IOCTA 2024
Il 25 luglio 2024, Europol ha pubblicato il suo atteso IOCTA 2024 (Internet Organised Crime Threat Assessment). La pubblicazione, quest’anno, arriva in un momento critico dopo che massiccio blackout informatico causato da un aggiornamento difettoso del software di sicurezza di CrowdStrike1, ed il sabotaggio informatico che ha colpito le linee TGV francesi a ridosso delle Olimpiadi, ha evidenziato la debolezza delle infrastrutture moderne dovute alla loro dipendenza informatica. Il rapporto prende in considerazione le minacce che la criminalità comune porta ai singoli cittadini anzichè le infrastrutture e il quadro che viene dipinto non è dei più rassicuranti.
Cos’è IOCTA?
L’Internet Organised Crime Threat Assessment (IOCTA) è un rapporto strategico pubblicato annualmente da Europol, attraverso il suo Centro Europeo per la Criminalità Informatica. Questo rapporto fornisce un’analisi delle minacce online più recenti e dell’impatto della criminalità informatica all’interno dell’Unione Europea. La sua prima pubblicazione è del 2014 con l’obiettivo di fornire una panoramica delle minacce informatiche emergenti e delle tendenze criminali online nell’Unione Europea; successivamente (dal 2015 al 2019) il rapporto venne aggiornato annualmente per riflettere i cambiamenti nel panorama della criminalità in questo settore. Durante questo periodo, si è osservato un aumento significativo delle minacce legate ai ransomware2, alla frode nei pagamenti e allo sfruttamento sessuale online dei minori. Durante la pandemia di COVID-19 IOCTA ha evidenziato a un aumento delle attività criminali online, con un focus particolare su truffe legate alla pandemia e attacchi informatici contro infrastrutture sanitarie.
Dal 2021 al 2023 I rapporti stillati dall’Europol, tramite IOCTA, hanno continuato ad evidenziare l’evoluzione delle minacce, con crescente attenzione verso il crimine organizzato online, l’uso abusivo delle criptovalute e le tecniche di phishing.
Dalla sua introduzione rapporto è diventato uno strumento fondamentale per le forze dell’ordine e i responsabili politici nell’UE, fornendo informazioni cruciali per combattere la criminalità informatica in modo efficace.
Il rapporto 2024
Quest’anno il rapporto indica che nel 2023 (i dati si riferiscono sempre all’anno precedente) gli attacchi ransomware, lo sfruttamento sessuale dei minori (CSE) e la frode online sono rimaste le manifestazioni più minacciose della criminalità informatica nell'Unione Europea; gli attori che operano questo tipo di crimini è composto da soggetti vari che vanno dal singolo individuo alle reti criminali organizzate che dimostrano sempre più competenze e capacità. Sebbene alcuni criminali informatici che hanno preso di mira l'UE erano all'interno stesso degli stati membri dell’Unione, altri preferivano operare dall'estero, nascondendo le loro operazioni e i loro fondi illeciti in Paesi terzi.
Le tecnologie basate sull'intelligenza artificiale (AI) stanno rendono l'ingegneria sociale ancora più efficace e molte vittime hanno avuto difficoltà a distinguere un soggetto reale da un bot3. Le dinamiche del mercato criminale dei servizi di malware e di servizi di phishing4 assomigliano alle dinamiche delle aziende reali, mentre il commercio di dati rubati sta diventando la principale minaccia legata al crime-as-a-service (CaaS ovvero cybercriminali che vendono i loro servizio o prodotti per eseguire compiti criminali): attraverso il Dark web si riescono a trovare script, strumenti e persone per creare e-mail di phishing.
Criptovalute e dark web.
