Archivi categoria: TV

Criptovalute e Dark Web: Le nuove frontiere del crimine digitale su TV7

La scorsa settimana è andato in onda su Rai – Radiotelevisione Italiana un servizio di Alessandro Gaeta per TV7 dedicato al complesso rapporto tra monete virtuali e attività illecite nel “lato oscuro” della rete. Il reportage, arricchito dalla partecipazione del magistrato Dott. Nicola Gratteri e del sociologo Claudio Loiodice, ha offerto una panoramica davvero interessante e completa su un fenomeno in costante evoluzione.

Paolo Dal Checco e il giornalista Alessandro Gaeta su TV7

Nel mio intervento tecnico ho voluto fare chiarezza sulle dinamiche reali di questo mondo, partendo dalle basi: spesso dimentichiamo che lo spazio digitale a cui accediamo quotidianamente rappresenta solo il 5% di internet. Esiste un livello più profondo, il Deep Web (dove risiedono ad esempio i nostri dati bancari protetti da password), e poi c’è il Dark Web: una rete accessibile solo tramite protocolli specifici come Tor, che garantiscono la cifratura e l’anonimato. Sebbene questa tecnologia protegga anche giornalisti e dissidenti in regimi oppressivi, sotto il profilo criminologico rappresenta un problema enorme, ospitando mercati di armi, droghe e dati rubati.

Paolo Dal Checco parla di Dark Web su Rai1 a TV7

Il ruolo delle Criptovalute e la sfida del tracciamento Il cuore del mio contributo si è focalizzato sull’economia di questo mondo sommerso. Come spiego nel servizio, nel Dark Web non si usano contanti: la valuta di scambio è il Bitcoin (o frazioni di esso, dato il valore elevato). Ho approfondito le tecniche di acquisto, tracciamento, anonimizzazione e riciclaggio, mostrando concretamente come operiamo nelle perizie informatiche.

Per chi commette reati, il problema principale è che il Bitcoin, contrariamente a quanto si crede, non è totalmente anonimo: le transazioni sono stringhe alfanumeriche pubbliche. Per questo motivo, i criminali ricorrono a servizi di anonimizzazione chiamati “Mixers” o “Tumblers”: siti dove si versano fondi “sporchi” per riceverne indietro altri “puliti” (meno una commissione), nel tentativo di spezzare il legame con l’attività illecita. (Nota: Come da te indicato, nel servizio mostri l’utilizzo del software Crystal Intelligence per analizzare questi flussi su crypto, token ed NFT).

Crystal Intelligence su TV7 per Rai1 nel servizio di Alessandro Gaeta con l'informatico forense Paolo Dal Checco

I numeri e la logistica del crimine I dati emersi sono allarmanti. Nel 2024 sono stati rilevati circa 383 miliardi di euro in transazioni criminali: una cifra che supera il doppio del bilancio annuale dell’Unione Europea. Questo fiume di denaro digitale ha cambiato anche le abitudini dei grandi cartelli del narcotraffico: se fino a pochi anni fa i narcos preferivano il contante, oggi accettano volentieri pagamenti in criptovaluta, considerandola paradossalmente più difficile da tracciare per le forze dell’ordine.

Paolo Dal Checco parla di bitcoin mixer su Rai1 a TV7

Oltre all’aspetto finanziario, il servizio illustra la logistica sorprendente di questi traffici: dalla vendita di armi con spedizioni postali, fino alle droghe recapitate tramite corrieri ignari o utilizzando indirizzi fittizi e “punti di appoggio” per evitare la firma alla consegna.

Per chi fosse interessato a comprendere meglio queste dinamiche e visionare il servizio “Il buco nero della rete”, il pezzo di Alessandro Gaeta inizia al minuto 27:25 ed è visionabile pubblicamente dalla pagina RaiPlay di TV7.

Nella “Cantinetta” di Andrea Galeazzi sul canale Youtube hackerato

Hanno rubato e fatto chiudere l’account Google e quindi anche il canale Youtube di Andrea Galeazzi, con quasi 1.5 milioni di follower, tramite social engineering con phishing mirato e finta autenticazione OAuth, nonostante avesse 2FA attivo e fosse consapevole dei rischi degli attacchi mirati agli youtuber.

Paolo Dal Checco con Andrea Galeazzi su Youtube per parlare del canale e account Google hackerato

Andrea Galeazzi racconta in un video – pubblicato sul canale appena riaperto – come è avvenuto l’attacco da parte degli hacker al suo canale, come lo hanno tagliato fuori dal suo account Google nonostante avesse 2FA attivo e come ha reagito per recuperare l’accesso.

