto: un social engineer chiama la receptionist di un executive dicendo "Mr. Simpson sta per fare una presentazione importante a potenziali clienti, ma i suoi file sono corrotti. Mi ha detto di chiamarti per farti mandare i file subito." Se la receptionist rifiuta, scatta la pressione: "Se vuoi essere responsabile del fallimento di una vendita da un milione di dollari, fai pure. Gli diro' che non vuoi aiutare." Questa tattica combina intimidazione con urgency: la receptionist non ha tempo per riflettere o verificare.
Le persone tendono a fare cose che altri stanno gia' facendo. Alcuni attaccanti sfruttano questo creando siti con testimonianze false per promuovere un prodotto malevolo. Esempio: criminali hanno creato piu' siti con decine di testimonianze sui benefici di un finto antivirus. Se l'utente cerca online prima di scaricarlo, trova questi siti e crede che persone reali lo stiano raccomandando.
Consensus (detto anche social proof) e' piu' efficace con Trojan e hoax. Le vittime installano piu' facilmente un Trojan se "tutti sembrano dire che e' sicuro". Similmente, se una persona sospetta che un avviso virus sia un hoax ma "tutti sembrano dire che e' reale", e' piu' facile che venga ingannata.
Le persone tendono ad agire quando credono che una risorsa sia limitata. Esempio fuori dal security: quando Apple rilascia un nuovo iPhone, si esaurisce rapidamente — e quella scarsita' percepita spinge all'acquisto impulsivo. In un'email di phishing: un link per "accesso esclusivo a un prodotto in quantita' limitata" sfrutta esattamente questo meccanismo. Se l'utente clicca senza pensare, finisce su un sito malevolo.
Scarcity e' piu' efficace con phishing e Trojan. La caratteristica chiave: la vittima prende una decisione rapida senza valutarla — il senso di limitatezza comprime il tempo di riflessione.
Alcuni attacchi creano urgenza per spingere la vittima ad agire immediatamente. Il caso piu' concreto e' il ransomware: mostra un countdown timer — tipicamente 72 ore per pagare prima che i dati vengano distrutti. Ogni volta che la vittima guarda lo schermo vede il timer scorrere. La scarsita' (i tuoi dati stanno per sparire) e l'urgenza (hai x ore) si combinano.
Urgency e' piu' efficace con ransomware, phishing, vishing e whaling. Email di phishing con link malevoli indicano che il prezzo speciale scade tra ore. Agli executive viene fatto credere che una citazione in giudizio richieda azione immediata.
Nota exam: molti principi si sovrappongono e si usano insieme. Scarcity + urgency e' la combinazione piu' comune. Authority + intimidation e' un'altra. Il social engineer non ne usa uno solo — costruisce uno scenario che ne attiva piu' d'uno simultaneamente.
Se ti piace qualcuno, sei piu' disposto a fare cio' che ti chiede. Per questo le grandi aziende assumono celebrity per pubblicizzare prodotti — e le licenziano quando la celebrity finisce in uno scandalo che ne distrugge la credibilita'.
Alcuni social engineer costruiscono rapport con la vittima prima di lanciare l'attacco. Il principio e' piu' efficace in questi contesti:
Shoulder surfing: le persone accettano molto piu' facilmente che qualcuno guardi il loro schermo se lo conoscono o se gli piace. Con uno sconosciuto, scatta immediatamente l'allarme.
Tailgating: le persone tengono la porta aperta a qualcuno che conoscono o che gli e' simpatico con molta piu' facilita'. Un sorriso disarmante e' sufficiente a far abbassare le difese.
Oltre alla familiarita', alcuni social engineer costruiscono una relazione di fiducia con la vittima nel tempo. Richiede piu' investimento, ma il ritorno per l'attaccante puo' valerne la pena. Vishing e' il vettore piu' comune.
Caso reale — Gibson come vittima: Gibson stesso racconta di aver ricevuto una chiamata da un sedicente "security expert" di un'azienda con "Secure" nel nome. L'attaccante diceva che il suo computer stava mandando errori. Ha costruito credibilita' menzionando che lavorano con sistemi Windows, poi ha guidato Gibson nell'aprire il Visualizzatore eventi di Windows e descrivere gli errori — reali, ma banali. Alla prima descrizione di errori, l'attaccante ha esclamato "Oh mio Dio!" con tono da attore consumato, spiegando che il sistema era gravemente infetto. Poi, con un cambio di tono: "Ma oggi e' il tuo giorno fortunato. Ti aiuto io." Ha chiesto a Gibson di aprire Esegui e digitare un URL. Gibson si e' fermato li'. Ha cercato di fare domande, l'attaccante e' diventato evasivo, poi ha riattaccato. Il link probabilmente portava a un sito con drive-by download, o l'attaccante avrebbe guidato l'installazione di malware passo passo — rassicurando con "e' normale, clicca OK, fidati di me" ad ogni errore. Ha investito molto tempo su Gibson. Il ruse funziona con molte persone.
