News - Forenser Srl

Informatica Forense e NIS2, un connubio indissolubile

forenser on 22 Ottobre 2025

Martedì 21 ottobre il CEO Fornser Paolo Dal Checco ha partecipato come docente al Seminario in FAD sincrona dal titolo “Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato” durante il quale ha presentato i punti di contatto tra la direttiva NIS2 e la digital forensics, mostrando come il testo di legge possa essere letto alla luce di uno scenario nel quale l’informatica forense possa essere di supporto sia per la fase di prevenzione sia per quella di gestione dell’incidente informatico.

La giornata di corso sulla normativa NIS2, organizzata dal FOIM – Fondazione Ordine Ingegneri della Provincia di Milano – con Responsabile Scientifico l’Ing. Luca Reggiani, ha visto tra i docenti stimati professionisti che hanno illustrato ai discenti questioni legate alla cybersecurity, informatica forense, strumenti pratici, analisi dei rischi, compliance e standard.

NIS2 e Informatica Forense per Ordine Ingegneri Provincia di Milano

Programma del corso sulla NIS2 organizzato dal FOIM

Il programma del corso sulla NIS2, organizzato dalla Fondazione Ordine degli Ingegneri della Provincia di Milano è stato il seguente:

14.28 | Collegamento alla piattaforma
14.30 | Presentazione del seminario
14.35 | NIS 2: ermeneutica della complessità, un approccio organizzativo integrato alla cybersicurezza – Giuseppe SERAFINI – Avv.
15.10 | Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato – Paolo DAL CHECCO – Consulente Informatico Forense
15.45 | Question time
16.00 | Strumenti pratici per l’implementazione dei prerequisiti NIS-2, ISO27001, GDPR – Alberto BENZONI – Fast-Group
16.35 | Kill Risk: analisi dei rischi rispetto ai controlli (da ISO 27001 a NIST CSF passando per la NIS2) – Gianluigi ANGOTTI – Cons.
17.10 | Recepimento NIS2 e armonizzazione cybersecurity: compliance, standard internazionali e impatti organizzativi – Roberto RE – Cons.
17.45 | Question time
18.00 | Conclusioni e chiusura seminario

Docenti del corso sulla normativa NIS2

I docenti del corso sulla Normativa NIS2 tenuto per la Fondazione Ordine degli Ingegneri della Provincia di Milano sono stati i seguenti:

Dott. Paolo Dal Checco, Consulente Informatico Forense
Ing. Gianluigi Angotti, CISO (Chief Information Security Officer)
Ing. Roberto Re, Consigliere dell’Ordine degli Ingegneri della Provincia di Milano
Avv. Giuseppe Serafini, Avvocato presso Studio Legale
Dott. Alberto Benzoni, Amministratore Delegato Eureka Srl

Cos’è la direttiva NIS2?

La Direttiva NIS2 (Network & Information Systems Directive) è stata formalizzata nel 2022 e recepita in Italia con il D.lgs. 138/2024 in sostituzione della precedente direttiva NIS del 2018), ampliandone l’ambito e rafforzando i requisiti di sicurezza per le infrastrutture digitali.

La normativa, entrata in vigore il 16 ottobre 2024, mira ad armonizzare le misure di sicurezza informatica tra i Paesi dell’UE, potenziando la capacità di risposta delle aziende e prevenendo i rischi informatici.

La direttiva introduce una serie di obblighi per migliorare la sicurezza digitale, tra cui uniformare il livello di protezione informatica in tutti gli Stati membri, aumentare la robustezza attraverso requisiti più stringenti e sanzioni severe e preparare le aziende a fronteggiare attacchi informatici mediante piani di resilienza e continuità operativa.

A chi è destinata la normativa NIS2?

NIS2 non è destinata a tutti è applicabile ad alcuni settori critici come l’energia, i trasporti, la finanza, la sanità e le infrastrutture digitali, utilizzando un criterio che definisce l’applicabilità in base alla dimensione delle imprese.

Le imprese soggette alla NIS2 devono adeguarsi a requisiti più dettagliati in tema di gestione del rischio, sicurezza della catena di fornitura e risposta agli incidenti. Inoltre, la normativa introduce una forte responsabilità dei manager, che impone ai dirigenti di adottare misure di sicurezza adeguate e di promuovere la formazione del personale.

L’intervento di Paolo Dal Checco su NIS2 e Informatica Forense

L’intervento del CEO Forenser Paolo Dal Checco, nel corso sulla NIS2, è stato intitolato “Informatica Forense e NIS2: Un Connubio Indispensabile per la Sicurezza Sistemica” ed è stato dedicato all’importanza critica del legame tra Informatica Forense e la Direttiva NIS2, un binomio che, sebbene indissolubile, è ancora troppo sottovalutato.

In qualità di Consulente Informatico Forense e fondatore di Forenser Srl, forte di un’esperienza decennale sul campo e oltre 2.000 casi gestiti in ruoli tecnici e legali – esperienza maturata a partire Dottorato di Ricerca in Informatica focalizzato sulla crittografia e la sicurezza delle comunicazioni – il Dr. Dal Checco ha voluto sottolineare come la NIS2 imponga un radicale cambio di paradigma.

Non è più sufficiente limitarsi ad acquistare soluzioni tecnologiche; la normativa richiede infatti di dimostrare l’efficacia misurabile delle misure di sicurezza implementate, adottando un approccio multi-rischio che deve essere proporzionale al livello di rischio precedentemente valutato.

NIS2 e Compliance - digital forensics e informatica forense in aiuto

L’informatica forense o digital forensics si rivela essenziale non solo nella risposta agli attacchi, ma in ogni misura minima prevista dall’Articolo 24. Per esempio, è fondamentale per condurre una corretta Analisi dei Rischi, poiché solo l’analisi retrospettiva degli incidenti passati – inclusi quelli tentati o “mancati” – può fornire i dati necessari per questa valutazione. Essa rappresenta il campo di gioco principale nella Gestione degli Incidenti e nella verifica dell’integrità dei sistemi di Continuità Operativa, dove solo un’analisi approfondita può confermare che i backup non siano stati compromessi. Inoltre, l’analisi post-incidente è l’unica vera metrica per la Valutazione dell’Efficacia degli strumenti di logging, EDR o SIEM utilizzati, e risulta imprescindibile per rispondere alla domanda fondamentale in termini di sicurezza del personale: “Chi ha fatto cosa, quando e come?”.

NIS2 e questione temporale per i CISO - Informatica Forense per la gestione dell'incidente informatico

La sfida più grande si concentra tuttavia sulla gestione delle tempistiche stringenti dettate dall’Articolo 25. Dalla pre-notifica da inviare al CSIRT Italia entro 24 ore fino alla Relazione Finale Completa richiesta entro un mese, la pressione sui CISO è altissima. Questa relazione finale deve obbligatoriamente includere la Root Cause Analysis, ovvero l’identificazione precisa della causa originale che ha innescato l’evento dannoso. Ed è qui che emerge il punto cruciale della lezione: è impossibile identificare con certezza la root cause – come pare effettivamente richiesto dalla normativa NIS2 – senza condurre un’indagine approfondita di Informatica Forense o Digital Forensics.

In conclusione, la Direttiva NIS2 ci spinge verso un approccio olistico alla sicurezza che integra misure Tecniche, Organizzative e Operative; in questo scenario, i log di sistema e le procedure operative diventano la fonte primaria di prova. L’informatica forense, dunque, non è un’opzione, ma una necessità tecnica e legale imprescindibile per soddisfare gli obblighi normativi e garantire una protezione efficace dell’organizzazione in un contesto normativo che si focalizza sull’interruzione dei servizi essenziali e sull’impatto sistemico.

FTK Imager PRO: supporto alla cifratura e iOS

forenser on 28 Settembre 2025

Dopo quasi 25 anni dall’uscita del preziosissimo – oltre che gratuito, anche per uso commerciale – software FTK Imager, la società Exterro (che ha acquisito AccessData) ha fatto uscire la versione “Pro” che ne contiene le stesse caratteristiche ma con il supporto alla decifratura e all’acquisizione logica di dispositivi iOS.

L’idea che si legge sulla pagina ufficiale di FTK Imager Pro su Exterro è quella di espandere le capacità già solide della versione gratuita con funzioni più sofisticate, soprattutto per trattare prove cifrate, dispositivi mobili e per ridurre i tempi nelle attività forensi. Secondo Exterro, FTK Imager Pro “permette di evitare l’imaging completo del disco e visualizzare file decrittati istantaneamente, preservando la catena di custodia e accelerando le indagini.”

Caratteristiche e prezzo di FTK Imager PRO

Nella pagina del “coming soon” del negozio Exterro, sono elencate le caratteristiche chiave previste per la versione Pro:

acquisizione logica avanzata “Advanced Logical” da Smartphone Apple iOS (messaggi, foto, dati app, registri chiamate);
rilevamento di immagini cifrate e richiesta delle credenziali per decrittarle;
accesso “live” a dati decrittati direttamente dal dispositivo, senza dover necessariamente creare prima un’immagine cifrata completa.

Il prezzo indicato sul sito del negozio è 499 USD all’anno per utente, la licenza è legata al PC sul quale viene installato il software.