Nella famosa “Cantinetta”, tra smartphone e gadget affascinanti, con Andrea ci sono anche io per analizzare gli aspetti tecnici e dare alcuni consigli su come proteggersi da questi hack e come rimediare se il danno è già stato fatto.

Per chi fosse curioso di capire come è stato hackerato Andrea Galeazzi, la compromissione ha avuto origine da un attacco di Spear Phishing (phishing mirato e personalizzato) estremamente sofisticato.

A differenza delle campagne generiche, gli attaccanti hanno confezionato un’esca basata su una fase di reconnaissance precisa, sfruttando le lamentele reali degli utenti sulla qualità audio dei video recenti per proporre una falsa collaborazione con un brand di microfoni noto alla vittima.

Paolo Dal Checco nella Cantinetta di Andrea Galeazzi - Video Youtube sull'hack dell'account Google

L’attuale disponibilità di strumenti basati sull’Intelligenza Artificiale permette ormai di automatizzare la creazione di scenari così contestualizzati, analizzando profili e commenti pubblici per ingannare la vittima con una precisione che un tempo avrebbe richiesto un operatore umano dedicato,.

Sotto il profilo tecnico, il vettore d’attacco non ha mirato alla sottrazione diretta della password, ma allo sfruttamento del protocollo OAuth o meglio, di ciò che pareva essere un’autenticazione OAuth.

Andrea Galeazzi, rassicurato dalla coerenza del contesto e colto in un momento di stanchezza, ha autorizzato l’accesso tramite una maschera di autenticazione che pareva legittima, concedendo di fatto l’accesso ai criminali che hanno proceduto in pochi secondi al hijacking del canale.

Quello che colpisce maggiormente dal punto di vista della Incident Response è la velocità della “Kill Chain”: in meno di venti secondi dall’autorizzazione, gli attaccanti hanno modificato le credenziali, revocato le sessioni attive e, mossa cruciale per la persistenza, impostato un token fisico (chiave hardware FIDO/U2F) come unico metodo di autenticazione, tagliando fuori il legittimo proprietario e rendendo inefficaci i metodi di recupero tradizionali.

Nel video Youtube girato in Cantinetta con Andrea Galeazzi abbiamo evidenziato la debolezza intrinseca del 2FA via SMS, vulnerabile a malware e SIM Swapping, a favore di metodi più robusti come le Passkey o meglio ancora le chiavi di sicurezza hardware come le note YubiKey.

Andrea Galeazzi racconta nella Cantinetta dell'hack del canale Youtube e dell'account Google

Per i profili ad alto rischio, emerge l’importanza del Google Advanced Protection Program, un’impostazione di sicurezza che limita drasticamente l’accesso alle API di terze parti e impone finestre temporali di verifica estese per operazioni critiche come il Google Takeout, mitigando il rischio di esfiltrazione immediata dei dati,.

Dal punto di vista della Digital Forensics, nel video Youtube di Andrea Galeazzi sull’hack al canale Youtube emerge l’importanza di reperire artefatti specifici che provino la titolarità storica dell’account: non basta conoscere l’handle pubblico: è necessario recuperare l’ID univoco del canale, i log storici dei dispositivi che hanno un “trust” per il provider e i dettagli dei metodi di pagamento pregressi.

Si parla poi del concetto di isolamento dei dati (o compartimentazione): abbandonare l’idea di un unico account “monolitico” per tutti i servizi e separare nettamente le identità digitali lavorative, personali e finanziarie, riducendo così il raggio d’azione di un’eventuale compromissione anche con indirizzi email diversi e persino più numeri di cellulare, così da separare attività private e lavorative/bancarie/riservate.

Per fortuna il peggio è passato ma non bisogna mai rilassarsi troppo perché può capitare a chiunque, esperti e professionisti, nessuno escluso, basta trovare il momento o la chiave giusta e chiunque può cadere vittima di hacking o phishing.

Il video di Andrea Galeazzi con Paolo Dal Checco che parlano del furto e hack del canale Youtube e account Google è visionabile al seguente link: https://www.youtube.com/watch?v=rMwLbLAMKg4

Sulle tracce dell’hacker stalker di Noemi con Le Iene

Dopo l’hacker dell’autoscuola sono tornato a collaborare con Le Iene, come perito informatico forense, nel caso di Noemi, una ragazza di Monreale in provincia di Palermo, che da 7 mesi sta raccogliendo prove digitali degli episodi di stalking di cui sarebbe vittima ricevendo quotidianamente messaggi con minacce da parte d’ignoti.