mindmap
root((MESSAGE-BASED ATTACKS))
Massa Non Mirata
Spam
email non richiesta
opt-out conferma indirizzo attivo
SPIM
spam via IM SMS
bypassa filtri email
Phishing via Email
Phishing
rete larga impersona servizio noto
beacon 1x1px valida inbox
Spear Phishing
mirato con OSINT
contromisura firma digitale
Whaling
target dirigenti
W-2 PII trasferimenti
Phishing Altri Canali
Vishing
telefono VoIP caller ID falso
segreteria automatica o operatore
Smishing
SMS bypassa filtri email
hijack codice 2FA
Exam Trap
opt-out non rimuove dalla lista
conferma indirizzo attivo
vishing vs smishing = canale diverso
stessa intenzione di phishing
mindmap
root((Massa
Non Mirata))
Spam
Cosa
email di massa non richiesta
parte innocua parte malevola
Vettore
indirizzi acquistati o raccolti
beacon per validare quelli attivi
Obiettivo
link malevoli o allegati
cliccare opt-out = conferma indirizzo
SPIM
Cosa
spam via canali IM
WhatsApp Telegram SMS
Vettore
username o numero di telefono
lancia su larga scala
Obiettivo
bypassa filtri antispam email
link malevoli su canali meno sorvegliati
mindmap
root((Phishing
via Email))
Phishing
Cosa
rete larga come una lenza
impersona servizio noto
Vettore
email spoofed con link o allegato
beacon 1x1px per validare inbox
Obiettivo
credenziali o malware
non sa se la vittima ha quell account
Spear Phishing
Cosa
phishing mirato a individuo
costruito con OSINT
Vettore
campo Da falsificato con nome noto
dettagli personali per credibilita
Obiettivo
accesso account specifico
Contromisura: firma digitale
Whaling
Cosa
spear phishing verso dirigenti
massimo valore massimo rischio
Vettore
email da falso board legal o BEC
impersona CEO o CFO
Obiettivo
dati riservati o trasferimenti
W-2 buste paga PII
mindmap
root((Phishing
Altri Canali))
Vishing
Cosa
phishing via telefono o VoIP
Voice + phishing
Vettore
caller ID falsificato
segreteria automatica o operatore vivo
Obiettivo
credenziali e dati finanziari
SSN CVV numero carta
Smishing
Cosa
phishing via SMS
SMS + phishing
Vettore
numero spoofed o shortcode
bypassa filtri email
Obiettivo
hijack codice 2FA
click su link malware
Email indesiderata o non richiesta. Parte e' innocua (pubblicita'), parte e' malevola: link malevoli, codice, allegati.
Opt-in / opt-out: le aziende legittime ti chiedono di fare opt-in (iscriverti volontariamente) per ricevere le loro comunicazioni. I termini spesso includono la condivisione dell'indirizzo con i partner. La legge obbliga a includere il link di opt-out (disiscriverti) in ogni mail.
I criminali includono il link di opt-out non per toglierti dalla lista — per confermare che il tuo indirizzo e' valido e attivo. Cliccare opt-out produce piu' spam, non meno.
Vettore
email — invio massivo a liste di indirizzi acquistati, raccolti via scraping o validati con beacon
Causa
indirizzi email pubblicamente disponibili o trapelati in breach; costo basso dell'invio massivo
Effetto voluto
consegnare link malevoli o allegati infetti a un sottoinsieme degli utenti raggiunti, o validare indirizzi attivi per campagne mirate
Difesa
spam filter a livello UTM, mail server e client; whitelist/blacklist; non cliccare opt-out su spam malevolo
Indicatore
volume elevato di email in inbox o junk da mittenti sconosciuti, beacon pixel che carica da server sconosciuto all'apertura dell'email
CIA Triad
Confidentiality (Riservatezza) se il link porta a credential harvesting; Integrity (Integrita') se l'allegato installa malware
Scope
singolo utente — ogni destinatario riceve la mail individualmente; l'impatto dipende da quanti cliccano
Spam inviato tramite canali IM: WhatsApp, Telegram, Facebook Messenger, Snapchat, SMS. Bypassa filtri antivirus e antispam perche' passa su canali diversi dalla email. Puo' arrivare via username o numero di telefono. L'attaccante non sa se hai quella specifica app — lancia su larga scala sperando che qualcuno ci caschi.
Inviare email per ingannare l'utente a rivelare informazioni personali o cliccare un link. Il link porta a un sito malevolo identico a quello legittimo, oppure l'email include un allegato malevolo.