Secondo il rapporto, sebbene la principale criptovaluta richiesta da chi opera un ranswomware sia il bitcoin, a causa della sua facile reperibilità sul mercato, vi è un crescente uso anche di altre monete virtuali come ad esempio Monero. Il dato importante che hanno notato gli investigatori è che c’è sempre una maggiore conversione di queste criptovalute in steblecoin5. Alcune stablecoin hanno incorporato funzionalità di blacklist nei loro smart contract che consente alle forze dell'ordine di richiedere alle aziende di congelare le stablecoin che sono state identificate come parte del portafoglio di un sospetto. Purtroppo tramite applicazioni che fanno uso di dati criptati stanno nascendo gruppi che mettono in contatto persone che vogliono scambiare criptovaluta al difuori dei circuiti standard oltre a soluzioni bancarie clandestine situate in paese extra UE e/o l’uso di carte di debito per criptovalute, che possono essere utilizzate per convertirle rapidamente in contanti presso gli sportelli automatici.
La rete Tor6 rimane ancora il metodo principale per accedere al dark web, dove Exploit, XSS e BreachForum7 sono stati tra i forum di criminalità informatica più attivi nel 2023. I criminali informatici sono stati visti condividere conoscenze di hacking e commerciare dati rubati, strumenti di hacking e servizi di cybercriminalità con i servizi che fungono anche da piattaforma per i broker di accesso iniziale. Gli Exploit sono principalmente di lingua russa e sono accessibili sia attraverso il clear web che il dark web con una quota di iscrizione o tramite una reputazione verificata (come per accedere alle redroom del darkweb8).
Sempre tramite il darkweb si trovano (per tempo limitato in quanto tendono a chiudere per riapparire successivamente ad un altro indirizzo) siti dove comperare droga, acquistare i servizi più o meno legali, armi, medicinali senza ricette, eccetera. La maggior parte sono gestiti da soggetti mono venditori che, in questo modo, possono evitare di pagare le commissioni alle piattaforme. Questo ha portato anche a casi di “exit scam”, ovvero casi nei quali gli amministratori chiudono improvvisamente un mercato e rubano tutti i soldi depositati.
Tra i forum segnalati nel 2023 compaiono CryptBB e Dread. In particolare CryptBB è un forum chiuso per i criminali informatici, tra cui hacker e programmatori, che va dai principianti agli esperti (gli amministratori stessi lo promuovono come il forum più adatto ai principianti della criminalità informatica). Qua vengono offerti servizi di criminalità informatica, vendita di accessi al protocollo desktop remoto (RDP), “hacker a pagamento”, servizi di penetration test e bugreporting per i marketplace.
Dread, invece, è meno specialistico e i suoi contenuti variano dall'hacking al traffico di droga ed alle informazioni personali identificabili; con una base di oltre 400.000 utenti è considerato uno dei forum più popolari del dark web.
Infine, ma non per questo meno preoccupante, l’ IOCTA 2024 indica un aumento dell’uso, tramite il dark web, di strumenti e servizi che fanno uso dell’ intelligenza artificiale senza filtraggio. Il servizio Only Fake, ad esempio, vende documenti d'identità falsi generati dall'intelligenza artificiale che possono essere utilizzati per aprire conti online su servizi finanziari, aggirando le procedure Know Your Customer (ovvero un insieme di procedure utilizzate da aziende e istituzioni finanziarie per verificare l’identità dei propri clienti e valutare i potenziali rischi nel rapporto con essi allo scopo di proteggere l’azienda stessa e l’utente da tentativi di furto di identità, frodi online e pratiche di riciclaggio di denaro).
Ransomware-as-a-Service e Malware-as-a-service
Il modello di “Ransomware-as-a-Service” (RaaS) è un tipo di crimine informatico in cui i creatori di ransomware sviluppano e vendono il loro software dannoso ad altri criminali informatici. Questi ultimi, chiamati affiliati, utilizzano il ransomware per attaccare le vittime e chiedere riscatti. In cambio, i creatori del ransomware ricevono una percentuale del riscatto pagato.
