Attacco in pratica

La dimostrazione parte da un elemento ormai familiare: una e-mail credibile, scritta con l’aiuto dell’intelligenza artificiale generativa e costruita per sembrare urgente. Nel caso simulato, il destinatario ha ricevuto la richiesta di controllare rapidamente un documento. Nulla di particolarmente sospetto all’apparenza. Dopo una ventina di minuti ha aperto il messaggio e cliccato sul link, finendo su una falsa pagina di accesso Microsoft.

A quel punto l’attacco accelera. Nel giro di un minuto la vittima inserisce le proprie credenziali, convinta di trovarsi davanti al sito autentico. In realtà gli aggressori stanno intercettando in tempo reale i dati che passano tra l’utente e la piattaforma legittima. Subito dopo arriva la richiesta di autenticazione a più fattori, il sistema che di solito aggiunge un secondo livello di sicurezza oltre alla password. Ma anche questo passaggio, in questo scenario, non basta.

Gli attaccanti riescono infatti a sottrarre il cookie di sessione, cioè una sorta di “pass temporaneo” che dice al sistema: questo utente ha già effettuato correttamente il login. Per capirci, è come rubare non la chiave di casa, ma il badge già attivo che permette di entrare senza rifare i controlli. Con quel pass digitale, dopo appena due minuti dal primo clic, il Red Team è riuscito ad accedere direttamente alla posta della vittima, leggere e inviare messaggi a suo nome, entrare in SharePoint e OneDrive, impostare regole per nascondere la propria attività e autorizzare applicazioni OAuth malevole.

Anche qui conviene spiegare il termine: OAuth è un sistema che consente a un’app di ottenere permessi su un account senza conoscere direttamente la password. È molto comodo quando usiamo servizi legittimi collegati tra loro, ma può diventare pericoloso se viene concesso accesso a un’app malevola che si presenta come innocua. Per mantenere il controllo più a lungo, nella simulazione è stata usata anche una tecnica chiamata ClickFix. In pratica, alla vittima viene chiesto di eseguire un’apparente verifica aggiuntiva, ma il risultato è che copia e attiva inconsapevolmente uno script dannoso. È un trucco semplice e subdolo: l’utente pensa di risolvere un problema tecnico e invece sta aprendo la porta all’attaccante.

Il punto chiave è che oggi molte campagne non si fermano più al furto della password. Puntano a entrare, restare nascoste e consolidare la propria presenza prima che qualcuno si accorga di qualcosa. Se un’operazione del genere proseguisse senza essere fermata, il passo successivo potrebbe essere il furto di dati, il blocco dei sistemi o perfino un attacco ransomware.

*Illustrazione progettata da Barracuda

Capire il problema

Per capire la vulnerabilità bisogna partire proprio da FFmpeg. Non è un’app che l’utente medio apre direttamente ogni giorno, ma un motore software integrato in tantissimi servizi: telecamere IP, sistemi di videosorveglianza, piattaforme di streaming, server multimediali, software di editing e perfino dispositivi smart per la casa. In pratica, se un sistema deve leggere o trasformare un video, è molto probabile che da qualche parte stia usando FFmpeg.

Quando si parla di vulnerabilità in questo contesto, il punto non è che “il video contiene un virus” nel senso tradizionale. Il problema è più sottile: il file può essere costruito in modo da sfruttare un errore nel software che lo analizza. È un po’ come infilare una chiave sagomata male in una serratura delicata: non stai sfondando la porta con la forza, ma stai facendo inceppare il meccanismo dall’interno. Se il decoder multimediale gestisce male certe informazioni, può andare in crash, bloccarsi o comportarsi in modo imprevisto.

Secondo le informazioni disponibili, molte di queste falle riguardano la gestione della memoria, cioè il modo in cui il programma legge e organizza temporaneamente i dati mentre elabora il video. Se questa gestione ha un difetto, un file appositamente manipolato può causare accessi fuori dai limiti previsti o errori nei buffer, con effetti che vanno dal semplice arresto del processo fino a conseguenze più serie. Per chi non mastica il gergo tecnico, il buffer si può immaginare come un contenitore temporaneo: se il software prova a metterci dentro più dati di quanti ne possa reggere, qualcosa può rompersi.