L'attaccante non sa se il destinatario ha un account nel servizio che impersona — come un pescatore che non sa se ci sono pesci quando lancia la lenza. Se manda abbastanza email, la probabilita' che qualcuno con un account PayPal riceva la mail fake e' alta.
Email tipo:
"Abbiamo rilevato attivita' sospetta sul tuo account. Sospenderemo l'account a meno che tu non acceda e validi le tue credenziali. Clicca qui per validare il tuo account."
Le aziende legittime non chiedono mai di rivalidare le credenziali via email seguendo un link.
Phishing per installare malware: email con titoli acchiappa-click. Cliccando appare: "Il tuo plugin e' obsoleto. Vuoi aggiornare?" → clic → malware. Il pretesto "aggiorna il plugin" viene ancora usato oggi con nomi diversi (PDF reader, video player, browser update).
Nigerian scam (419 scam): qualcuno ha milioni bloccati e ha bisogno di aiuto per sbloccarli. In cambio una percentuale per te. Richiede una piccola somma iniziale. La grande somma non arriva mai — arrivano solo nuove richieste di anticipi. Se fornisci i dati bancari, svuotano il conto.
Beacon — phishing per validare indirizzi email: un beacon e' un'immagine invisibile (1x1 pixel trasparente) nell'email con un URL che contiene un codice univoco legato al tuo indirizzo. Quando il client email carica l'immagine, fa una richiesta HTTP al server dell'attaccante: il server segna il tuo indirizzo come valido e attivo. Non hai cliccato nulla — hai solo aperto la mail. Per questo i client moderni bloccano le immagini remote di default.
Forgery — email da "amici": i criminali scansionano i social per identificare i contatti della vittima. Inviano email con il nome dell'amico nel campo "Da" ma con un indirizzo diverso sotto (forgery = falsificazione del mittente). La riga tipica: "pensavo ti potesse piacere questo" + link malevolo → drive-by download. In alternativa, se il PC dell'amico e' in una botnet, le email arrivano davvero dal suo indirizzo reale.
Vettore
email — invio massivo con link a sito clone o allegato malevolo; mittente spoofato per sembrare un servizio noto
Causa
attaccante non sa se la vittima ha l'account che impersona; probabilita' statistica: invia abbastanza, qualcuno ci casca
Effetto voluto
furto di credenziali su sito clone, installazione malware tramite allegato o link, frode finanziaria (Nigerian scam)
Difesa
spam filter, anti-malware sul mail gateway, training su riconoscimento phishing, client email con blocco immagini remote di default
Indicatore
email con link a dominio diverso dal servizio impersonato, richiesta di validare credenziali seguendo un link, mittente con indirizzo diverso dal nome visualizzato
CIA Triad
Confidentiality (Riservatezza) — credenziali rubate su sito clone; Integrity (Integrita') e Availability (Disponibilita') se viene installato malware
Scope
singolo utente — ogni email e' inviata individualmente; l'impatto scala con il numero di destinatari che cliccano
Phishing mirato. Invece di lanciare a chiunque (rete a strascico), lo spear phishing mira a gruppi specifici o singoli individui — come la pesca con la fiocina (spear = lancia): miri a un pesce preciso.
Esempio: email che sembra venire dal CEO e chiede ai dipendenti la propria password. Il campo "Da" puo' essere falsificato per includere nome e titolo del CEO.
Contromisura: firme digitali. Il CEO firma le proprie email con una firma crittografica verificabile dai destinatari. Una firma digitale non puo' essere falsificata.
Vettore
email — campo "Da" falsificato con nome e titolo di una persona reale nota alla vittima (CEO, collega, fornitore); costruito con OSINT
Causa
ricerca OSINT preliminare (LinkedIn, social media, sito aziendale) che fornisce dettagli personali per rendere l'email credibile
Effetto voluto
furto di credenziali specifiche, installazione malware su sistema di interesse, accesso a sistemi o dati di un target preciso
Difesa
firme digitali sulle email degli executive, DMARC/DKIM/SPF, training specifico per riconoscere spear phishing, verifica out-of-band di richieste insolite
Indicatore
email con dettagli personali corretti ma da dominio leggermente diverso, richieste urgenti e insolite da mittenti noti, firma digitale assente su email che la richiederebbe
CIA Triad
Confidentiality (Riservatezza) — credenziali o dati di un target specifico; Integrity (Integrita') se l'obiettivo e' installare malware su quel sistema preciso
Scope
singolo individuo o piccolo gruppo — mira a una persona specifica con alto valore di accesso
Forma di spear phishing che mira ai dirigenti di alto livello. I casinò chiamano "balene" (whales) i grandi spenditori — vale la pena dedicarci attenzione extra. I dirigenti sono la preda di valore massimo: accesso alle informazioni piu' sensibili.