La versione gratuita di FTK Imager: cosa offre

Per comprendere il salto rappresentato da FTK Imager Pro, è utile ricordare le funzioni offerte dalla versione gratuita di FTK Imager:

Creazione di copia forense di hard disk o supporti di memoria nei formati standard (E01, AFF, RAW, ecc.);
Creazione di copie forensi di cartelle o singoli file tramite contenitori forensi in formato A01;
Anteprima di file e directory contenuti nelle immagini o nei dispositivi collegati;
Esportazione tramite di file e cartelle selezionati da immagini forensi (es file di registro, eventi, etc…);
Calcolo e verifica degli hash (MD5, SHA1, SHA256) per garantire l’integrità dei dati acquisiti;
Montaggio di immagini forensi come unità virtuali per ispezione.

Queste funzionalità rendono la versione gratuita uno strumento molto utile e robusto per attività di copia forense di base, prendando ovviamente limitazioni quando si devono trattare dati cifrati, dispositivi mobili o situazioni in cui non si vuole acquisire l’intero disco indiscriminatamente.

Confronto: la versione gratuita di FTK Imager vs FTK Imager Pro

Sul sito ufficiale viene fornita una ottima tabella di confronto tra la versione gratuita di FTK Imager vs FTK Imager Pro:

Da questo confronto tra le due versioni – FTK Imager free edition e FTK Imager PRO a pagamento – emerge chiaramente che la Pro punta a colmare le lacune più critiche della versione gratuita, specialmente nelle aree dell’encryption, dell’analisi “live” e del supporto a dispositivi mobili.

Punti strategici e vantaggi principali di FTK Imager Pro

Emergono dai documenti evidenti vantaggi della versione a pagamento di FTK Imager PRO, tra i quali:

1. Trattamento delle evidenze cifrate / crittografia

Uno dei punti di forza più citati per FTK Imager Pro è la capacità di rilevare immagini cifrate (come BitLocker, FileVault, e altre) e richiedere le credenziali per decrittarle, permettendo di visualizzare i dati senza dover prima creare un’immagine cifrata completa. Questo è particolarmente utile, poiché oggi molte installazioni operative – persino sistemi Windows moderni – adottano cifratura di default, e dover acquisire un’intera copia forense cifrata per poi scoprire che l’oggetto d’interesse è piccolo può essere inefficiente.

2. Preview / accesso live ai dati decrittati

Invece di dover acquisire e poi analizzare per intero un disco, Pro consente l’accesso immediato ai file decrittati dal dispositivo, riducendo in modo drastico i tempi iniziali delle indagini (il cosiddetto “triage”). Questa funzionalità permette un flusso operativo più agile: si può decidere cosa acquisire in modo selettivo, anziché “prendere tutto”.

3. Supporto migliorato per dispositivi mobili (iOS)

FTK Imager Pro integra una modalità di copia forense logica avanzata per i dispositivi iOS: acquisizione forense di foto, messaggi, dati delle app, registri delle chiamate e così via, con un’interfaccia guidata.

FTK Imager Pro e l'acquisizione forense logica di iOS

Questo riduce la necessità di strumenti esterni di mobile forensics per l’acquisizione forense di iOS, consolidando in un’unica interfaccia maggior parte dei processi iniziali di raccolta di dati da smarthpone Apple iPhone con iOS.

FTK Imager Pro e Acquisizione Forense di iPhone con iOS

La iOS Advanced Logical Collection di FTK Imager Pro sembra simile a una Advanced Logical tipica degli strumenti tradizionali di mobile forensics, basata su backup iTunes come Cellebrite UFED, MSAB XRY, Oxygen Forensics, Magnet Axiom e simili.

4. Efficienza e riduzione dei tempi

Con le funzioni pro di decrittazione “on the fly” e l’accesso live, Exterro afferma che gli operatori possono “chiudere casi più rapidamente e con meno sforzo”. In scenari reali, dove il tempo è cruciale (incident response, indagini penali, contenziosi), questa efficacia può essere strategica.

5. Mantenimento della catena di custodia

Nonostante l’accesso diretto ai dati decrittati, l’obiettivo è preservare i principi forensi, tracciando gli accessi e controllando che qualsiasi modifica non comprometta l’integrità dell’evidenza. Exterro sostiene che Pro mantiene la catena di custodia anche nelle operazioni più snelle.

6. Unificazione delle funzionalità

FTK Imager Pro combina più funzioni (imaging, decrittazione, raccolta mobile) in un solo tool “leggero”, evitando di dover passare tra più strumenti o moduli. Questo può semplificare la formazione del personale e ridurre l’errore operativo.

Potenziali svantaggi e limiti da considerare

Il prodotto pare molto interessante ma ci sono alcune criticità o limiti ancora da valutare:

Costo / modello di licenza
Pro sarà offerto con un abbonamento annuale (499 USD per utente) il che rappresenta un investimento più che percorribile anche per piccole strutture ma la licenza è legata al singolo dispositivo (PC, Workstation) e non pare essere disponibile versione con licenza su dongle.

Dipendenza da credenziali valide
Le capacità di decrittazione “on demand” funzionano solo se si dispone delle credenziali corrette. In assenza delle chiavi, l’accesso live potrebbe non essere possibile, costringendo comunque ad acquisizioni complete o brute force nel caso in cui non si disponga delle password.

Complessità e rischi operativi
L’accesso “live” ai dati può esporre a rischi di alterazione accidentale o manipolazione: anche se il tool si propone di preservare integrità e catena di custodia, l’operatore deve essere cauta/o e ben addestrata/o.

Limitazioni nelle analisi più avanzate

FTK Imager (in versione gratuita o Pro) non è un tool di analisi forense completa che possa essere utilizzato come strumento principale per una perizia informatica, per esempio, non è pensato per compiere analisi complesse su file cancellati, recuperi approfonditi, correlazioni, reportistica forense sofisticata. Per queste funzioni, esiste il “FTK Forensic Toolkit” (la suite completa) che integra motori di analisi, ricerche full-text, database, e reportistica avanzata così come altre soluzioni di produttori concorrenti come Intella, Nuix, Magnet Axiom, Belkasoft, etc…

Stabilità / maturità del prodotto

Essendo un prodotto d’informatica forense “nuovo” (o comunque di recente rilascio), potrebbero emergere bug, limitazioni nelle versioni iniziali, o mancanze rispetto a casi limite non previsti. Occorre valutare affidabilità, aggiornamenti e supporto nel tempo, dato che non molto tempo fa era emerso un problema con una versione di FTK Imager gratuita rilasciata e subito ritirata dal web.

Compatibilità e dipendenze ambientali

Potrebbero esserci limitazioni legate ai sistemi operativi, alle versioni dei file system cifrati, a nuove forme di cifratura emergenti che non siano inizialmente supportate, a modelli iOS non previsti, ecc.

Conclusioni

Nel complesso, il software FTK Imager Pro sembra un ottimo prodotto per eseguire perizie informatiche forensi su supporti digitali come hard disk, pendrive e ora anche smartphone Apple iPhone con iOS: valuteremo di aggiornare l’articolo in base a test o feedback una volta che ve ne saranno.

La truffa MiTM dei bonifici su falso IBAN – come funziona e come difendersi

forenser on 15 Giugno 2025

Il CEO Forenser Paolo Dal Checco ha collaborato insieme a Federico Lagni e all’Avv. Marco Cuniberti alla realizzazione di un video sulle truffe dei bonifici falsi e fraudolenti di tipo Man in The Mail (nota anche come “MiTM“), tramite le quali i criminali entrano in una casella di posta elettronica, sostituiscono l’IBAN di pagamento di una fattura e incassano il saldo pagato dal cliente al posto del venditore.

Non sempre l’attacco avviene su una casella di posta, ci sono casi nei quali semplicemente tramite “social engineering” i malfattori ingannano un soggetto (es. la segretaria di un’azienda, un cliente, etc…) convincendolo a fare un bonifico a uno specifico IBAN “taroccato” perché sotto il loro controllo.

Le Frodi sui Bonifici: Un’Analisi Tecnica e Giuridica

L’era digitale, se da un lato ha rivoluzionato il panorama dei pagamenti e delle transazioni, semplificando operazioni complesse, dall’altro ha creato nuove opportunità per la criminalità informatica. La vicenda di Marco, musicista professionista e cliente Tesla, che ha perso oltre 30.000 euro a seguito di una sofisticata truffa, rappresenta un caso emblematico. Questa storia offre una preziosa occasione per esaminare in profondità le vulnerabilità dei sistemi di pagamento e l’importanza di un approccio consapevole e proattivo alla sicurezza, spesso supportato da indagini di informatica forense.

La Cronistoria: Quando la Fiducia Incontra la Frode Digitale

La vicenda di Marco inizia in modo ordinario. Cliente soddisfatto di Tesla dal 2019, decide di acquistare un nuovo modello a fine gennaio, con permuta della sua auto e assegnazione del VIN, seguendo una procedura già sperimentata e ritenuta sicura. A febbraio riceve un’email che sembra provenire direttamente da Tesla, contenente la richiesta di pagamento e la fattura allegata, esattamente come accaduto in precedenza. Fidandosi della regolarità apparente del mittente (@tesla.com) e dei dati bancari inclusi nel PDF allegato, Marco effettua il bonifico di a febbraio tramite la sua app di home banking e riceve persino una conferma via email, tanto che gli viene fissata la data di consegna per marzo.