La parte davvero delicata è che il rischio non riguarda solo i PC. Anche dispositivi IoT e apparati embedded, spesso meno aggiornati e più dimenticati nel tempo, possono usare componenti multimediali vulnerabili. Una telecamera smart, un registratore video di rete o un piccolo server casalingo potrebbero quindi andare in tilt semplicemente elaborando un file costruito ad arte o uno stream malevolo.

La buona notizia è che la difesa non richiede magie. Serve soprattutto una manutenzione più attenta: aggiornare software e firmware, limitare l’elaborazione automatica di file non fidati, non eseguire player o decoder con privilegi elevati e verificare con cura le fonti dei contenuti caricati sui sistemi aziendali.

*Illustrazione progettata da JFrog

Il meccanismo è semplice e funziona proprio perché fa leva sull’urgenza. Chi aspetta da mesi un titolo molto discusso è più disposto a cliccare in fretta, soprattutto se davanti ha una pagina che sembra credibile. Alcuni siti, secondo i report online, imitano l’aspetto di portali noti e promettono chiavi beta inesistenti, download anticipati o bonus esclusivi. In altri casi compare un falso programma di installazione che, una volta avviato, non installa il gioco ma un software dannoso in background.

È qui che entrano in scena termini tecnici che vale la pena tradurre in modo semplice. Un malware è un programma creato per fare danni o rubare qualcosa; può spiare il computer, scaricare altri file pericolosi o aprire la porta a ulteriori infezioni. Il phishing, invece, è una truffa che prova a farti consegnare spontaneamente dati di accesso, come username e password, usando siti o messaggi che sembrano legittimi. Nel caso di GTA 6, i bersagli possono essere gli account Rockstar Social Club, molto appetibili per chi vuole rivenderli o usarli in campagne successive.

Il fenomeno, in realtà, non è nuovo

I videogiochi sono da tempo tra le esche preferite dei cybercriminali, soprattutto quando si parla di titoli famosi, mod, cheat o versioni pirata. Kaspersky ha rilevato milioni di tentativi di download di file malevoli mascherati da giochi popolari, segno che il mondo gaming è ormai un terreno stabile per le frodi digitali.
La differenza, con GTA 6, è che l’enorme attenzione mediatica amplifica tutto: rumor, leak, trailer e ipotesi sui preordini diventano il terreno perfetto per lanciare truffe su larga scala.

Per i giocatori il consiglio più utile è anche il più banale: diffidare di qualunque accesso anticipato non provenga da fonti ufficiali. Se una beta non è stata annunciata da Rockstar o dai canali riconosciuti, probabilmente non esiste. Lo stesso vale per chiavi gratuite, sconti e download da siti esterni agli store ufficiali. Un’offerta troppo bella per essere vera, soprattutto su un gioco così atteso, quasi sempre è proprio questo: troppo bella per essere vera.

In pratica, chi vuole proteggersi dovrebbe seguire poche regole molto concrete: scaricare solo da store ufficiali, non usare link arrivati da chat o social, evitare software pirata e non inserire mai le credenziali su pagine sospette.

Il cuore del problema

Il difetto riguarda in particolare sistemi con Windows 10 e schede della serie AMD Radeon RX. In pratica, dopo l’installazione del nuovo pacchetto, il sistema può comportarsi come se driver e applicazione AMD non fossero più allineati. Il risultato è un messaggio d’errore che avvisa che la versione del software avviata non è compatibile con il driver grafico installato.

La questione è particolarmente fastidiosa perché il driver 26.6.2 porta con sé novità attese, come il supporto a FSR 4.1 e ottimizzazioni per nuovi giochi. Ma per chi usa ancora Windows 10 il prezzo da pagare potrebbe essere instabilità, malfunzionamenti o l’impossibilità di usare correttamente il software Radeon. E questo è un promemoria utile anche sul fronte della sicurezza informatica: un driver difettoso non è solo un problema di prestazioni, ma può compromettere affidabilità, aggiornamenti e controllo del sistema.