Il rapporto enfatizza come i gruppi di ransomware che operano sotto questo modello abbiano cercato, dopo la chiusura dei servizi di Hive, BlackCat/ALPHV, di attirare affiliati capaci ai loro servizi, vantando che la loro infrastruttura è ospitata al di fuori dell’UE e del Nord America e che hanno una rigorosa politica di non registrazione dei log: le operazioni delle forze dell’ordine contro gli operatori di ransomware, infatti, danneggiano la reputazione dei gruppi nel sottobosco criminale e hanno un impatto sui loro affiliati. La chiusura dell’infrastruttura di un servizio di ransomware significa che gli affiliati perdono l’accesso al servizio, dove possono generare campioni di ransomware e monitorare lo stato delle loro vittime. Questo espone gli affiliati al rischio di essere identificati e potenzialmente causa loro la perdita di possibilità di pressione verso le vittime.
Uno dei fornitori più prolifici del mercato RaaS, LockBit è stato smantellato nel febbraio 2024 grazie a un’azione coordinata delle forze dell’ordine di 10 paesi. Purtroppo il suo posto è stato già preso da Akira, un nuovo gruppo che, data la rapida crescita della base di vittime e le loro capacità operative mature, è probabile che diventi una minaccia crescente nel prossimo futuro.
Nel 2023 si sono verificati diversi cambiamenti nel panorama del malware-as-a-service (MaaS). Dopo l'eliminazione dell'infrastruttura del malware Qakbot, i criminali informatici hanno reagito rapidamente e si sono rivolti ad altri fornitori di servizi di dropper/loader9 già affermati o emergenti. Le principali alternative a QakBot attualmente utilizzate dai criminali informatici sono IcedID, SystemBC, Pikabot, DanaBot e Smokeloader, che offrono capacità simili di offuscamento e consegna di payload dannosi ai sistemi infetti.
Schemi di frode online e di pagamento
Un altro focus su cui si sofferma il rapporto è quello degli schemi di frode online che appresentano una crescente minaccia criminale nell'Unione Europea che colpisce milioni di cittadini europei e si traduce in miliardi di euro rubati. L’aumento degli acquisti online, unita alla crescita di phishing-as-a-service e allo skimming digitale (il furto di informazioni sensibili dai siti web) rappresenta una grande minaccia non solo per i cittadini UE ma, soprattutto, per i commercianti elettronici.
Il metodo più utilizzato rimane ancora il phishing e le sue varianti come lo smishing (phishing via SMS/testo), lo vishing10 (phishing vocale) e lo spoofing11. Affianco a questi metodi tradizionali, il 2023 segna la nascita dello quishing, o phishing con codice QR. Quando una vittima scansiona un codice QR contraffatto, può essere reindirizzata a un sito web fraudolento che richiede informazioni personali o bancarie, oppure può scaricare un malware sul proprio dispositivo. Questo rende il quishing particolarmente insidioso, poiché i codici QR sono comunemente utilizzati in contesti quotidiani come ristoranti, musei e parcheggi.
Proprio come nel caso dei RaaS e MaaS esiste il phishing-as-a-service che è un mercato in rapida ascesa. Questi servizi forniscono prodotti, servizi e dati delle vittime che consentono a un numero sempre maggiore di reti criminali di impegnarsi, indipendentemente dal loro livello di organizzazione e competenza tecnica, di agire in questo ambito: chiunque può richiedere ai fornitori di phishing-as-a-service una pagina di phishing per qualsiasi banca o ufficio postale nell'UE.
Gli investigatori hanno rilevato diversi casi collegati a phishing bancario, con affiliati che gestiscono vari negozi web falsi che reindirizzano a false pagine web di banche e pagamenti in parallelo. Anche per questi servizi il metodo di pagamento è quello delle cripto valute e i servizi sono disponibili nella rete Tor online.