Due varianti:
Target = il dirigente: mirare al CEO/CFO per accedere a informazioni che solo loro hanno
Impersonare il dirigente: fingere di essere il CEO per mandare email malevole ad altri dipendenti chiave
Exam tip — discriminante esame: qualsiasi scenario in cui un dirigente (CEO, CFO, COO) riceve un'email mirata da qualcuno che impersona un altro dirigente = Whaling, non Phishing. Phishing e' il termine ombrello per questo tipo di attacco in generale. Whaling e' la risposta corretta quando il target e' specificamente un executive di alto livello. Smishing e Vishing si escludono da soli se il vettore e' email.
Caso reale — Seagate: email all'HR apparentemente dal CEO, che richiedeva moduli W-2 e PII. L'HR ha consegnato i dati di quasi 10.000 dipendenti.
Caso reale — Snapchat: il team payroll ha ricevuto una email che sembrava dal CEO e richiedeva dati sulle buste paga. Il team ha risposto. I dati sono finiti su internet.
Alcune varianti si spacciano per reclami del Better Business Bureau o del Dipartimento di Giustizia per attirare l'attenzione dei dirigenti su questioni che toccano profitti e reputazione.
Vettore
email — campo "Da" falsificato con identita' di executive, board o entita' legale; costruito con OSINT mirato sul dirigente target
Causa
executive con accesso a dati sensibili e autorita' decisionale; tendenza ad obbedire a richieste percepite come provenienti da figure di autorita' superiori
Effetto voluto
furto di dati riservati di alto valore (W-2, PII dipendenti, segreti industriali), trasferimenti di denaro da persone con autorita' finanziaria
Difesa
firme digitali sulle email degli executive, procedure di verifica out-of-band per richieste insolite, training specifico per dirigenti e HR/finance
Indicatore
email da indirizzo CEO/CFO con richiesta urgente e riservata, richiesta di file con dati sensibili senza prassi normale, email ricevuta da dominio simile ma non identico
CIA Triad
Confidentiality (Riservatezza) — dati riservati di alto valore (PII dipendenti, informazioni finanziarie, segreti aziendali)
Scope
organizzazione — il target e' un singolo executive o un dipendente HR/finance, ma l'impatto e' sull'intera organizzazione per la sensibilita' dei dati
Vishing = Voice + phishing. Phishing via telefono o VoIP invece che via email. Il VoIP permette di falsificare il caller ID — l'attaccante fa apparire qualsiasi numero voglia, incluso quello di una banca reale o un numero locale.
Variante automatizzata: messaggio vocale automatico lasciato in segreteria. "C'e' un problema con la tua carta — chiama questo numero." Se richiami, una registrazione ti chiede i dati uno alla volta: nome, data di nascita, SSN, numero carta, scadenza, CVV. Alla fine: "account verificato." Hai appena regalato tutto a una macchina.
Variante call center criminale: chiamata da "Credit Services" che offre tassi piu' bassi. Il caller ID mostra un numero con la stessa area code della vittima per sembrare locale. La voce annuncia: "questo e' il tuo secondo e ultimo avviso" (urgenza artificiale). Se rispondi, un operatore vivo fa domande "qualificanti" (debito, tassi), poi inizia a chiedere le ultime 4 cifre del SSN "per verificare l'account", il CVV "per confermare che hai ancora la carta." Obiettivo finale: numero carta, scadenza, CVV per transazioni fraudolente.
Vettore
voce — telefono o VoIP con caller ID falsificato per sembrare una banca, un ente governativo o l'IT interno
Causa
VoIP permette di falsificare qualsiasi numero; tendenza a fidarsi di chiamate in entrata da numeri conosciuti o autorevoli
Effetto voluto
furto di dati finanziari (numero carta, CVV, SSN), credenziali di accesso a sistemi aziendali, codici OTP per bypassare 2FA
Difesa
non fornire mai dati sensibili a chiamate in entrata non attese; richiamare sempre su numero ufficiale; training su tattiche vishing
Indicatore
chiamata non richiesta con urgenza su account o sicurezza, richiesta di dati che una banca o ente legittimo non chiede via telefono
CIA Triad
Confidentiality (Riservatezza) — dati finanziari e credenziali cedute verbalmente
Scope
singolo utente — ogni chiamata mira a un individuo; l'impatto e' personale o, se vishing aziendale, puo' dare accesso a sistemi dell'organizzazione
Smishing = SMS + phishing (mashup: parola ottenuta unendo le due). Phishing via SMS invece che via email. Bypassa i filtri antispam email.