Truffa del bonifico con attacco MiTM durante acquisto di una Tesla

A marzo, però, l’amara sorpresa: Tesla lo contatta, comunicando che il bonifico non è mai pervenuto. Un’attenta verifica delle email rivela la cruda realtà: l’IBAN presente nel PDF allegato all’email era stato alterato. I fondi non erano finiti a Tesla Motors Italy, bensì su un conto intestato a una SRLS italiana in provincia di Roma. Marco si attiva immediatamente, denunciando l’accaduto all’ufficio frodi della sua banca, ai Carabinieri e alla Polizia Postale. La sua banca, tuttavia, comunica dopo circa quindici giorni che i fondi non sono recuperabili, poiché il conto ricevente era già vuoto, suggerendo un rapido dirottamento del denaro. Questa mancanza di tutela per i consumatori è particolarmente frustrante, soprattutto considerando che truffe simili erano già avvenute ai danni di Tesla in passato, nel Regno Unito nel 2019 e in Australia nel 2021. Marco nota con amarezza che le banche, ad oggi, non hanno l’obbligo di incrociare i dati dell’intestatario del conto con l’IBAN durante un bonifico, una lacuna che lo ha esposto a questo rischio.

Aspetti Tecnici: L’Intervento del “Man in the Mail” e la Necessità della Digital Forensics

La truffa subita da Marco è un esempio classico di attacco “man in the middle” o, più specificamente, “man in the mail”, talvolta nota come “BEC Scam”, “BEC Fraud”, “Business Email Compromise” o anche – con accezioni diverse – “CEO Fraud” o “CEO Scam” perché spesso tramite social engineering viene coinvolto il direttore di un’azienda.

Il CEO Forenser, Paolo Dal Checco, consulente informatico forense, ha fornito una dettagliata spiegazione del meccanismo sottostante la truffa dei bonifici su IBAN taroccato e falso, evidenziando come una perizia informatica ben strutturata e completa sia cruciale per districarsi nei meandri di tali frodi e identificare le responsabilità, in modo da poter ottenere giustizia in un’aula di Tribunale o in via stragiudiziale.

Fattura falsa con IBAN errato per la truffa dei bonifici fraudolenti

I criminali, in questi casi, riescono a violare la casella email della vittima, tipicamente tramite la webmail, acquisendo le credenziali attraverso tecniche come il “password reuse”, il “password stuffing”, il phishing o l’uso di malware. Una volta ottenuto l’accesso, gli attaccanti hanno monitorato il traffico email di Marco in tempo reale. Non appena è arrivata l’email legittima da Tesla con l’IBAN corretto, hanno agito con incredibile velocità: hanno cancellato l’email originale dalla posta in arrivo di Marco, l’hanno modificata via IMAP inserendo una fattura con l’IBAN fraudolento (e persino un QR code, non utilizzato da Tesla, che rimandava al conto del truffatore), e l’hanno ricaricata sempre tramite protocollo IMAP nella sua inbox. Questo processo, reso possibile dal protocollo IMAP che permette non solo di scaricare ma anche di ricaricare le email, è avvenuto così rapidamente che Marco non ha potuto accorgersi della sostituzione, non vivendo “con gli occhi incollati alla casella di posta” come ha riferito.

Fattura con falso IBAN modificato dai criminali nella truffa dei bonifici via email Man In The Mail

L’email contraffatta e con l’IBAN falso appariva indistinguibile dall’originale, mantenendo lo stesso mittente, destinatario, testo e layout. Un’analisi approfondita di digital forensics ha però rivelato che la mail modificata non presentava una firma DKIM valida e verificata e, soprattutto, mancava di il “Message ID” – una sorta di “targa” identificativa univoca per ogni email.

Gli attaccanti hanno intenzionalmente rimosso il Message ID per evitare che il client di posta o la webmail potessero rilevare anomalie e per far sì che il messaggio apparisse esattamente nella posizione desiderata. Questa tecnica si differenzia dal semplice “spoofing”, in quanto la modifica avviene su un’email legittima già transitata, eludendo i controlli antispam e antifishing iniziali.

La perizia informatica ha confermato che la casella di posta di Marco era stata compromessa, mentre l’account Tesla era invece sicuro e attendibile, tanto che sulla casella di Marco c’erano accessi da indirizzi IP non riconducibili a lui e tentativi di autenticazione falliti registrati nei log del provider.

Un ulteriore aspetto tecnico che emerge dalla analisi forense e OSINT con ricerche su fonti aperte è l’organizzazione sottostante alla frode: il conto corrente italiano su cui Marco ha bonificato i soldi era già attivo e pronto per essere utilizzato per scopi illeciti, evidenziando un livello di preparazione che va ben oltre la semplice compromissione di un account email.

Aspetti Giuridici e Responsabilità Condivise: Le Sfide Legali delle Frodi Informatiche

La vicenda di Marco solleva interrogativi cruciali in merito alle responsabilità legali di diversi attori coinvolti in un’ottica di prevenzione e gestione delle frodi che spesso richiedono l’intervento di informatica forense per la ricostruzione dei fatti:

Le Banche: L’attuale quadro normativo non obbliga le banche a verificare la corrispondenza tra il nome del beneficiario e l’IBAN. Tuttavia, il nuovo regolamento europeo 2024/886, in vigore dal 9 ottobre 2025, imporrà alle banche di notificare il pagatore in caso di mancata corrispondenza, una misura che avrebbe potuto prevenire il danno a Marco. L’avvocato Marco Coniberti sottolinea che il livello di diligenza richiesto a una banca è elevato, data la natura del servizio. Inoltre, l’apertura di un conto a nome di un’azienda all’insaputa di quest’ultima, o con documenti falsi, implicherebbe una responsabilità diretta della banca per aver violato le misure di sicurezza.
I Provider di Servizi Email: Nonostante i provider dispongano di log che registrano tentativi di accesso falliti o accessi da IP insoliti – dati cruciali per una perizia informatica – nel caso di Marco non sono stati inviati alert o notifiche che avrebbero potuto indurlo a cambiare la password. Questa omissione è considerata una negligenza, poiché si prevede che i provider, nel 2025, dispongano di strumenti avanzati per rilevare anomalie.
Le Aziende (es. Tesla): L’utilizzo dell’email per veicolare informazioni di pagamento così sensibili è intrinsecamente rischioso, dato che la posta elettronica è definita uno “strumento estremamente insicuro per natura”. Sebbene la fatturazione elettronica e il “cassetto fiscale” offrano un livello di sicurezza superiore, l’abitudine di inviare “copie di cortesia” in PDF ne vanifica spesso il vantaggio, poiché tali copie sono facilmente modificabili. Un’azienda dovrebbe promuovere la compilazione dei campi IBAN nelle fatture elettroniche e, in alcuni contesti, persino scoraggiare la fornitura di copie di cortesia via email per mitigare i rischi.
L’Utente (la vittima): Sebbene le truffe siano sempre più sofisticate, all’utente finale è richiesto di adottare precauzioni. Tra le misure preventive essenziali vi sono l’attivazione dell’autenticazione a due fattori (2FA) per la propria casella email, che rende l’accesso molto più difficile anche in caso di furto di password. È inoltre fondamentale verificare sempre l’IBAN per importi consistenti o in caso di modifiche sospette, contattando il fornitore tramite un canale di comunicazione alternativo e fidato, come il telefono o WhatsApp. La pratica dimostra che queste frodi sono “molto più spesso di quello che sembra”, e la testimonianza di Marco è preziosa per aumentare la consapevolezza collettiva.

La storia di Marco e della truffa dei bonifici su IBAN sostituito nella fattura inviata via email – raccontata insieme all’Avv. Marco Pierobon e all’informatico forense Paolo Dal Checco nell’intervista di Federico Lagni – è un esempio lampante di come la sicurezza informatica sia una responsabilità condivisa e di come l’informazione, la prevenzione e, laddove necessario, la perizia informatica forense successiva al danno siano le armi più potenti contro le frodi.

Nonostante l’entità del danno economico subito, la sua testimonianza contribuisce a spingere verso un sistema più sicuro e tutele maggiori per i consumatori, auspicando che esperienze così traumatiche possano essere evitate o almeno attenuate in futuro.

Paolo Dal Checco Consulente Informatico de Le Iene nel servizio su SPID

forenser on 10 Giugno 2025

IL CEO Forenser, Paolo Dal Checco, ha nuovamente collaborato come consulente informatico per Le Iene, questa volta al servizio di Luigi Pelazza nel pezzo andato in onda il 3 giugno 2025 su Italia Uno e intitolato “Usi lo SPID? Occhio alla Truffa”. Un’inchiesta che ha messo in luce una vulnerabilità critica che riguarda gli italiani e la loro identità digitale basata, tra le altre cose, sul sistema SPID, Sistema Pubblico d’Itentità Digitale.

Truffa del Doppio SPID per Le Iene con Luigi Pelazza e Paolo Dal Checco

Lo SPID è ormai indispensabile per un’ampia gamma di servizi: scaricare certificati, pagare le tasse, prenotare visite mediche, iscrivere i bimbi a scuola e persino ricevere la pensione o l’assegno universale per i figli. Purtroppo, proprio la sua centralità lo rende un bersaglio primario per i criminali, che lo utilizzano per compiere truffe basate sul fatto che è possibile creare un clone di uno SPID senza che il soggetto cui è intestato lo venga a sapere, anche se ha un altro account SPID configurato.