Una nota importante è quella che nel 2023 ha avuto un’ impennata l’utilizzo delle “shock calls” (Chiamate Shock): i truffatori contattano le vittime, spesso anziani, e le mettono sotto pressione emotiva per ottenere denaro o informazioni quali numero di conto e altri dati peronali.
Quello del commercio dei dati personali è, infatti, un altro dei punti evidenziati dal rapporto IOCTA 2024. I cyber criminali cercano di mira impossessarsi degli account delle vittime come online banking, account di posta elettronica o profili di social media. Attraverso queste pratiche i criminali sono anche in grado di impossessarsi dei soldi e di accedere ai servizi digitali delle vittime o a informazioni private sensibili che possono poi essere monetizzate online. Inoltre, poiché le banche trattano sempre più spesso i soldi persi attraverso truffe come negligenza da parte del legittimo proprietario del conto, gli schemi di frode che colpiscono i conti dei singoli rimangono un'attività a basso rischio e ad alto profitto per chi le perpetra.
Le frodi sugli investimenti continuano a rappresentare una minaccia fondamentale nell'UE. Alle vittime vengono offerti investimenti sicuri tramite crypto valute, spesso associati alla creazione di profili falsi di fondi di investimento reale. Alcune volte, vengono create situazioni ad hoc per cui la vittima installa applicazioni di gestione remota per la “correzione” di errori nel computer per la gestione delle transizioni. A quel punto il criminale ha, non solo l’accesso a tutti i conti, ma anche all’intero dispositivo della vittima.
L’utilizzo dell’intelligenza artificiale per la generazione dei contenuti rende questo tipo di frodi particolarmente pericolose, in particolare sono aumentate le truffe (malgrado il basso tasso di denunce dovute alla vergogna) delle “truffe amorose”. Tramite gli strumenti di intelligenza artificiale non solo i truffatori hanno maggior possibilità di raggiungere più vittime contemporaneamente, ma anche di migliorare le loro tecniche di ingegneria sociale e di interazione con esse. Le truffe romantiche tramite intelligenza artificiale (AI) funzionano a step successivi fruttando le emozioni e la buona fede delle persone: i truffatori utilizzano l’AI per creare profili falsi su siti di incontri e social media.
Tramite l'intelligenza artificiale possono generare immagini realistiche di persone inesistenti utilizzando tecnologie come i deepfake; una volta creato il profilo, i truffatori iniziano a interagire con le vittime, spesso utilizzando chatbot avanzati che possono sostenere conversazioni credibili e personalizzate. I truffatori lavorano per guadagnare la fiducia della vittima, spesso condividendo storie personali inventate e mostrando un interesse genuino. Possono anche utilizzare l’AI per clonare la voce di una persona cara alla vittima (spesso accedendo a dati disponibili nel dark web), rendendo la truffa ancora più credibile. Dopo aver instaurato una relazione virtuale, i truffatori iniziano a chiedere denaro. Le richieste possono essere giustificate da emergenze mediche, problemi finanziari improvvisi, piani per incontrarsi di persona o anche di investimenti sicuri. Una volta ottenuto il denaro, i truffatori spariscono, lasciando la vittima senza risposte e con un danno emotivo ed economico significativo.
Tramite il suo rapporto l’Europol evidenzia come Lo skimming digitale non solo è rimasto una minaccia chiave nel 2023 ma sta anche aumentando. Questa è una forma di frode informatica in cui i criminali rubano i dati delle carte di credito o di pagamento dai clienti di un negozio online. Questo avviene durante il processo di checkout, quando i dati vengono intercettati senza che i clienti o i commercianti se ne accorgano.
Gli autori iniettano codice dannoso (chiamato web skimmer) nel sito di un negozio online attraverso vari metodi e tecniche che vanno dall’ essere inserito direttamente nel server del sito web bersaglio o sfruttando una vulnerabilità in una piattaforma di e-commerce. I Web skimmer possono anche agire in un sito sfruttando una risorsa di terzi, in quest'ultimo caso, se una pagina contiene codice proveniente da un altro dominio, un aggressore può iniettare codice dannoso e aggirare la maggior parte delle misure di sicurezza. Una volta che il sito è colpito, quando un utente fa una transizione, i dati della sua carta vengono trasmessi anche al server dell’attaccante.