Caso reale — MFA hijacking via smishing: l'attaccante vuole l'account Google della vittima. Va sul login di Google, inserisce l'email della vittima, clicca "Password dimenticata" → "invia codice al telefono." Il codice arriva sul telefono della vittima. Nel frattempo la vittima riceve un SMS che sembra da "Google Security": "attivita' sospetta rilevata — ti stiamo inviando un codice, rispondici o bloccheremo l'account." La vittima risponde con il codice. L'attaccante lo usa immediatamente per resettare la password e prendere il controllo.
La stessa tecnica funziona con qualsiasi servizio con 2FA via SMS. Su un conto bancario: svuotamento in minuti dal momento in cui la vittima risponde.
Exam tip: vishing = phishing via telefono/VoIP. Smishing = phishing via SMS. Stessa intenzione, canale diverso.
Vettore
SMS — numero spoofato o shortcode che sembra provenire da banca, servizio, o piattaforma nota
Causa
SMS bypassa i filtri antispam email; gli utenti si fidano di piu' dei messaggi sul telefono rispetto alle email
Effetto voluto
hijack del codice 2FA per bypassare autenticazione, furto di credenziali via link a sito clone, click su link con malware
Difesa
non rispondere mai a codici OTP ricevuti inaspettatamente, non cliccare link in SMS non richiesti, usare app authenticator invece di SMS per 2FA
Indicatore
SMS non richiesto con link o richiesta di codice da numero che sembra legittimo, richiesta urgente di rispondere con un codice
CIA Triad
Confidentiality (Riservatezza) — credenziali e codici 2FA ceduti via SMS permettono accesso completo all'account
Scope
singolo utente — ogni SMS mira a un numero di telefono specifico; l'impatto e' immediato se il codice OTP viene ceduto
Un Click Basta — Come Funziona un Attacco APT End-to-End#
mindmap
root((APT END-TO-END))
Fase 1-3 Preparazione
Ricognizione
OSINT social media LinkedIn
social engineering telefonico
Weaponization
spear phishing con link malevolo
drive-by o credential harvesting
Delivery
email inviata da sistema esterno
Fase 4-6 Ingresso
Click
utente apre link
sito apparentemente legittimo
Exploitation
credenziali rubate o malware installato
RAT silenzioso sul sistema
Initial Access
credenziali usate per entrare
o controllo malware attivato
Fase 7-10 Espansione
Lateral Movement
WMI PowerShell
meno di due ore dal click
Privilege Escalation
permessi elevati
account backdoor nascosti
Collection
email file database
chunk cifrati pronti
Exfiltration
dati verso server attaccante
fuori dalla rete
Exam Trap
ransomware cifra backup prima
elimina via di fuga
tempo ingresso a lateral movement
meno di due ore
Un singolo click di un utente non formato puo' dare a un attaccante accesso quasi illimitato alla rete di un'organizzazione. Questo schema riassume il flusso tipico usato dagli APT — l'attaccante puo' essere ovunque nel mondo, ha bisogno solo di internet.
Fase 1 — Ricognizione (Reconnaissance): l'attaccante usa intelligence pubblica per identificare il target. Fonti tipiche: social media, comunicati stampa, LinkedIn. In alternativa: social engineering via telefono o email per raccogliere informazioni sull'organizzazione o sui singoli dipendenti.
Fase 2 — Costruzione dell'arma (Weaponization): costruisce una spear phishing email con un link malevolo. Il link puo' puntare a malware hostato su un altro server (drive-by download) oppure a un sito fake per credential harvesting. In alternativa, allega direttamente il malware.
Fase 3 — Consegna (Delivery): invia la spear phishing email al target da un sistema esterno. Il testo e' costruito per spingere il clic.
Fase 4 — Click (User Interaction): se l'utente clicca il link, viene portato a un sito che sembra legittimo.
Fase 5 — Furto credenziali o installazione malware (Exploitation / Installation): due possibili esiti a seconda del tipo di link:
Sito fake → l'utente inserisce le credenziali → mandate all'attaccante
Drive-by download → malware (es. RAT) installato silenziosamente sul sistema
Fase 6 — Accesso iniziale (Initial Access): l'attaccante usa le credenziali rubate per entrare nel sistema target, oppure controlla il malware installato per iniziare a raccogliere informazioni — incluse le credenziali presenti sul sistema.
Fase 7 — Movimento laterale (Lateral Movement): con le credenziali della vittima, l'attaccante si muove ad altri sistemi della rete interna. Tool comuni: WMI (Windows Management Instrumentation) e PowerShell per scansionare e raggiungere altri host.
Fase 8 — Escalation dei privilegi (Privilege Escalation): il sistema target iniziale ha accesso limitato. L'attaccante ottiene permessi piu' alti per raggiungere server con dati sensibili, installa malware su altri sistemi e crea account backdoor nascosti nella rete.
Fase 9 — Raccolta (Collection): il malware cerca dati nella rete — email, file su PC e server. Raccoglie tutto cio' che e' di interesse e lo divide in chunk cifrati.