Il simbolo giallo in Gestione dispositivi, per chi non lo conosce, è il modo con cui Windows segnala che qualcosa non sta funzionando come dovrebbe con una periferica. Non sempre significa guasto hardware: spesso indica un conflitto software, un driver errato o un’installazione incompleta. In questo caso, il problema sembra legato alla compatibilità del nuovo pacchetto con Windows 10.

Cosa fare?

La raccomandazione più prudente, al momento, è semplice: se il PC con Windows 10 funziona bene con la versione precedente, conviene evitare l’aggiornamento immediato oppure tornare alla 26.6.1 se il problema è già comparso. È anche una buona abitudine creare un punto di ripristino prima di installare nuovi driver, soprattutto quando riguardano componenti critici come la GPU. In pratica, è una rete di sicurezza che permette di fare marcia indietro più facilmente.

*Illustrazione progettata da AMD

La versione 2.0 rappresenta una riprogettazione completa dell’interfaccia piuttosto che un aggiornamento incrementale e introduce una pratica visualizzazione guidata

Le novità in pillole

Introduce un’interfaccia guidata passo per passo che accompagna l’utente attraverso una sequenza di fasi ben distinte, che includono la selezione del modello di Raspberry Pi, la scelta del sistema operativo, l’individuazione del dispositivo di destinazione, la configurazione del sistema, la scrittura dell’immagine e il completamento del processo. Ogni fase occupa l’intera finestra dell’applicazione, offrendo spazio per spiegazioni, messaggi di validazione e informazioni contestuali, riducendo l’affollamento visivo e rendendo più accessibili anche le configurazioni avanzate. Integra inoltre la possibilità di preconfigurare Raspberry Pi Connect durante il processo di scrittura dell’immagine: autenticandosi in questa fase, il dispositivo risulta già collegato al proprio account al primo avvio, consentendo subito l’accesso remoto tramite condivisione dello schermo o shell. L’accessibilità è un elemento centrale della
riprogettazione, con controlli etichettati per i lettori di schermo, navigazione completa da tastiera e più attenzione al contrasto dei colori e alla disposizione degli elementi. La nuova combinazione cromatica e l’uso generoso dello spazio bianco contribuiscono a migliorare la leggibilità e la chiarezza dell’interfaccia, rendendo Imager più fruibile per un pubblico ampio, compresi i novizi.

Leggi anche: “Media Center sulla Raspberry“

Il motivo è semplice: eventi come il Prime Day mettono insieme tre ingredienti perfetti per una frode digitale, cioè un marchio molto conosciuto, un forte senso di urgenza e milioni di persone pronte a comprare in poche ore. In un contesto del genere, basta una mail ben fatta o un sito che somiglia a quello originale per convincere molti utenti ad abbassare la guardia.

Nuovi domini registrati tra dicembre 2026 e maggio 2026 legati ad Amazon

Truffe ben architettate

Il dato più interessante del report è che queste truffe non nascono all’ultimo minuto. Tra dicembre 2025 e maggio 2026 sono stati registrati nel mondo 6.843 nuovi domini collegati al nome Amazon, con un picco di 1.446 nel solo aprile e altri 1.267 a maggio. Secondo Check Point, i criminali li registrano con largo anticipo per farli “invecchiare” online e renderli meno sospetti agli occhi di alcuni filtri automatici di sicurezza.

A maggio, il 9,2% di questi domini — circa uno su undici — era già stato classificato come malevolo o sospetto. Anche nella prima settimana di giugno, con 241 nuovi domini comparsi, circa uno su tredici era già finito sotto osservazione. In pratica, il Prime Day non è solo un evento commerciale, ma anche un picco misurabile nell’attività di phishing, smishing e furto di account.

amzn-buono[.]click – esempio di pagina falsa per clienti Amazon italiani

Campagne individuate

Tra le campagne individuate ce ne sono alcune particolarmente aggressive. Una usa vari indirizzi simili ad “amazon-prime” con estensioni diverse, per intercettare chi sbaglia a digitare o clicca senza controllare bene. Un’altra ruota attorno al nome “amazoncredito” e promette falsi bonus o crediti promozionali, sfruttando persino domini con caratteri accentati per sembrare più convincenti a utenti spagnoli e portoghesi.