Sfruttamento sessuale dei minori
Il materiale sugli abusi sessuali sui minori (Child Sexual Abuse Material o CSAM) continua a proliferare online, incidendo fortemente sul lavoro delle autorità che, con un volume crescente di file da analizzare manualmente e le relative informazioni sui casi, si trovano ad aver bisogno di un supporto tecnologico innovativo per indagare su questo tipo di crimine, la cui produzione e diffusione rimane un problema importante, con una grande parte del materiale rilevato identificato come materiale esplicito autogenerato ovvero contenuti sessuali creati e condivisi dalle stesse vittime, spesso minorenni.
Il volume di materiale sessuale autogenerato costituisce una parte significativa e crescente del CSAM rilevato online, spesso ha come soggetti bambini, in particolare adolescenti e, in molti casi, è il risultato di scambi volontari tra pari ma può essere classificato come CSAM una volta diffuso a terzi senza il consenso della persona che lo ha inviato per prima.
Questo tipo di materiale è spesso anche il risultato di un'attività di grooming12 ed estorsione sessuale: l'autore identifica la vittima online, spesso su piattaforme di gioco o social media e, dopo aver guadagnato la sua fiducia attraverso il grooming, il criminale ottiene materiale sessualmente esplicito e lo usa come leva per estorsioni. Un senso di vergogna e la speranza che le minacce potrebbero smettere spesso portano le vittime a produrre più materiale sessuale auto-generato. Questo tipo di minacce non colpisce però solo i minori ma anche adulti ai quali, spesso viene anche chiesto del denaro: l' autore del reato minaccia la vittima di condividere l'immagine esplicita online o di inviarla a contatti vicini. La vittima paga spesso per vergogna e, in molti casi, il processo di estorsione dura per un tempo considerevole.
In precedenza abbiamo accennato alla red room del dark web. In questi spazi virtuali viene spesso perpetrato il “Live-Distant Child Abuse” (LDCA), una metodologia nella quale i trasgressori guardano abusi sessuali su richiesta con il sostegno di uno o più facilitatori che perpetrare l'abuso sulla vittima/e in cambio di pagamento. Questo tipo di crimine si distingue come la principale forma di sfruttamento sessuale commerciale dei minori online e come una delle principali fonti di CSAM sconosciuta. A volte il crimine viene fatto all’insaputa della vittima tramite il capping, che comporta la registrazione nascosta della vittima (ad es. in una videochiamata/sessione di live-streaming).
Forum e chat room sono ancora ambienti di rete essenziali per i trasgressori di CSAM e discutono abusi perpetrati e fantasie, tecniche per pulire i bambini e suggerimenti. Gli autori di reati più esperti di solito si collegano in forum sul dark web che sembrano sempre più specializzati e adattati alle preferenze sessuali. Questi delinquenti hanno livelli sempre più elevati di conoscenze tecniche e misure per nascondere le loro tracce. I forum hanno sezioni specializzate per le questioni tecniche con suggerimenti e opzioni di formazione. A differenza di quelli presenti nel dark web, i forum in chiaro, di solito non hanno una durata superiore ai due anni, in quanto, pur essendo spesso ospitati in server fuori UE, una volta identificati vengono chiusi. Per superare tali problemi, gli amministratori responsabili di questi forum creano siti mirror, tenendo una copia del suo contenuto e, ogni volta che il loro sito viene dismesso, lo ricreano rapidamente a un nuovo indirizzo. Le piattaforme di comunicazione end-to-end crittografate (E2EE) sono sempre più utilizzate dai trasgressori per lo scambio di Child Sexual Abuse Material e a fini di comunicazione.