Durante il servizio al quale il Dr. Paolo Dal Checco, CEO Forenser, ha partecipato come consulente informatico de Le Iene vengono esplorati grazie all’abile conduzione della iena Luigi Pelazza casi sconcertanti, come quello di Mario, che si è ritrovato il suo cassetto fiscale completamente svuotato: un credito d’imposta di 800.000 euro è sparito nel nulla.

Paolo Dal Checco – Consulente Informatico per Le Iene nel servizio di Luigi Pelazza

La cosa più allarmante che emerge dal servizio in cui Paolo Dal Checco ha prestato servizio in qualità di consulente informatico forense per Le Iene è che gli accessi fraudolenti sono avvenuti tramite uno SPID intestato alla vittima, ma non quello originale attivato nel 2020. Incredibilmente, dagli atti delle indagini svolte, risulta che altri tre SPID clone sono stati creati utilizzando i suoi documenti, senza che Mario ricevesse alcuna notifica via email o cellulare.

Questa frode informatica ha evidenziato una grave criticità: non esiste un database generale e unico che monitori tutte le attivazioni SPID. Di conseguenza, nonostante denunce ripetute alla Guardia di Finanza e alla Polizia Postale, le attività fraudolente non si sono fermate, con accessi continui alle società che Mario rappresenta e manipolazione di crediti fiscali, inclusi quelli per il sisma bonus. L’Agenzia delle Entrate, in questi casi, sembra non essere in grado di monitorare autonomamente e deve essere avvisata dalla persona che ha subito il problema.

La “truffa del doppio SPID” o dello SPID clonato ha già colpito – come frode informatica – migliaia di persone, dai beneficiari di bonus ristrutturazioni a quelli che aspettavano la tredicesima e persino molti studenti che si sono visti sottrarre i 500€ della carta cultura.

La base di tutto è che i truffatori devono riuscire ad acquisire i nostri documenti per poter registrare uno SPID a nostro nome e lo fanno in diversi modi: prelevandoli nel dark web, ottenendoli tramite phishing, rubandoli dalla nostra casella di posta elettronica nel momento in cui riescono ad entrare tramite accesso abusivo se non la proteggiamo a sufficienza.

Una delle caratteristiche più problematiche di questo sistema è che non si viene avvisati se qualcuno attiva uno SPID a nostro nome. Sebbene l’AGID (Agenzia per l’Italia Digitale) supervisioni i 12 fornitori di SPID e abbia multato alcune società per aver accettato documenti falsi o usato sistemi di identificazione non autorizzati, la frammentazione del sistema rende difficile una visione d’insieme utile a rilevare correlazioni tra identità sospette. La possibilità di avere più SPID, nata da una concezione tecnica ormai superata, persiste, sebbene lo SPID stia per essere sostituito dal wallet europeo entro un anno, che servirà anche per comprare biglietti aerei o fare contratti all’estero.

Qui trovate un elenco dei contatti dei 12 provider SPID accreditati in Italia (si ringrazia Matteo Flora che, nel suo video Youtube, ha illustrato abilmente il problema producendo anche un elenco d’indirizzi da contattare):

Intesi Group – spid@intesigroup.com (da elenco soggetti accreditati AGID)
Infocamere – protocollo@pec.infocamere.it (da elenco soggetti accreditati AGID)
TeamSystem – teamsystemgroup@pecteamsystem.com (da elenco soggetti accreditati AGID)
TIM – supportotimid@telecomitalia.it (da contatti portale SPID)
SpidItalia – gestoreidp@pec.register.it (da elenco soggetti accreditati AGID)
Sielte – spid@sielte.it (da contatti portale SPID)
PosteId – centroserviziprivacy@posteitaliane.it (da Privacy Policy, non presente né su SPID né su portale AGID)
Namiral – supportospid@namirial.com (da contatti portale SPID)
Lepida – lepidaid@pec.lepida.it (da elenco soggetti accreditati AGID)
InfoCert – infocert@legalmail.it(da elenco soggetti accreditati AGID)
Aruba – direzione.ca@arubapec.it (da elenco soggetti accreditati AGID)
EtnaId – dpo@eht.eu (da Privacy Policy, non presente né su SPID né su AGID)

Il Dr. Paolo Dal Checco – e con lui lo Studio d’Informatica Forense Forenser – viene spesso chiamato come CTP informatico a difesa delle vittime delle truffe, spesso basate su furto dello SPID o dei documenti d’identità, con l’incarico di produrre una perizia informatica che attesti quanto accaduto e le responsabilità dei vari attori. È quindi importante tenere al sicuro i propri documenti per evitare di cadere vittima della frode informatica: la vigilanza è l’unica difesa in un panorama digitale in continua evoluzione.

Ci auspichiamo che questo servizio dove il CEO Forenser Paolo Dal Checco ha supportato Le Iene come Consulente Informatico Forense possa aumentare la consapevolezza su questi rischi e spingere verso soluzioni più sicure per la nostra identità digitale.

Consulente Informatico per Le Iene nel Servizio sulle Truffe

forenser on 1 Giugno 2025

Martedì 27 maggio 2025 il CEO Forenser Paolo Dal Checco ha nuovamente collaborato – come consulente informatico forense per Le Iene – a un servizio TV andato in onda su Mediaset durante la trasmissione “Le Iene” che mette in guardia le potenziali vittime dalle nuove truffe che arrivano tramite smartphone.

Paolo Dal Checco, Consulente Informatico per Le Iene

Supportando Le Iene in qualità di Consulente Informatico, il CEO Forenser Paolo Dal Checco ha illustrato alcune caratteristiche tecniche che contraddistinguono le 5 nuove truffe raccontate nel servizio TV della iena Matteo Viviani, spiegando anche ove possibile quali contromisure possono essere utilizzate per evitare di cadere vittima dei raggiri.

Le 5 truffe che arrivano via smartphone, raccontate nel servizio dove il CEO Paolo Dal Checco ha partecipato in qualità di consulente informatico per Le Iene sono le seguenti:

1. La truffa “task scam” dei like e delle recensioni facili

Questa truffa inizia con un contatto, spesso tramite telefono, che propone un’offerta di lavoro dopo aver presumibilmente ricevuto un curriculum. L’obiettivo dei truffatori è spostare la conversazione su WhatsApp. Qui, vengono proposti “lavoretti facili” da fare da casa. La vittima viene introdotta a una piattaforma dove, tramite un semplice tasto, può rilasciare recensioni positive su vari prodotti per “accattivare” i clienti. Viene descritto come “il lavoro più facile del mondo”: si clicca “like” su un sito web e compare in automatico un commento positivo.

La fregatura emerge presto. Il sistema richiede di caricare denaro per guadagnare. Ad esempio, caricando €10 si guadagnano €30 tramite le recensioni. Dopo un po’, i prodotti “normali” finiscono, e per continuare a mettere like e recensioni false, bisogna comprare pacchetti speciali. La vittima, pur potendo intuire la truffa, viene abbindolata e carica i soldi. In un caso, una vittima ha caricato €70 e ha ricevuto un bonifico di €160 come “prova” che funzionava. I pagamenti o i guadagni spesso passano per le criptovalute. I truffatori fanno scaricare app di criptovalute che controllano loro, o inviano criptovalute false. Una volta che la vittima è “ingolosita”, la posta in gioco viene alzata. La vittima nell’esempio ha caricato €320 per un secondo pacchetto, ma le sono stati chiesti altri €1700 per sbloccare un guadagno promesso di €10.000.

A questo punto, spesso la vittima inizia a insospettirsi, riconoscendo che guadagnare €70 in pochi giorni è credibile, ma pagare €1700 per ottenerne €10.000 non lo è. I truffatori comunicano solo per messaggio, dicendo che le chiamate sono proibite durante l’orario di lavoro. I numeri usati sono spesso stranieri, anche se alcuni possono sembrare italiani. Se la vittima prova a chiamare o a chiedere chiarimenti, la chat viene bloccata e i truffatori spariscono con i soldi. Ci si può difendere prestando attenzione a offerte “troppo belle per essere vere”, contatti da numeri esteri e all’uso di criptomonete. È utile verificare da quanto tempo esiste un sito web e lo si può fare semplicemente tramite siti di Whois come Whois di Domain Tools o Who.is.

2. La truffa del cane smarrito e ritrovato

Questa truffa colpisce chi ha smarrito un animale domestico, come un cane o un gatto. I truffatori cercano annunci di smarrimento che contengono molti dettagli personali, come la zona di residenza e il nome e la descrizione dell’animale. Ti chiamano, a volte in orari insoliti, da un numero sconosciuto. Dall’altra parte, con una voce arrogante, sostengono che hai abbandonato il tuo animale, usando il nome corretto dell’animale.

Successivamente, chiedono una somma di denaro, anche elevata (nell’esempio, €4000), per restituire l’animale. Giustificano l’importo citando leggi più severe sull’abbandono degli animali, che prevedono multe salate (fino a €10.000) e persino il carcere. Nell’esempio riportato, la truffa non è andata a buon fine perché l’annuncio che i truffatori avevano visto era vecchio, e il cane era già tornato a casa nel frattempo. La vittima ha capito subito la frode. Nonostante ciò, questa truffa sfrutta l’amore dei padroni per i loro animali, spingendoli potenzialmente a pagare pur di riaverli.