Ma il punto più delicato riguarda le false esperienze di acquisto. Non si tratta più soltanto di pagine di login contraffatte: i truffatori copiano intere vetrine online, schede prodotto, recensioni, loghi, badge come “Amazon’s Choice” e messaggi urgenti del tipo “offerta limitata alle prime 1.000 richieste”. In Italia, ad esempio, Check Point cita il dominio amzn-buono[.]click, pensato per attirare utenti Prime con la promessa di buoni e premi speciali.

Lo scopo finale è quasi sempre lo stesso: rubare dati di accesso o informazioni di pagamento. A volte il messaggio arriva via e-mail, altre via SMS. È qui che entra in gioco lo smishing, cioè il phishing fatto con i messaggi di testo: per esempio un SMS che avvisa di una consegna in ritardo o chiede di verificare il codice 2FA, il sistema di autenticazione a due fattori che dovrebbe proteggere l’account. Se l’utente cade nel tranello, i criminali possono prendere il controllo del profilo Amazon reale.

Regole per difendersi

La difesa, però, è ancora fatta di gesti semplici: controllare sempre l’indirizzo del sito, non cliccare sui link ricevuti via mail o SMS, non fidarsi solo del lucchetto HTTPS e usare password uniche con 2FA attiva. Anche rallentare di pochi secondi prima di pagare può fare la differenza. Perché durante eventi come il Prime Day, la fretta è spesso l’arma migliore dei truffatori.

I risultati della ricerca

La ricerca mostra un dato chiaro: in Europa oltre una persona su due diffida dei router cinesi, mentre il livello di sfiducia verso i produttori russi sale ancora di più. Al contrario, i produttori europei sono percepiti come i più affidabili. In Italia il quadro è un po’ più sfumato, ma la tendenza resta evidente: il 62% degli intervistati dichiara fiducia verso i produttori europei, mentre la diffidenza riguarda il 34% dei dispositivi provenienti dalla Cina, il 45% di quelli russi e il 26% di quelli statunitensi.

Il dato interessante è che questa percezione non sempre si accompagna a una reale consapevolezza sull’origine dei marchi. Molti utenti, infatti, non sanno con precisione da dove arrivi il router che hanno in casa, né conoscono il Paese di origine del brand che lo produce. Il sondaggio segnala, ad esempio, che solo una piccola parte degli intervistati sa collocare correttamente alcuni marchi molto diffusi, mentre per molti altri prevale l’incertezza o l’errore. In altre parole, la fiducia nel “Made in Europe” cresce, ma spesso si basa su informazioni incomplete o approssimative.

Il router dell’operatore

La confusione aumenta ulteriormente quando si parla dei modem-router forniti dagli operatori telefonici. Molti consumatori tendono a pensare che i dispositivi ricevuti in comodato d’uso dai provider siano prodotti in Europa, anche quando la filiera reale è esterna all’Unione Europea. È un dettaglio importante, perché nella percezione comune il router dell’operatore viene spesso considerato quasi “neutro”, come se la sua provenienza fosse meno rilevante rispetto a quella di un prodotto acquistato direttamente.

Dal punto di vista pratico, però, la sicurezza di un router non dipende solo dalla geografia del marchio. Contano anche fattori molto concreti: frequenza degli aggiornamenti, trasparenza del produttore, durata del supporto software, rapidità nel correggere falle di sicurezza e facilità con cui l’utente può gestire password, rete Wi‑Fi e impostazioni avanzate. Un router poco aggiornato, anche se prodotto in un Paese percepito come affidabile, può comunque diventare un punto debole. Al contrario, un dispositivo ben mantenuto e correttamente configurato offre in genere più garanzie di uno lasciato con password di default e firmware obsoleto.