Fase 10 — Esfiltrazione (Exfiltration): i chunk cifrati vengono inviati al server dell'attaccante all'esterno della rete.
Il tempo tipico tra l'infezione iniziale e l'inizio del lateral movement: meno di due ore. In un attacco ransomware, la cifratura dei dati puo' iniziare non appena il malware trova i file — alcune varianti cercano prima i backup online per cifrarli prima di procedere con il resto, eliminando la via di fuga piu' ovvia.
mindmap
root((DEFENSE IN DEPTH))
Strati Email
Spam Filter Mail Gateway
blocca prima che arrivi
UTM poi mail server poi client
Anti-malware Mail Gateway
allegati infetti rimossi
notifica utente
Strati Endpoint
Anti-malware su tutti i sistemi
workstation e server
real-time scheduled manual
Signature-based
pattern nel file non hash intero
aggiornamenti piu volte al giorno
Heuristic-based
comportamento anomalo
cattura zero-day e varianti inedite
Strati Perimetro
UTM Unified Threat Management
firewall IPS antivirus filtro VPN
ispeziona traffico anomalo in uscita
File Integrity Monitor
hash baseline vs hash attuale
efficace contro rootkit
Exam Trap
AV signature NON e hash del file
pattern interno varianti resistenti
FIM rileva compromissione gia avvenuta
AV rileva malware quando arriva
La difesa contro il malware non si basa su un singolo controllo ma su layered security (sicurezza a strati), detta anche defense-in-depth: piu' livelli di protezione sovrapposti, in modo che se uno fallisce gli altri reggono.
Spam filter sul mail gateway: gli attacchi phishing arrivano come spam malevolo. Il filtro spam sul server email rileva e blocca lo spam prima che raggiunga gli utenti. Se l'email malevola non arriva mai nella inbox, l'utente non puo' cliccare il link. Alcune reti instradano tutta la posta attraverso un dispositivo dedicato solo al filtraggio prima che entri nel mail server interno.
Anti-malware sul mail gateway: le email malevole spesso includono allegati infetti. Il software anti-malware sul mail server li rileva e rimuove l'allegato prima della consegna, notificando l'utente di cosa e' stato rimosso e perche'. Due livelli sullo stesso vettore: prima il filtro spam (blocca l'email), poi l'anti-malware (blocca l'allegato se l'email passa).
Anti-malware su tutti i sistemi: workstation e server hanno tutti software anti-malware installato. I server possono avere software specializzato aggiuntivo in base alle applicazioni in esecuzione — un web server ha esigenze diverse da un file server o da un database server.
Perimetro e firewall — UTM: molte reti includono strumenti di detection che monitorano il traffico attraverso il firewall. Un esempio e' l'UTM (Unified Threat Management): ispeziona il traffico di rete per ridurre il rischio che il malware entri nella rete. L'UTM combina piu' funzioni in un unico dispositivo (firewall, IPS, antivirus, filtro contenuti, VPN).
Il principio: ogni strato copre il fallimento del precedente. Un attaccante che bypassa il filtro spam trova l'anti-malware sull'allegato. Se bypassa anche quello, trova l'anti-malware sull'endpoint. Se bypassa anche quello, il firewall/UTM monitora il traffico anomalo in uscita verso il C2.
Le organizzazioni implementano lo spam filtering a piu' livelli sovrapposti:
UTM (perimetro): primo filtro prima ancora che l'email entri nel mail server interno
Mail server: secondo filtro — blocca spam aggiuntivo, consegna agli utenti solo cio' che passa
Client dell'utente (junk mail filter): check finale sul dispositivo dell'utente
La sfida di qualsiasi filtro spam e' non bloccare email legittime. Un cliente che cerca di acquistare qualcosa non deve essere silenziosamente scartato. Per questo i filtri spam tendono ad essere conservativi: preferiscono lasciar passare spam piuttosto che bloccare email valide. Di conseguenza una certa quantita' di spam arriva sempre.
Safe address / Safe domain (whitelist): puoi configurare indirizzi o domini come sempre fidati. homer@springfield.com come safe address → quella specifica email passa sempre. springfield.com come safe domain → tutte le email da quel dominio passano senza essere filtrate. Stessa logica al contrario per il blocco: puoi bloccare un singolo indirizzo o un intero dominio.
Antivirus e Anti-Malware — Signature vs Heuristic#
Il termine "antivirus" e' rimasto per tradizione, ma i software moderni proteggono contro tutti i tipi di malware: virus, Trojan, worm, rootkit, spyware, adware. La distinzione e' solo storica.