3. La truffa dell’emergenza IT-Alert falsa

Una truffa particolarmente cinica sfrutta la paura legata ai disastri naturali, come alluvioni, terremoti o eruzioni vulcaniche, che colpiscono diverse aree in Italia. I criminali inviano un SMS che appare come un messaggio di emergenza autentico “!”IT-Alert”, come quelli che abbiamo tutti ricevuto mesi fa nelle fasi di test del protocollo ItAlert. Questo messaggio che si finge IT Alert contiene un link: cliccando sul link, si viene reindirizzati a un sito web dove viene richiesto di scaricare un’applicazione, ad esempio – per Android – in formato Apk.

Questa applicazione scaricata è in realtà un malware. Una volta installata, l’app prende il controllo del telefono. Inizia a spiare le tue attività, rubare le password, e può persino attivare la telecamera e l’audio del dispositivo. Un rischio enorme riguarda le app bancarie: il malware può utilizzare i dati biometrici salvati sul telefono (come l’impronta digitale o il riconoscimento facciale) per autenticare operazioni bancarie come bonifici o ricariche. In sostanza, il malware può svuotare il conto corrente. Una volta che il malware prende possesso del telefono e inizia ad autenticare operazioni al posto tuo, si è “finiti”.

5. La truffa della votazione per il concorso della nipotina

Arriva un messaggio, spesso dal numero di un contatto o un amico. Il messaggio chiede un semplice favore, come “Ciao, puoi votare per mia figlia o nipote per una borsa di studio importante oppure un concorso di danza o bellezza?” e contiene un link. Cliccando sul link si accede a una pagina dove si vota tra due candidate cliccando sulla foto.

Per poter votare, compare una richiesta di inserire il numero di telefono per l’autenticazione. Dopo aver inserito il numero, si riceve un messaggio (tipicamente via WhatsApp) che richiede una “autorizzazione rapida e semplice via WhatsApp” e fornisce un codice. Questo processo replica quello per attivare WhatsApp sul computer (WhatsApp Web/Desktop). Inserendo il codice ricevuto nell’apposito campo, si autorizza il dispositivo dei truffatori ad accedere al proprio account WhatsApp. In pochi secondi, la tua chat appare sul loro computer.

A quel punto, i truffatori ottengono i tuoi contatti e altre informazioni che riescono a prelevare. Possono quindi mandare messaggi ai tuoi contatti e nei gruppi di cui fai parte per perpetuare la stessa truffa. Prendono il controllo del tuo account WhatsApp, tagliandoti fuori. Iniziano a usare il tuo account per fare truffe a nome tuo, rendendoti inconsapevolmente un loro “collaboratore”.

5. La truffa della vendita online sui siti di compravendita usato

Questa truffa prende di mira le persone che vendono oggetti su piattaforme online. Il processo inizia normalmente: metti in vendita un oggetto, ricevi una proposta di acquisto e accetti. Le comunicazioni iniziali dalla piattaforma (es. Subito) sono reali, confermando l’affare e dicendo di attendere il pagamento.

La truffa inizia con un messaggio che sembra autentico e provenire dalla piattaforma. Questo messaggio dice “Per sbloccare il pagamento clicca qui”. Cliccando il link si apre una pagina che è una copia identica alla tua pagina dell’offerta, completa di brand, foto dell’oggetto venduto e importo. Sulla pagina, un messaggio indica che il pagamento è “bloccato per motivi di sicurezza” e chiede di cliccare per sbloccarlo. Questa pagina viene clonata molto velocemente dopo che l’oggetto è stato messo in vendita, anche solo 10 minuti dopo. Cliccando sul bottone per “sbloccare il pagamento”, viene richiesto di “inserire i dati della tua carta di credito per poter effettuare la transazione”. Questo è il momento cruciale in cui si dovrebbe avere il sospetto. Fornire i dati della carta di credito permetterebbe ai truffatori di accedere ai fondi. La truffa è considerata “furba”. È stato segnalato che anche le piattaforme stesse potrebbero non essere a conoscenza di questa specifica modalità di frode. Le comunicazioni di pagamento reali da parte delle piattaforme dovrebbero generalmente arrivare via email con un link.

Il CEO Forenser Paolo Dal Checco come consulente tecnico per Le Iene

Questo servizio TV per Le Iene prosegue un ciclo di servizi dove il CEO Forenser Srl Paolo Dal Checco, in qualità di Consulente Tecnico de Le Iene, ha dato il suo contributo per chiarire gli aspetti tecnici delle frodi informatiche e fornire alcuni spunti per difendersi. L’attività di consulente tecnico per Le Iene, nei servizi nei quali viene coinvolto, è un modo di aiutare le persone a proteggersi dalle truffe, dagli attacchi informatici, dai raggiri e dalle minacce aumentando la consapevolezza del pubblico circa le questioni tecniche che sottendono a questo tipo di minacce.

Confidiamo infatti che, anche grazie ai Servizi TV de Le Iene, le persone possano conoscere in anticipo le mosse dei truffatori ed evitare di essere truffate, dato che la miglior difesa è proprio la consapevolezza, la conoscenza, il “farsi trovare pronti” nel momento in cui verremo contattati via SMS o Whatsapp da potenziali truffatori che tenteranno di farci inserire codici, installare applicazioni, accettare lavori, investire in criptomonete o trading con promesse di facili guadagni o a volte ricatti o estorsioni.

Il Consulente Tecnico de Le Iene Paolo Dal Checco

Le indicazioni fornite da Paolo Dal Checco in risposta alle domande della Iena Matteo Viviani, quale Consulente Tecnico de Le Iene nel servizio sulle 5 truffe al cellulare, possono infatti essere utilizzate per difendersi dalle frodi online e non solo, per quanto ribadiamo che la prima difesa è la consapevolezza e l’attenzione alle comunicazioni che giungono da parte di chi ci chiede soldi, dati o di agire con urgenza, proponendo in genere offerte “too good to be true”, cioè troppo belle per essere vere.

Cosa fare si si è vittima di truffa o frode informatica

Purtroppo è frequente che le persone cadano vittima di questo tipo di truffe e richiedano poi al consulente informatico forense una perizia informatica per poter ricostruire quanto effettivamente accaduto e far valere i propri diritti tramite una querela o una causa in Procura o Tribunale, eventualmente acquisendo tramite copia forense le prove informatiche che testimoniano quanto effettivamente accaduto.

Ovviamente è importante rivolgersi innanzitutto all’Autorità Giudiziaria, ad esempio passando dalle Forze dell’Ordine come la Polizia Postale ma non solo, anche i Carabinieri, Guardia di Finanza o in generale la Procura della Repubblica possono accettare querele o esposti.

Un buon avvocato è altresì strategico per potersi tutelare, consigliamo di scegliere avvocati e studi legali che abbiano pratica nel mondo della informatica forense e nei reati informatici, così che possano comprendere le questioni legate alle prove digitali, all’importanza di una copia forense delle evidenze digitali e sappiano gestire cause basate sul mondo digitale.

Un suggerimento che possiamo dare a chi fosse caduto vittima di queste truffe è procedere immediatamente – in autonomia o con l’ausilio di un perito forense – con acquisizione forense delle prove digitali che testimoniano l’evento e possano ricondurre all’attribuzione dell’autore. Le prove digitali sono infatti uno dei requisiti essenziali per procedere poi con una denuncia/querela in Procura, presso i Carabinieri, Polizia Postale, Guardia di Finanza o Polizia Giudiziaria oppure con una causa civile in Tribunale per risarcimento danni, ricorso, ATP, descrizione, citazione in Giudizio.

Recupero di messaggi WhatsApp eliminati tramite Msgstore Increment

forenser on 31 Marzo 2025

Recentemente, durante l’analisi di uno smartphone Android, è stato necessario recuperare dei messaggi cancellati appartenenti ad una chat eliminata dall’applicazione di WhatsApp. Fino a poco tempo fa anche effettuando un’analisi tramite software professionali quali Cellebrite UFED, Oxygen Forensic Detective e Magnet Axiom, non era possibile recuperare tale chat poiché eliminata prima del suo inserimento all’interno del classico backup periodico locale del database “msgstore.db” e quindi non visibile con le metodologie standard di recupero dati.

Di recente la funzionalità di recupero delle chat non presenti nei backup periodici è stata aggiunta ai software di mobile forensics, ma riteniamo utile illustrare in dettaglio come era possibile anche prima dell’aggiunta – e lo è tuttora – procedere manualmente con l’ispezione dei file relativi all’applicazione di WhatsApp e recuperare chat cancellate.

Nello specifico, illustreremo come recuperare una porzione della chat – non presenti nel DB o nei backup tradizionali – grazie all’analisi di un altro file di backup, incrementale e non completo: il “msgstore-increment.db“.

Cos’è il msgstore-increment.db e a cosa serve?

L’applicazione di WhatsApp, quando installata su dispositivi Android, effettua dei backup periodici del database principale “msgstore.db”, contenente tutte le informazioni correlate all’account di WhatsApp, inclusi i messaggi.

Purtroppo, la creazione dei backup e la loro gestione, in alcuni casi, può risultare difficoltosa da parte dell’applicazione soprattutto in situazione in cui i dati gestiti risultano essere centinaia di MB se non GB. Per questo motivo, per minimizzare la perdita dei dati e ottimizzare la gestione della memoria sul dispositivo, WhatsApp esegue dei backup incrementali, tra ogni backup completo, dentro i quali vengono salvati solo i cambiamenti avvenuti nell’applicazione: ad esempio, se il giorno successivo al backup completo vengono inviati cento messaggi, essi vengono inclusi all’interno del backup incrementale eseguito per quel giorno.