Il sondaggio mette quindi in luce due aspetti diversi ma complementari. Da un lato cresce la sensibilità europea verso sovranità digitale, protezione dei dati e provenienza tecnologica. Dall’altro emerge quanto sia ancora limitata la cultura tecnica attorno a un dispositivo che, pur essendo essenziale, viene spesso installato e poi dimenticato. Il router, invece, andrebbe trattato un po’ come la serratura di casa: non basta sapere chi l’ha costruita, bisogna anche controllare se funziona bene, se viene mantenuta sicura nel tempo e se la stiamo usando nel modo giusto.

*Illustrazione progettata da Freepik

Per capire il punto, bisogna partire da cosa fa IKEv1. In pratica, è il “protocollo di presentazione” che permette a due estremi della comunicazione di riconoscersi, accordarsi sui parametri di sicurezza e creare il tunnel cifrato. Se in questa fase iniziale c’è una falla, l’attaccante può tentare di sfruttarla prima ancora che entrino davvero in gioco username, password o altri meccanismi di autenticazione. È un po’ come trovare un difetto nella procedura con cui viene aperto il portone, invece di rubare direttamente le chiavi.

Rischio alto

È proprio questo a rendere la vulnerabilità particolarmente delicata. Quando si legge che gli hacker possono entrare “senza password”, non significa che le credenziali siano inutili in assoluto, ma che il punto debole si trova più a monte, nel protocollo che gestisce l’avvio della sessione. Se il difetto viene sfruttato con successo, una VPN pensata per proteggere l’accesso remoto può trasformarsi in una scorciatoia verso la rete interna.

Il fatto che la falla sia classificata con CVSS 9.3 aiuta a capire la gravità della situazione. Il CVSS è il sistema usato per misurare la severità di una vulnerabilità: più il punteggio si avvicina a 10, più il problema è considerato critico per impatto e facilità di sfruttamento. Un 9.3, quindi, non è un dettaglio tecnico per addetti ai lavori, ma un chiaro segnale d’allarme per chi gestisce infrastrutture esposte su Internet.

Per le aziende il rischio non si limita all’accesso iniziale. Una volta ottenuto un varco, un aggressore può cercare configurazioni sensibili, osservare il traffico, muoversi lateralmente nella rete o preparare fasi successive dell’attacco, come l’esfiltrazione di dati o il rilascio di ransomware. Ecco perché vulnerabilità di questo tipo sono così temute: colpiscono un punto nevralgico dell’infrastruttura, spesso visibile dall’esterno e fondamentale per la continuità operativa.

Abuso dei chatbot

Secondo gli esperti il rischio deriva da un possibile abuso del chatbot di supporto basato su Meta AI, che sarebbe stato spinto a modificare l’indirizzo e-mail associato ad alcuni profili Instagram. Tra gli account coinvolti, secondo quanto riportato, ci sarebbero anche profili collegati alla Casa Bianca dell’era Obama, a Sephora e al Chief Master Sergeant della Space Force statunitense. Ma il punto, per Check Point, è che la questione non va letta solo come un classico caso di prompt injection o jailbreak, cioè come un sistema “ingannato” da input malevoli.

Il problema più serio starebbe infatti nel modo in cui l’intelligenza artificiale viene integrata nei processi aziendali. Un recupero account non è una semplice operazione di assistenza clienti: è una procedura che decide chi può entrare in possesso di un’identità digitale. In pratica, equivale a consegnare le chiavi di casa a qualcuno dopo aver controllato chi è davvero. Se in questo passaggio entra in gioco un agente AI con privilegi troppo ampi o con verifiche insufficienti, il rischio non nasce solo da ciò che il modello dice, ma da ciò che può fare.

Il nodo cruciale

Il rischio è che un sistema di intelligenza artificiale può anche seguire correttamente le proprie istruzioni e causare comunque un incidente di sicurezza. In altre parole, non serve che sia “hackerato” in senso classico. Basta che sia inserito in un workflow progettato male, con autorizzazioni troppo estese o senza controlli indipendenti. È un po’ come affidare a un centralinista il compito di aprire la cassaforte: anche se esegue gli ordini alla perfezione, il problema è avergli dato quel potere.