Anche per quanto riguardi i reati legati al materiale sugli abusi sessuali sui minori (sottolinea il report), i modelli di intelligenza artificiale in grado di generare o alterare le immagini vengono utilizzati in modo improprio dai trasgressori per produrre materiale CSAM e per estorsione sessuale. Anche nei casi in cui il contenuto è completamente artificiale e non è raffigurata alcuna vittima reale, il materiale CSAM generato dall'intelligenza artificiale contribuisce comunque all'oggettivazione e alla sessualizzazione dei bambini.
La produzione di materiale fake tramite IA risulta ampiamente disponibile e non richiede elevati livelli di competenza tecnica, ampliando potenzialmente il numero e lo spettro degli autori e dei crimini: questi file possono essere facilmente utilizzati per il cyberbullismo o per l'estorsione sessuale. Inoltre, maggiore è il volume di CSAM artificiale in circolazione e più difficile diventerà identificare i trasgressori o le vittime attraverso il riconoscimento delle immagini.
Considerazioni finali
Uno degli aspetti che appare più evidente leggendo il report IOCTA 2024 è l’aumento dell’utilizzo dell’ intelligenza artificiale per creare truffe e frodi online, che crea nuove minacce che riguardano sia l'abuso di strumenti e servizi legittimi sia le loro versioni dannose create ad hoc dai criminali; il numero crescente di LLM13 senza filtro immediato emerso di recente è destinato a moltiplicarsi e ci saranno probabilmente sempre più pubblicità generate dall'intelligenza artificiale che attireranno potenziali vittime di frodi online. Inoltre Gli strumenti di intelligenza artificiale faciliteranno l'ingresso alla criminalità informatica ad individui con competenze tecniche limitate i quali saranno in grado di eseguire attacchi informatici e orchestrare schemi di frode online piuttosto sofisticati.
Per quanto riguarda l’Unione Europea appare evidente che, affianco al continuo monitoraggio da parte delle forze dell’ordine preposte dei crimini, sarà necessario iniziare una campagna di informazione e sensibilizzazione, nonché di cultura digitale a livello di singoli stati.
Il rapporto dell’ Europol, sebbene disegni una situazione a tinte fosche, non deve spaventarci ma portarci ad una maggior attenzione ai nostri comportamenti online.
Nel 1959 Alberto Manzi iniziò a condurre il programma “ Non è mai troppo tardi ” per la RAI, il cui scopo era quello di insegnare l’italiano a una classe virtuale, composta per lo più da adulti, in un periodo in cui il tasso di analfabetismo era altissimo. Tramite questo programma milioni di italiani impararono a leggere e scrivere. Allo stesso modo, visto l’uso sempre più intensivo delle tecnologie digitali, sarebbe il caso di iniziare una serie di “lezioni” sul modello del programma di Manzi destinata a trattare l’alfabetizzazione digitale: troppe persone utilizzano i dispositivi in maniera superficiale e spesso, con supponenza, pensano di sapere tutto dato che usano le applicazioni in maniera continua e intensa, quando in realtà non conoscono le cose basilari.
Bisogna ricordare ad esempio che, se mettiamo le foto dei nostri figli sui social, oggi possono essere prese e modificate tramite IA. Se su TikTok veniamo contattati da una bella cinesina che vive a Pechino che mi parla e mi invita ad essere suo amico, dobbiamo sapere che quest’app in Cina è bandita e che quindi, molto probabilmente, si tratta di una truffa. Ma, soprattutto dobbiamo ricordare che se una cosa è troppo bella per essere vera, probabilmente non lo è.
Bibliografia:
Internet Organised Crime Threat Assessment IOCTA 2024.pdf (europa.eu)
1 CrowdStrike è una società statunitense di sicurezza informatica fondata nel 2011, nota per la sua piattaforma di sicurezza CrowdStrike Falcon, che offre protezione avanzata. 19 luglio 2024,un aggiornamento difettoso del software di sicurezza CrowdStrike ha causato una serie di blocchi su milioni di dispositivi Microsoft Windows in tutto il mondo di aziende, enti pubblici e privati, causando disagi e danni economici.