Questo significa che, se in seguito alla creazione del backup completo vengono inviati cento messaggi e poi cancellati, essi possono essere recuperati dal backup incrementale, ammesso che non siano stati eliminati prima della sua creazione.

A oggi, software professionali come Cellebrite UFED o Oxygen Forensics supportano il parsing del backup incrementale msgstore-increment, ma fino a pochi mesi fa era una funzionalità probabilmente ancora in lavorazione, dato che è comparsa di recente. Di conseguenza, per tentare il recupero dei messaggi eliminati, in passato, è stato necessario comprendere le logiche alla base di questo tipo di dato e creare uno script in grado di automatizzare l’estrazione di eventuali messaggi cancellati, ma ancora presenti nell’increment, mentre oggi chi ha a disposizione software professionali può eseguire il recupero direttamente tramite le funzionalità interne.

Come funziona e come si estraggono i dati dall’archivio msgstore-increment.db?

Il primo passo è stato quello di approfondire il funzionamento del backup incrementale, avendo prima replicato uno scenario in cui questa funzionalità ha generato degli increment. Tramite l’analisi dei dati generati dall’applicazione WhatsApp, sono stati individuati e analizzati diversi file denominati “msgstore-increment.db.crypt14”, ovvero archivi compressi e cifrati. Tali archivi sono stati decifrati attraverso l’utilizzo dello strumento “wa-crypt-tools” (https://github.com/ElDavoo/wa-crypt-tools) e, successivamente, decompressi, ottenendo file strutturati in formato JSON e un file binario denominato “messages.bin”.

Contenuto dell’archivio msgstore-increment.db.crypt14, backup incrementale

Tra i file in JSON ne è presente uno chiamato “header.json” dentro il quale sono contenute informazioni utili, relative agli altri file presenti nella cartella, compreso “messages.bin”. Inoltre, dall’analisi effettuata sul file binario, è stato possibile determinare il formato utilizzato per la codifica dei dati, ovvero il protocollo protobuf.

Protobuf è un formato di serializzazione dati sviluppato da Google e viene spesso utilizzato nella trasmissione delle informazioni tra applicazioni o per la memorizzazione di dati in un formato binario poiché risulta essere più leggero e performante rispetto a JSON o XML.

Il funzionamento è relativamente semplice, è necessario definire la struttura dei dati tramite la creazione di un file “.proto” e utilizzare un compilatore per la creazione di uno script in grado di codificare i dati basandosi, appunto, sul protocollo definito. Di seguito un esempio di definizione del protocollo:

Esempio di definizione per protobuf

In questo caso, uno script basato su tale definizione sarà in grado di creare un file binario contenente i dati “nome” ed “eta” riportati nel file protobuf.

Nell’applicazione di WhatsApp avviene la stessa cosa: il file binario “messages.bin” viene creato da una porzione di codice contenuta nell’applicazione ed è basato su un file “proto” dentro la quale è definita la struttura dei messaggi e delle conversazioni.

Inoltre, il file binario “messages.bin” viene strutturato con una o più porzioni del dato binario codificato con protobuf, tali porzioni vengono definiti anche segmenti o “length-delimited” (https://protobuf.dev/programming-guides/encoding/#length-types). Pertanto, per leggere il contenuto del file è prima necessario separare i vari segmenti e successivamente procedere con la lettura.

Rappresentazione dei segmenti contenuti nel file messages.bin

Per la separazione di ogni singolo segmento presente nel file “messages.bin” abbiamo creato uno script in python, che mettiamo a disposizione sulla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder/blob/main/splitter.py), in grado di leggere il file “messages.bin” e creare diversi file binari ognuno contenente il dato (segmento) protobuf da leggere.

Successivamente, per la lettura di ogni singolo file, abbiamo utilizzato il tool “protobuf inspector” (https://github.com/mildsunrise/protobuf-inspector), uno script in grado di leggere un file binario codificato con protobuf:

Output del tool protobuf_inspector

Nonostante sia stato possibile estrapolare i vari messaggi contenuti nei segmenti, essi sono risultati un’aggregazione di dati “anonimi”. Sebbene alcuni dei dati ottenuti dall’estrazione della chat contengano campi con un significato intuitivo, come il testo del messaggio o il timestamp, altri sono risultati ignoti rendendo di conseguenza difficoltoso stabilirne il significato reale. Questo accade poiché noi non siamo in possesso della definizione del protocollo “proto” utilizzato da Meta e in grado di leggere correttamente i dati contenuti nel file binario.

Ciononostante, in rete, sono presenti diversi progetti di reverse engineering aventi oggetto la definizione del protocollo impiegato su WhatsApp, incluso quello del repository GitHub Wa-Proto (https://github.com/wppconnect-team/wa-proto) effettuato sulla versione web del software. Successivamente, provando ad adattare la loro definizione per il nostro scopo, siamo riusciti a decodificare correttamente l’intero contenuto del file binario “messages.bin” ottenendo tutti i dati in chiaro con il loro relativo significato.

A questo punto, è stato semplice creare uno script in grado di generare un file CSV contenente tutti i messaggi presenti nel file binario, indicando il caso in cui un messaggio risultasse essere stato eliminato. Si noti che sono stati effettuati alcuni test che hanno considerato anche i media (immagini, video, etc.) e in alcuni casi nella cartella decifrata e decompressa relativa all’increment è presente il folder “messages.bin” contenente miniature di immagini eliminate (successivi aggiornamenti saranno orientati a verificare in che misura è possibile recupera media o tracce di essi).

Proof of Concept di decifratura e analisi del msgstore-increment.db

Innanzitutto, è stato riprodotto lo scenario: abbiamo inizializzato una nuova chat, utilizzandola per qualche giorno per poi infine eliminarla, evitando che fosse memorizzata nel backup “msgstore.db”. Grazie a questa riproduzione, sebbene i messaggi della chat non siano stati inclusi nel backup settimanale, sono comunque stati inseriti nel backup incrementale giornaliero.

Nell’immagine seguente viene riportata un’illustrazione dello scenario riprodotto. Nello specifico è possibile vedere come il backup principale venga creato alle ore 02:00 AM del 10/01, successivamente alle ore 01:35 PM dello stesso giorno viene creata una conversazione con ID 123 che sarà inclusa nel backup incrementale alle ore 02:00 AM del 11/01. Infine, alle ore 04:00 PM del giorno 11/01 la chat con ID 123, viene eliminata (ma risulta ancora presente nel backup incrementale creato precedentemente):

Timeline dello scenario di riferimento

Successivamente, sono stati estratti i backup incrementali dal dispositivo Android, solitamente contenuti nella directory “/data/media/0/Android/media/com.whatsapp/WhatsApp/Databases/” e opportunamente decriptati tramite l’apposita chiave di cifratura, ottenendo così i seguenti file:

msgstore-increment-1-2025-01-16.1.db;
msgstore-increment-2-2025-01-16.1.db;
msgstore-increment-3-2025-01-16.1.db;
msgstore-increment-4-2025-01-16.1.db.

I vari backup sono stati inseriti tutti all’interno della stessa cartella e in seguito è stato eseguito lo script da noi creato per il recupero dei messaggi, il quale ha generato un file CSV contenente la lista di tutti i messaggi estratti:

Generazione del file CSV contenente i messaggi recuperati

Conclusioni

Grazie ad un approfondimento sulla gestione dei backup nell’applicazione di WhatsApp per dispositivi Android, siamo riusciti a comprendere come essi vengono strutturati tramite il concetto di backup incrementali. L’analisi ci ha portato alla creazione di un piccolo tool, scritto in python, in grado di estrarre in modo strutturato i messaggi dal backup incrementale “msgstore-increment.db” in modo efficiente, con dettagli di rilievo come il timestamp e senza bisogno di utilizzare altri strumenti.

La funzionalità dei backup incrementali permette il recupero di messaggi eliminati tra la creazione di un backup integrale, locale, “msgstore.db.crypt14” e un altro, quindi non recuperabili tramte le tradizionali tecniche di analisi forense e undelete dal DB sqlite o dai backup.

Per chi volesse sperimentare o provare l’estrazione di questi messaggi, lasciamo qui di seguito il link dello script scaricabile dalla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder).

GPT personalizzati su informatica forense e digital forensics

forenser on 20 Marzo 2025

Per chi fosse nteressato all’uso della IA in ambito informatica forense, segnaliamo tre GPT personalizzati e custom creati da utenti esterni su ChatGPT utilizzabili da chiunque, configurati per fornire supporto su argomenti che riguardano la digital forensics e la perizia informatica.

Nei repository pubblici di GPT sono presenti decine di custom GPT in tema digital forensics, non conosciamo gli sviluppatori e quindi non possiamo garantire sulla qualità, considerato però che la parte iniziale del dialogo con l’IA può essere proprio orientata a capire su che basi sono stati configurati i bot, con quali documenti, tramite quali indicazioni operative, limiti e vincoli, così da valutare l’ambito di applicazione di ogni GPT.