Secondo gli esperti, il nuovo perimetro di sicurezza non si ferma più al modello AI. Comprende anche gli strumenti a cui può accedere, i privilegi che eredita, il contesto operativo in cui agisce e i controlli che dovrebbero scattare prima di ogni azione sensibile. Questo significa che proteggersi da prompt injection e jailbreak resta importante, ma oggi non basta più. Le aziende devono ragionare anche in termini di gestione delle identità, controllo degli accessi, segmentazione dei privilegi e monitoraggio costante dei processi automatizzati.

*Illustrazione progettata da CheckPoint

È però importante distinguere tra un allarme generalizzato e uno scenario tecnico molto più circoscritto. Al momento non risulta pubblicato da Microsoft un advisory specifico dedicato a Edge che descriva formalmente il caso nei termini usati da parte degli articoli apparsi in Rete. Questo non significa automaticamente che il tema sia irrilevante, ma suggerisce prudenza: senza una nota tecnica ufficiale, senza una CVE esplicitamente associata e senza dettagli validati dal produttore, il rischio è sovrastimare o semplificare un comportamento che potrebbe rientrare nel normale funzionamento di un browser quando deve usare credenziali già decifrate.

In effetti, nei moderni sistemi operativi il vero discrimine è spesso il contesto della minaccia. Se un computer è già compromesso da malware, da un infostealer o da codice eseguito con privilegi sufficienti, leggere dati sensibili dalla memoria non è un’ipotesi remota ma una tecnica già nota e usata da anni. In altre parole, il problema non sarebbe tanto “Edge espone le password a chiunque”, quanto piuttosto “su un sistema già violato, anche i dati temporaneamente presenti in memoria possono diventare recuperabili”. È una differenza sostanziale, perché sposta l’attenzione dal browser, da solo, all’intera postura di sicurezza del dispositivo.

Va ricordato inoltre che la presenza di segreti in memoria, per un certo intervallo di tempo, non è di per sé una scoperta eccezionale nel mondo della sicurezza. Molte applicazioni, quando devono autenticare un utente, negoziare una sessione o riempire un modulo di login, gestiscono dati sensibili in RAM. La vera domanda è per quanto tempo restino esposti, con quali protezioni, in quali processi e quanto sia realistico per un attaccante intercettarli. Senza questi dettagli, il rischio è trasformare una questione tecnica complessa in un titolo allarmistico ma poco preciso.

In questo quadro si inseriscono le tecnologie di protezione sviluppate da Microsoft per ridurre il furto di credenziali in memoria. Tra queste c’è Credential Guard, funzione di sicurezza di Windows che usa meccanismi di virtualizzazione per isolare meglio alcuni segreti e limitare l’accesso da parte di processi malevoli. Non è una soluzione “magica” per ogni scenario, ma rientra proprio in quella strategia che punta a contenere l’impatto di un dispositivo compromesso, impedendo che il furto delle credenziali diventi immediato o banale. Anche per questo, più che inseguire il singolo titolo allarmistico, ha senso ragionare in termini di difesa multilivello: sistema aggiornato, protezione antimalware, isolamento dei privilegi, uso di password manager affidabili e, dove possibile, autenticazione a più fattori.

Per gli utenti e per le aziende, la conclusione più equilibrata è questa: al momento non ci sono elementi pubblici sufficienti per parlare con certezza di una nuova falla di Edge confermata ufficialmente nei termini più sensazionalistici letti online. Esiste però un tema reale e più ampio, che riguarda la sicurezza dei segreti in memoria quando un sistema è già sotto il controllo di codice ostile. In questo senso, il caso può essere utile come promemoria: non basta proteggere le password “a riposo”, cioè salvate in modo cifrato, se poi il dispositivo su cui vengono usate è già stato compromesso. Il punto centrale, oggi come ieri, resta impedire che un attaccante arrivi a eseguire codice sul sistema della vittima.