2 I ransomware sono un tipo di malware (abbreviazione di “malicious software”) che blocca l’accesso ai dati o ai dispositivi della vittima, richiedendo un riscatto (in inglese, “ransom”) per ripristinare l’accesso.
3 Un bot IA (o chatbot) è un programma software che utilizza l’intelligenza artificiale per simulare una conversazione con gli utenti
4 Il phishing è una forma di truffa online in cui i malintenzionati cercano di ingannare le vittime per ottenere informazioni sensibili, come password, numeri di carte di credito o altre informazioni personali. Questo viene spesso fatto inviando email o messaggi che sembrano provenire da fonti affidabili, come banche o altre istituzioni, ma che in realtà sono falsi.
5 Le stablecoin sono un tipo di criptovaluta progettata per mantenere un valore stabile, ancorato a un altro asset come una valuta stabile (ad esempio il dollaro USA) o una merce (come l’oro). Questo le rende meno volatili rispetto ad altre criptovalute come Bitcoin o Ethereum
6 La rete Tor (The Onion Router) è un sistema progettato per garantire l’anonimato e la privacy online. Utilizza un meccanismo chiamato onion routing, che prevede la crittografia dei dati in vari strati, come una cipolla. Thor è utilizzata per proteggere la privacy e navigare nel Dark web
7 Un exploit è un codice o un’azione che sfrutta una vulnerabilità in un sistema informatico per eseguire operazioni non autorizzate. Il cross-site scripting (XSS) è un tipo di attacco informatico in cui un codice dannoso viene inserito in un sito web affidabile. Questo codice viene poi eseguito nel browser degli utenti che visitano il sito, permettendo agli attaccanti di accedere a informazioni sensibili come cookie e token di sessione. BreachForum è un forum online utilizzato per la compravendita di dati rubati e altre attività illegali legate alla sicurezza informatica.
8 Le redroom sono camere virtuali dove circolano immagini di tutte le tipologie, violenza su minori in situazioni anche live, e dove gli stessi utenti possono interagire e dare istruzioni anche se dall’altra parte dello schermo.
9 I dropper e i loader sono componenti chiave nelle catene di infezione dei malware. Un dropper è un tipo di malware progettato per installare altri malware sul dispositivo della vittima. Un loader è simile a un dropper, ma con una funzione leggermente diversa. Dopo che il dropper ha rilasciato il malware, il loader si occupa di scaricare e caricare ulteriori componenti malevoli dal server di comando e controllo (C2). Questo permette agli attaccanti di aggiornare o modificare il malware in tempo reale
10 Il vishing è una forma di truffa che combina la voce (voice) con il phishing. I truffatori utilizzano telefonate o messaggi vocali per ingannare le vittime e ottenere informazioni personali sensibili, come numeri di carte di credito o dati di accesso. Spesso si spacciano per rappresentanti di istituzioni affidabili, come banche o enti governativi, per rendere la truffa più credibile.
11 Lo "spoofing" è un tipo di cyberattacco in cui un hacker si camuffa da entità legittima per imbrogliare altre reti informatiche. Viene usato per impadronirsi di dati, diffondere malware o superare dei controlli di accesso. Gli attacchi di e-mail spoofing sono fra i più diffusi e comportano spesso cose come la richiesta di dati personali o transazioni finanziarie.
12 Il grooming (dall’inglese “groom” – curare, prendersi cura) rappresenta una tecnica di manipolazione psicologica che gli adulti potenziali abusanti, utilizzano per indurre i bambini/e o adolescenti a superare le resistenze emotive e instaurare una relazione intima e/o sessualizzata.
13 Il Large Language Model è un tipo di intelligenza artificiale che comprende e genera testo in linguaggio naturale.