1) https://chatgpt.com/g/g-g4xE4lNk0-digital-forensics-ita

GPT italiano che rappresenta – tramite l’intelligenza artificiale – un esperto digitale in Informatica Forense che applica normativa italiana in Mobile, Computer, Cloud e Network Forensics e con specializzazione su:

✔ Acquisizione e analisi forense di dati da computer, dispositivi mobili, reti e cloud.
✔ Identificazione di violazioni di dati e analisi di eventuali compromissioni.
✔ Utilizzo di strumenti forensi (come EnCase, FTK, Cellebrite, Autopsy) e tecniche di scripting per analisi avanzate.
✔ Supporto legale e conformità alla normativa italiana sulla digital forensics.
✔ Redazione di report forensi validi in tribunale.

2) https://chatgpt.com/g/g-H1VZzHBSK-digital-forensics-advanced-specialist

GPT custom in inglese personalizzato sulla Digital Forensics, progettato su ChatGPT per supportare chi esegue perizie informatiche tramite intelligenza artificiale esperti nell’analisi forense di dispositivi digitali, tra cui smartphone, tablet, droni e altri dispositivi elettronici. È basato su una vasta raccolta di manuali e guide forensi, coprendo strumenti come Cellebrite Physical Analyzer, Oxygen Forensic Suite, Magnet AXIOM, Exterro FTK, e altri, specializzato su:

✔ Estrazione e analisi dei dati da dispositivi mobili, computer e droni.
✔ Recupero dati e prove digitali, incluse cronologie di navigazione, dati eliminati e registri di sistema.
✔ Utilizzo di strumenti forensi per acquisizione e analisi, con procedure e best practice.
✔ Principi di sicurezza e gestione delle prove digitali, fondamentali per garantire l’integrità e l’ammissibilità delle prove.

3) https://chatgpt.com/g/g-66mvwhTqv-dfir-digital-forensics-and-incident-response

Custom GPT specializzato in supporto alla perizia informatica mediante AI personalizzato su Digital Forensics e Incident Response (DFIR), ovvero l’analisi forense digitale e la risposta agli incidenti di sicurezza informatica, in particolare utile per:

✔ Analisi forense digitale – Raccolta ed esame di prove digitali da dispositivi come computer, smartphone e reti.
✔ Risposta agli incidenti – Strategie per identificare, contenere e mitigare minacce informatiche come malware, attacchi ransomware o data breach.
✔ Recupero di dati e tracce digitali – Tecniche per estrarre informazioni da hard disk, memorie volatili, file cancellati e log di sistema.
✔ Threat hunting e analisi malware – Identificazione di comportamenti sospetti e analisi di codice dannoso.
✔ Best practice di sicurezza – Consigli su come proteggere sistemi e dati da attacchi informatici.

Ci sono decine di GPT negli archivi ChatGPT sull’argomento informatica forense e perizie informatiche che possono fornire supporto agli analisti grazie all’intelligenza artificiale: ne abbiamo segnalati tre tra quelli con maggiori feedback e consigliamo ovviamente di non caricare documenti riservati né fidarsi ciecamente di ciò che produce l’AI ma può talvolta essere utile – quantomeno dal punto di vista tecnico e giuridico – per trovare suggerimenti, idee o spunti.

Sicurezza e strategie di difesa al National Security Hub 2024 a Roma

forenser on 1 Dicembre 2024

Martedì 3 dicembre si terrà a Palazzo Wedekind, in Piazza Colonna, 366 a Roma, la seconda edizione del National Security Hub, Forum durante la quale si parlerà d’infrastrutture critiche e strategiche, sicurezza e resilienza, responsabilità etica dell’uso energetico nei data center e nella gestione dei dati, attacchi di precisione nelle
aziende e nella pubblica amministrazione.

L’evento, moderato da Barbara Carfagna, verterà su tre tematiche fondamentali:

Sicurezza energetica e protezione delle infrastrutture critiche
Data center e responsabilità etica nella gestione dei dati e dell’energia
Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Per partecipare al Forum “National Security Hub” che si terrà a Roma il 3 dicembre 2024 è sufficiente compilare il seguente form online e per maggiori informazioni contattare info@corelations.it.

Il programma del National Security Hub 2024 è il seguente:

9:30 | Welcome Coffee

10:00 | Saluti istituzionali

10:15 | Panel I – Sicurezza energetica e protezione delle infrastrutture strategiche

Il panel esamina minacce e strategie per proteggere infrastrutture critiche ed energetiche in un contesto globale vulnerabile. L’attenzione sarà rivolta alle tecnologie e alle collaborazioni necessarie per garantire sicurezza e resilienza, affrontando sfide che mirano a destabilizzare risorse essenziali.

Opening remarks

Cristiano Leggeri, Direttore della III Divisione del Servizio Polizia postale e per la sicurezza cibernetica
Comandante Antonio Bufis, Marina Militare
Pierluigi Contucci, Professore ordinario, Dipartimento di Matematica Università di Bologna

Discussant

Corrado Giustozzi, Founding Partner & Chief Strategist Rexilience
Alessandro Manfredini, Presidente AIPSA – Associazione Italiana Professionisti Security Aziendale

11:00 | Panel II – Data center e responsabilità etica nella gestione dei dati e dell’energia

Questo panel esplora la responsabilità etica dell’uso energetico nei data center e nella gestione dei dati. Analizzeremo l’equilibrio tra ottimizzazione delle risorse, impatto ambientale e tutela della privacy, esplorando approcci che rispettino normative e promuovano una gestione etica in ambito digitale.

Opening Remarks

Giovanni Amato, Funzionario Agenzia per l’Italia Digitale con responsabilità diretta sulle operazioni del CERT-AgID ed esperto di cybersicurezza
Antonio Mancazzo, Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche Guardia di Finanza
Alessandro Marzi, Head of Group Cyber Defence – CISO A2A

Discussant

Nicola Bernardi, Presidente e Membro del Consiglio Direttivo Federprivacy
Paolo Dal Checco, Consulente informatico Forense e CEO Forenser Srl
Sergio Fumagalli, Clusit Privacy & Security Consultant, Esg advisor P4I
Paola Generali, Presidente, Associazione nazionale imprese ICT

Paolo Dal Checco al National Security Hub 2024 a Roma

11:45 | Panel III – Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Il panel affronta la preparazione di manager e dirigenti pubblici alla gestione di attacchi mirati. Verranno esplorati approcci formativi ispirati a strategie militari per migliorare la resilienza e la risposta rapida contro minacce specifiche in ambiti aziendali e istituzionali.

Opening Remarks

Mirko Lapi, Intelligent & Security Consultant Osintitalia
Michele Mezza, Giornalista e Docente Università Federico II Napoli
Alessandro Politi, Direttore Nato Defence College Foundation
Valerio Visconti, CISO Autostrade per l’Italia
Dan Cimpean, The Director, National Cyber Security Directorate and Member of ECCC Governing Board, ENISA Management Board, ECSO Board of Directors

Discussant

Gianluca Boccacci, Presidente Cyber Actors
Fabrizio D’amore, Direttore del master Sapienza in Sicurezza delle informazioni e informazione strategica e Professore di Cybersecurity nel corso magistrale di Engineering in Computer Science di Sapienza Università di Roma
Pierguido Iezzi, Strategic Business Director di Tinexta

13:00 | LIGHT LUNCH

Una giornata agli HackInBo Forensic Games

forenser on 17 Novembre 2024

Sabato 16 novembre si sono svolti a Bologna – nell’ambito del consueto e annuale evento sulla sicurezza informatica HackInBo – i “Forensic Games”, la sfida nel contesto delle indagini digitali alla quale partecipano, da ormai tre anni, appassionati d’informatica forense confrontandosi in scenari investigativi realistici e avvincenti.

La progettazione dei Forensic Games è frutto dell’impegno dell’instancabile Alessandro Farina, coadiuvato da Paolo Reale, Paolo Dal Checco, Mattia Epifani e Davide “Rebus” Gabrini, con la supervisione di Mario Anglani e del team HackInBo che rende possibile realizzare in concreto il frutto dell’immaginazione di tutti coloro che hanno contribuito.

Dalla fondazione dei Forensic Games, Alessandro Farina ha il merito di essere riuscito a coordinare e spronare il gruppo di lavoro in modo da arrivare all’evento con un gioco reso ancora più avvincente dalla collaborazione delle Forze dell’Ordine e dei volontari dell’ANPAS, che rendono ogni anno la scena del crimine e le indagini che su di essa si vanno a sviluppare ancora più realistica.

Gli HackInBo Forensic Games 2024, tenutisi a Bologna nella loro quarta edizione, si sono confermati anche quest’anno uno degli eventi più stimolanti e innovativi nel panorama della sicurezza informatica italiana, offrendo ai partecipanti l’opportunità di immergersi in un caso realistico – forse anche troppo 😅 – e complesso, ambientato in uno scenario che combinava tecnologia avanzata, criminalità informatica e investigazione tradizionale.

L’evento ha richiesto ai team di partecipanti – che non si erano mai incontrati prima – di affrontare una sfida multidisciplinare, intrecciando competenze tecniche, intuizione investigativa e capacità di collaborazione sotto pressione con il fine di produrre una perizia informatica preliminare basandosi su attività svolte sul campo.