Modalita' di scansione:
Real-time protection: monitora continuamente il sistema. Quando l'utente visita un sito, scarica un file o apre un allegato, l'AV lo scansiona prima che venga eseguito
Manual scan: eseguita su richiesta quando si sospetta un'infezione
Se rileva malware: lo mette in quarantena — il file viene isolato, non puo' fare danno, ma non viene cancellato subito. Un security professional puo' rilasciare un file in quarantena in una VM isolata per analizzarlo. L'utente riceve una notifica — molti la ignorano cliccando OK senza leggere, vanificando il controllo.
Signature-based detection (rilevamento basato su firma): i malware hanno pattern caratteristici. I signature file (detti anche data definition file o virus definition) contengono questi pattern. L'AV scansiona i file cercando corrispondenze.
La signature non e' un semplice hash/digest dell'intero file. Un hash confronta il file byte per byte — basta modificare 1 bit e il hash cambia, il malware sfugge. Una signature e' un pattern all'interno del file: una sequenza di byte caratteristica, una struttura di codice ricorrente. Puo' matchare anche varianti dello stesso malware che hanno subito piccole modifiche. I moderni AV usano entrambe le tecniche: hash per match esatti, pattern per varianti.
I malware developer rilasciano continuamente nuove varianti, quindi e' essenziale aggiornare i signature file regolarmente. L'AV controlla e scarica aggiornamenti automaticamente, piu' volte al giorno. Su sistemi senza accesso a internet, l'admin scarica manualmente i signature file — e deve verificare l'integrita' confrontando il hash del file sul sito del vendor con quello del file scaricato.
Heuristic-based detection (rilevamento basato su comportamento): rileva malware sconosciuto — quello che non ha ancora una signature nel DB. Invece di cercare pattern noti, osserva il comportamento del programma: fa cose anomale? Tenta di modificare file di sistema? Si autocopia? Se il comportamento corrisponde a quello tipico del malware, lo segnala anche senza una firma corrispondente. Piu' falsi positivi rispetto alla signature detection, ma cattura le minacce nuove (zero-day, varianti inedite).
File Integrity Monitor (FIM): tecnica distinta dalla signature detection. Il FIM calcola il hash dei file di sistema come baseline (fotografia dello stato buono noto). Periodicamente ricalcola i hash degli stessi file e li confronta con la baseline. Se il hash e' cambiato → il file e' stato modificato → alert.
Signature detection
File Integrity Monitor
Cerca
Pattern di malware noto dentro il file
Modifiche a file che dovrebbero essere stabili
Confronta
File sconosciuto vs DB di pattern
File attuale vs baseline nota-buona
Rileva
Malware quando arriva
Compromissione gia' avvenuta
Utile contro
Virus, Trojan, worm
Rootkit, backdoor, tamper post-exploit
Il FIM e' particolarmente efficace contro i rootkit: i rootkit modificano file di sistema per nascondersi, e quella modifica cambia il hash. L'AV tradizionale puo' non vederli perche' il rootkit usa hooking per nascondersi; il FIM li rileva dal cambiamento del hash sul disco.
mindmap
root((THREAT INTEL SOURCES))
Standard e Protocolli
STIX
cosa condividere
linguaggio comune per cyber threat
TAXII
come condividere
protocollo di scambio
AIS
servizio CISA real-time
usa entrambi STIX e TAXII
Database e Indicatori
Vulnerability Databases
NVD NIST e CVE MITRE
ID univoco CVSS score
IoC
evidenze attacco in corso
hash URL nomi file
CISA pubblica Malware Analysis Report
Fonti Speciali
Dark Web
tool accesso a botnet dati rubati
CVE appaiono prima dei DB ufficiali
Public Private Sharing
InfraGard FBI con settori privati
condivisione tra organizzazioni
Research Sources
Vendor Websites
patch CVE del prodotto specifico
Conferences
Black Hat DEF CON RSA
RFC IETF
standard internet autorevoli
es RFC 6749 OAuth 2.0
OSINT (Open Source Intelligence): qualsiasi informazione disponibile al pubblico — siti web, social media, comunicati stampa. Gli attaccanti la usano per ricognizione (nome del CEO, struttura aziendale, tecnologie usate). I penetration tester la usano allo stesso modo. Opposto: closed/proprietary intelligence — trade secret e proprieta' intellettuale che l'organizzazione cerca di tenere privata.
Cataloghi di vulnerabilita' note. NVD (National Vulnerability Database, NIST) e CVE (Common Vulnerabilities and Exposures, MITRE/CISA) sono i piu' usati. Ogni voce ha un ID univoco, descrizione e CVSS score.
TAXII
Trusted Automated Exchange of Intelligence Info
Standard aperto per definire come condividere threat intelligence — servizi e protocollo di scambio. Non specifica cosa condividere.