Il servizio de Le Iene, condotto da Veronica Ruggeri, andato in onda in due puntate, la prima il 18 novembre 2025 e la seconda il 26 novembre 2025 si apre con uno scenario nel quale Noemi narra gli eventi di cyberstalking che avrebbe subito nel corso degli ultimi sette mesi, fatti di messaggi SMS o Instagram, chiamate anonime, email con allegati, movimenti sotto casa, luci sospette e persino potenziali telecamere che spiano la vita sua e della madre.

Paolo Dal Checco - Consulente Tecnico Forense per Le Iene nel servizio TV sull'Hacker di Monreale

Gli SMS paiono arrivare dallo stesso numero di telefono della ragazza, si possono quindi fare due ipotesi: spoofing (cioè invio di messaggi utilizzando come mittente il numero di qualcun altro) oppure provenienza degli SMS dallo stesso smartphone che li riceve.

I profili Instagram anonimi paiono essere stati creati e poi cancellati subito dopo le comunicazioni, quindi solo la Polizia Giudiziaria è in grado di ottenere informazioni, dall’esterno anche tramite tecniche OSINT non è possibile ricavare dati che possano essere utili a svelarne l’identità.

Paolo Dal Checco e Matteo Vinci - Forenser per Le Iene

Durante la seconda puntata, nella quale ho contribuito come tecnico informatico forense per Le Iene al fine di far luce sul mistero dello stalker, abbiamo proceduto all’esecuzione di copie forensi tramite software Oxygen Forensics, con varie modalità – inclusa la Full File System FFS tramite Checkm8 – al fine di poter successivamente analizzare i dati acquisiti in maniera forense.

Copia forense smartphone con Checkm8 e Oxygen Forensics

Prima di eseguire le copie forensi, insieme al collega Matteo Vinci – parte della società Forenser – abbiamo provveduto a generare il sysdiagnose degli iPhone e iPad, così da avere traccia dei crash log o bug report, utili per procedere con attività di spyhunting e rilevamento malware e spy software, per verificare l’eventualità che il telefono fosse controllato da remoto.

La gene

Copia forense di smartphone con Oxygen Forensics come consulenza informatica forense per Le Iene

La prima puntata del servizio de Le Iene sull’hacker che minaccia Noemi è visibile a questo link, mentre la seconda puntata – nella quale ho partecipato come consulente informatico forense per Le Iene per produrre copia forense e analisi finalizzata a verificare le attività di cyberstalking e identificarne il potenziale autore – è disponibile sul sito Mediaset nella sezione Le Iene al seguente link.

Analisi forense di pendrive USB e metadati Word per Le Iene

Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.

Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.

Consulente Informatico per Le Iene su analisi metadati pendrive USB

L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.

L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.

Le Iene - Paolo Dal Checco e analisi forense su metadati di documento Word

Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali

Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.

Paolo Dal Checco - Perito Informatico per Le Iene e analisi dei metadati file word con exiftool

Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.

Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.

In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:

  1. Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
  2. Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
  3. Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).

Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.

Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.

Con le Le Iene sulle tracce dell’hacker dell’autoscuola

Nel mese di ottobre 2025 sono andate in onda le tre puntate del servizio de Le Iene “Chi è l’hacker dell’autoscuola?” dove – come perito informatico per Le Iene – ho aiutato la iena Veronica Ruggeri a capire chi è l’hacker che per oltre un anno fa cyberstalking a due dipendenti di una scuola guida – Chiara e Andrea – accedendo ai sistemi e intercettando comunicazioni, inviando centinaia di messaggi giornalieri e monitorando in tempo reale le vittime.

Le Iene - Chi è l'hacker della scuola guida

Nei servizi andati in onda su Mediaset ho collaborato come consulente informatico forense per Le Iene supportando Veronica Ruggeri nella difficile analisi forense di un caso – un hacker che da un anno e mezzo tormenta i dipendenti di una scuola guida – dove la tecnologia è protagonista di una situazione paradossale.

Il caso dell’hacker dell’autoscuola trattato a Le Iene al quale ho avuto l’opportunità di collaborare come perito informatico ha destato notevole interesse perché contiene numerosi elementi tecnici tipici di situazioni nelle quali le vittime subiscono attacchi informatici che si concretizzano poi in diversi reati, tra i quali reati informatici come quelli di accesso abusivo (art. 615-ter, c.p.), danneggiamento di dati e programmi informatici (art. 635-bis, c.p.), intercettazione di comunicazioni informatiche o telematiche (art. 617-quater, c.p.), interferenze illecite nella vita privata (art. 615-bis, c.p.), installazione di apparecchiature atte a intercettare comunicazioni informatiche o telematiche (art. 617-quinquies, c.p.).