Il contesto dei Forensic Games

L’ambientazione dei Forensic Games è stata curata nei minimi dettagli, ricreando il contesto di una banca, localizzata all’interno del Centro Congressi Grand Tour Italia (ex Fico) e diventata teatro di un crimine violento. Un impiegato è stato infatti trovato morto in circostanze misteriose e le indagini hanno subito rivelato un intreccio di attività illecite, dalla manipolazione di dati aziendali a traffici sul dark web.

L’obiettivo dei partecipanti non era solo quello di raccogliere prove, ma di ricostruire la catena di custodia, valutare la volatilità delle informazioni raccolte, identificare il movente e fornire elementi utili per individuare il responsabile dell’omicidio.

Questo scenario ha messo in luce l’importanza della digital forensics come disciplina fondamentale per risolvere crimini moderni. Le indagini forensi si sono infatti concentrate su dispositivi digitali compromessi, reti aziendali potenzialmente infiltrate, sistemi di videosorveglianza e dati crittografati che celavano segreti compromettenti alla base di un omicidio ricostruibile esclusivamente grazie alle tracce digitali lasciate dal colpevole.

I partecipanti hanno avuto accesso a strumenti avanzati d’informatica forense e a informazioni parziali, dovendo spesso colmare le lacune con ingegno e rigore scientifico, confrontandosi, prendendo decisioni anche in un contesto d’urgenza e arrivando a trarre le conclusioni dell’indagine digitale nel corso della stessa giornata.

Il cuore delle indagini digitali

I team di partecipanti ai Forensic Games hanno affrontato una gamma diversificata di dispositivi e problematiche, rappresentative delle sfide reali del settore dell’informatica forense. Tra le attività principali, spiccavano:

Analisi delle chiavette USB: Alcuni dispositivi rimovibili contenevano volumi cifrati protetti da password. Una volta decifrati, hanno rivelato file sospetti come richieste di riscatto, immagini legate a traffici illegali e collegamenti a wallet in criptovalute. L’uso di strumenti come VeraCrypt e WinSCP ha evidenziato un tentativo sistematico di nascondere e trasferire informazioni sensibili.
Recupero di dati crittografati: La crittografia è stata uno degli ostacoli principali delle attività dei team partecipanti ai Forensic Games. Attraverso l’uso di tool d’informatica forense come FTK Imager o Autopsy, i team sono riusciti a montare volumi protetti e analizzarne il contenuto, trovando prove che collegavano la vittima a operazioni sospette su piattaforme del dark web, come siti di e-commerce illegali e wallet Bitcoin orientati alla protezione della privacy.
Analisi della RAM: Un’attenzione particolare è stata data alla memoria volatile, che ha fornito dettagli su sessioni attive e applicazioni utilizzate prima dell’arrivo degli investigatori sulla scena del crimine. Questa pratica ha permesso di recuperare dati critici che sarebbero altrimenti andati persi dopo il riavvio dei dispositivi.
Ricostruzione della cronologia di navigazione: L’analisi dei browser ha giocato, come spesso accade, un ruolo cruciale. Sono emerse dall’analisi forense dello storico del browser password salvate, cronologie di accesso a gestionali aziendali e link a siti della rete Tor, utilizzati per attività illecite come traffico di droga e armi. Alcuni team hanno utilizzato metodi avanzati, come la modifica dei campi password tramite strumenti di ispezione del codice, per recuperare credenziali nascoste.
Indagini sulla rete aziendale: Il monitoraggio del traffico di rete – una embrionale network forensics – ha rivelato attività sospette, come connessioni a server remoti e tentativi di esfiltrazione di dati. Questa analisi ha suggerito che l’aggressore fosse ben organizzato e tecnicamente preparato.

Le sfide affrontate

Ogni fase dell’indagine informatica forense ha presentato ostacoli complessi. La crittografia dei dispositivi rimovibili e dei file rappresentava un problema tecnico significativo, risolto solo grazie alla combinazione di strumenti avanzati e forte intuito da parte dei partecipanti. La necessità di lavorare in tempo reale, senza compromettere le prove ha richiesto precisione e rapidità. Inoltre, l’interazione con le Forze dell’Ordine ha evidenziato quanto sia fondamentale combinare indagini digitali e investigazione tradizionale, in un contesto dove la cooperazione tra gli operatori è un elemento strategico.

La collaborazione tra team di partecipanti, Carbinieri, Polizia di Stato e Polizia Scientifica è stata cruciale, la scena del crimine è infatti stata popolata di operatori che si sono suddivisi i ruoli, dall’acquisizione delle impronte digitali, tracce biologiche, immagini alla raccolta di reperti e bossoli.

Anche l’analisi delle registrazioni dei video di sorveglianza del DVR della banca in cui è stato ambientato il forensic game ha giocato un ruolo strategico. Grazie al sistema di riconoscimento facciale SARI, un’immagine parziale del sospetto è stata migliorata e confrontata con un database esistente, portando a possibili corrispondenze. Questo passaggio ha sottolineato il ruolo sempre più centrale della tecnologia nell’identificazione di responsabili.

La premiazione

La premiazione delle squadre della 4° Edizione di HackInBo® Forensic Games – HackInBo® Classic Edition Winter 2024 – è stata avvincente, ha infatti seguito la presentazione dei casi da parte dei partecipanti, con interventi degli organizzatori Alessandro Farina, Paolo Reale, Paolo Dal Checco, Mattia Epifani e Davide “Rebus” Gabrini e con interventi e supervisione di Mario Anglani e del team HackInBo.

Al seguente link potete visionare il video youtube della premiazione dei Forensic Games 2025 ad HackInBo, con l’esposizione delle squadre partecipanti che hanno raccontato come hanno condotto l’analisi forense e redatto una piccola perizia informatica con le risultanze delle analisi tecniche.

Conclusioni e spunti di riflessione

Gli HackInBo Forensic Games si sono chiusi con una vittoria collettiva: ogni team ha portato contributi unici e complementari, dimostrando quanto la digital forensics sia una disciplina che richiede sia competenze tecniche che pensiero critico. La simulazione ha evidenziato i pericoli crescenti del crimine informatico, ma anche la potenza degli strumenti investigativi disponibili per combatterlo.

Il caso presentato, con le sue sfaccettature digitali e fisiche, è stato un esempio lampante della complessità del mondo moderno. Gli investigatori non solo hanno analizzato dati, ma hanno raccontato una storia: quella di un crimine nato dalla tecnologia e nascosto dietro file crittografati, software di anonimato e sistemi aziendali compromessi.

Questa edizione degli HackInBo Forensic Games non è stata solo una competizione, ma una lezione pratica su come affrontare le sfide della sicurezza informatica e informatica forense. Ha mostrato che il successo nel risolvere casi come questo richiede non solo abilità tecniche, ma anche collaborazione, intuito e la capacità di adattarsi a scenari in continuo mutamento. Un monito e un’opportunità per chi lavora nel settore della sicurezza delle informazioni, ma anche per chi guarda al futuro con preoccupazione e speranza.

NIS2, Informatica Forense e Cybersecurity ad HackInBo Business

forenser on 14 Novembre 2024

Nella giornata di venerdì 15 novembre 2024, nell’ambito dell’evento HackInBo Business a Bologna, si terranno diversi interventi sulla NIS2 durante i quali verranno approfonditi gli argomenti relativi alla Cybersecurity e all’Informatica Forense.

NIS2 e Digital Forensics ad HackInBo Business

In particolare, la società Forenser avrà l’occasione di fornire un piccolo contributo, dalle 14:30 alle 15:30, con la partecipazione a una tavola rotonda sulla NIS2 durante la quale parteciperanno:

Francesco Paolo Micozzi (Avvocato avvocato Cassazionista e docente di Informatica Giuridica al Dipartimento di Giurisprudenza dell’Università degli Studi di Perugia)
Cristina Magro (leadership and personal development coach per SANS)
Paolo Dal Checco (Consulente Informatico Forense, CEO Forenser Srl)
Luigi Ricchi (Information Security Manager dell’Aeroporto G. Marconi di Bologna SpA)
Massimo Bugani (Assessore Innovazione Digitale e Protezione Civile presso il Comune di Bologna)

Durante la tavola rotonda a Bologna si parlerà di NIS2, Informatica Forense e Cybersecurity mettendo a confronto esperienze in ambito aziendale e governativo legato alla direttiva.

NIS2 ed Informatica Forense ad HackInBo Business

Ogni relatore porterà il suo contributo all’argomento NIS2, tra gli altri verranno trattati brevemente gli aspetti che legano la NIS2 all’Informatica Forense, alla raccolta delle prove digitali e alla gestione degli incidenti informatici, che tra l’altro Paolo Dal Checco ha già anticipato nella Memoria Scritta su Atto del Governo n. 164 per le Commissioni Riunite I (Affari Costituzionali, della Presidenza del Consiglio e Interni) e IX (Trasporti, Poste e Telecomunicazioni) su chiamata per contributi nell’ambito del Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione – cd. NIS2.

Paolo Dal Checco e il contributo per la Memoria Atti del Governo in ambito NIS2

Per quanto la NIS2 sia più orientata alle problematiche legate alla sicurezza informatica rispetto alla digital forensics, è stato importante poter contribuire nella Memoria Scritta su Atto del Governo n. 164 per le Commissioni Riunite sulla NIS2 con alcune indicazioni sulle questioni relative alla gestione informatica forense degli incidenti informatici che sarebbe opportuno fosse annoverata tra le best practices ma soprattutto tra i requisiti di una buona gestione interna.