STIX
Structured Threat Information eXpression
Standard aperto che definisce cosa condividere — linguaggio comune per descrivere cyber threat information. I dati STIX viaggiano via TAXII.
AIS
Automated Indicator Sharing
Servizio CISA (Cybersecurity and Infrastructure Security Agency) per lo scambio in tempo reale di threat indicator e defensive measure. Usa entrambi TAXII e STIX.
Dark web
-
Area di internet non indicizzata dai motori di ricerca. Richiede software specifico (Tor) o autenticazione. Criminali vendono tool, accesso a botnet, dati rubati. Alcune vulnerabilita' appaiono qui prima che nei database ufficiali.
Public/private sharing
-
Organizzazioni che condividono threat intelligence tra settori. Esempio: InfraGard — no-profit che condivide informazioni tra FBI e membri in settori specifici.
IoC
Indicator of Compromise
Indicatori di compromissione — evidenze che un attacco e' in corso o e' avvenuto. Possono essere ovvi (alert AV) o sottili (URL specifica, nome file, hash). CISA (Cybersecurity and Infrastructure Security Agency) pubblica Malware Analysis Report con IoC che i team security usano per cercare nei log.
Predictive analysis
-
Tecniche per anticipare le prossime mosse di un attaccante. Ancora una sfida aperta — richiede di predire il futuro.
Threat maps
-
Visualizzazioni di attacchi attivi. Mostrano replay di attacchi recenti (non real-time), dati anonimizzati, localizzazione geografica.
File/code repositories
-
Repository come GitHub contengono codice e risorse per threat intelligence. Esempio: Awesome Threat Intelligence repository — lista curata di risorse.
Vendor websites: informazioni affidabili su prodotti del vendor, vulnerabilita' e patch. Fonte primaria per CVE che riguardano un prodotto specifico.
Conferences: eventi di 3-5 giorni con speaker specializzati e training track. Black Hat, DEF CON, RSA Conference sono le piu' note.
Local industry groups: gruppi di professionisti dello stesso settore che condividono informazioni e contatti.
Academic journals: articoli peer-reviewed — documentano ricerche tecniche, alta credibilita' ma ciclo di pubblicazione lento.
RFC (Request for Comments): documenti pubblicati dall'IETF che definiscono standard Internet. Fonte autorevole per specifiche tecniche. Esempio: RFC 6749 descrive OAuth 2.0 — come i token di autorizzazione vengono creati e scambiati. Se due siti seguono RFC 6749 possono scambiarsi token senza accordi bilaterali.
Social media: utile per condividere informazioni tra peer in tempo reale, ma non autorevole. Verificare prima di agire su informazioni trovate sui social.
Nation-state: sponsorizzati da un governo, obiettivo = avanzare gli interessi nazionali
Unskilled attacker: usa script e tool altrui, poca competenza, pochi fondi
Hacktivist: attacca per una causa o movimento
Insider: accesso legittimo alle risorse interne. Puo' diventare malicious insider per avidita' o vendetta. DLP per prevenire l'esfiltrazione su media esterni
Organized crime: gruppo strutturato con motivazione primaria = denaro
Shadow IT: sistemi o applicazioni usati senza autorizzazione IT
Attributi dei threat actor: interni/esterni, risorse/funding, sofisticazione/capability. Motivazioni: data exfiltration, espionage, service disruption, blackmail, financial gain, philosophical/political beliefs, ethical hacking, revenge, disruption/chaos, war.
OSINT usato sia da attaccanti che da cybersecurity professional per raccogliere informazioni su vulnerabilita' e come sfruttarle o difenderle.
Social engineering: tattiche sociali per ottenere informazioni o far fare azioni. Puo' avvenire di persona, telefono, email, web. Molti social engineer si fingono qualcun altro
Shoulder surfing: osservazione non autorizzata. Contromisura: screen filter
Hoax: messaggio che avverte di una minaccia inesistente, spesso via email
Tailgating: seguire qualcuno senza mostrare credenziali. Contromisura: access control vestibule (mantrap)
Dumpster diving: rovistare nei rifiuti per trovare informazioni. Contromisura: shredder o incenerimento
Baiting: lasciare supporti fisici infetti (USB, CD) dove la vittima li trovi per curiosita'. Vettore fisico, NON digitale. Contromisura: policy no-USB + disable autorun
Watering hole: compromette siti che il gruppo target visita e di cui si fida, poi attende
Pretexting: presenta uno scenario falso prima di chiedere informazioni
Spam: email non richiesta. Usata in molti tipi di attacco
Phishing: email per indurre a rivelare informazioni, installare malware o cliccare link
Spear phishing: mira a gruppi specifici. Whaling: mira a dirigenti di alto livello
Vishing: phishing via telefono/VoIP. Alcune varianti iniziano con voce registrata poi passano a persona live