Paolo Dal Checco, Tecnico Informatico Forense per Le Iene

Nell’ambito dei tre servizi andati in onda nel mese di ottobre 2025 sono intervenuto – insieme a parte del team Forenser Srl composto per l’occasione da Matteo Vinci, Daniele Scanu e Marco Musumeci – In qualità di esperto informatico per Le Iene nella fase di ricognizione, intervista ai protagonisti, copia forense di smartphone e PC oltre che analisi forense di PC, smartphone, takeout, account e sistemi per poter arrivare a ricostruire la dinamica degli attacchi informatici subiti.

Durante la prima parte del servizio per Le Iene sull’hacker dell’autoscuola, Veronica Ruggeri fa emergere un quadro preoccupante nel quale i due protagonisti – Andrea e Chiara – illustrano oltre un anno di minacce, email anonime, telefonate, SMS, Whatsapp, messaggi su Instagram, accessi a mailbox, Facebook e social network, conti bancari, modem dell’autoscuola e tante altre superfici d’attacco violate dal misterioso attaccante.

Paolo Dal Checco e Veronica Ruggeri nel servizio per Le Iene sull'hacker dell'autoscuola

Dopo la prima ricognizione con le Iene abbiamo formulato diverse ipotesi operative e iniziato a lavorare sulle copie forensi di PC e smartphone prodotte tramite il software di mobile forensics Oxygen Forensics durante il primo accesso presso la scuola guida.

Copie forensi di smartphone e PC per Le Iene con il software Oxygen Forensics

Durante il secondo accesso sono emersi nuovi indizi, non soltanto informatici, tra i quali un principio d’incendio occorso nei locali dell’autoscuola e un approfondimento di Veronica Ruggeri sulle tempistiche di apertura della serranda dell’autoscuola, per capire come possa essere stata pilotata da remoto una tecnologia che è invece stata progettata per essere gestita soltanto dai telecomandi sincronizzati con la centralina.

Nel terzo servizio de Le Iene sull’hacker dell’autoscuola vengono invece presentati i risultati della perizia informatica svolta uno smarthpone tramite un misto di mobile forensics, network forensics, email forensics e più in generale digital forensics sui dispositivi forniti dalle vittime dello stalking, mostrando come numerose tracce dell’hacker sono state rinvenute in particolare su di uno smartphone.

Le Iene e l'hacker dell'autoscuola con la perizia informatica della società d'informatica forense Forenser Srl

Ricordiamo che in tutti i casi nei quali sono necessari accertamenti su dispositivi mobili o fissi (smartphone, notebook, PC, etc…) è importante rivolgersi a società che si occupano d’informatica forense come la Forenser Srl o lo Studio d’Informatica Forense per cristallizzare le evidenze digitali e produrre analisi tecniche che conducano a una perizia informatica forense.

Per chi avesse curiosità di visionare le tre puntate della serie dell’hacker dell’autoscuola, dove ho avuto l’opportunità di collaborare come perito informatico forense per Le Iene, sono disponibili ai seguenti link sul sito Mediaset:

Poiché il servizio per Le Iene sull’hacker della scuola guida ha sensibilizzato notevolmente il pubblico sulla protezione dei propri dati e dei propri dispositivi, ricordiamo che per difendersi da potenziali malware, virus, trojan o spy software, si possono seguire alcuni consigli, tra i quali ad esempio:

  • scegliere password non facili da indovinare, diverse tra loro e non condividerle;
  • aggiornare smartphone e tablet, incluse le App che non sempre si aggiornano automaticamente;
  • evitare di usare dispositivi troppo obsoleti che non possono essere aggiornati all’ultima versione di iOS o Android;
  • non installare App scaricate fuori dagli store ufficiali, come ad esempio APK che si trovano online o vengono riportati su siti web o SMS ricevuti;
  • non fidarsi di email, SMS, Whatsapp che suggeriscono di cliccare su link o installare App;
  • prestare attenzione alle notifiche di richiesta dei permessi per accedere ad audio, video, GPS, etc…
  • utilizzare un secondo fattore di autenticazione (es. Google Authenticator, SMS, Whatsapp, meglio ancora Yubikey o chiavetta U2F) ove possibile non sullo stesso dispositivo che s’intende proteggere;
  • evitare rooting o jailbreak;
  • attivare l’opzione di protezione avanzata per gli account Apple (Advanced Data Protection) e Google (Advanced Protection Program);
  • in caso di dubbi sulla potenziale compromissione del proprio dispositivo Apple, abilitare l’opzione “Lockdown” su iPhone
  • installare antivirus, antimalware, anche su dispositivi Android o Apple e non solo su PC.