Happy 16th Birthday, KrebsOnSecurity.com!
https://krebsonsecurity.com/2025/12/happy-16th-birthday-krebsonsecurity-com/
#StarkIndustriesSolutionsLtd #ALittleSunshine #HeartSender #Cryptomus #lastpass #Funnull #Aisuru
#Funnull
Domini “AI‑powered” e phishing: come riconoscere i siti‑trappola (con prove reali)
Non è teoria: i criminali creano siti a migliaia
Da mesi si vedono campagne di phishing costruite su migliaia di domini registrati in blocco, spesso generati o selezionati con l’aiuto dell’IA. In molte operazioni si usano Domain Generation Algorithms (DGA): programmi che inventano rapidamente nomi di siti sempre nuovi, così i filtri fanno più fatica a bloccarli in tempo. Non parliamo di impressioni: ad aprile 2025 l’FBI ha diffuso 42.000 domini usati dal servizio criminale LabHost per imitare banche e servizi pubblici (fonte: FBI FLASH 29/04/2025 — https://www.ic3.gov/CSA/2025/250429.pdf). A maggio 2025, un’altra nota FBI ha tracciato l’infrastruttura “Funnull”: 548 CNAME collegati a oltre 332.000 domini impiegati in truffe d’investimento (fonte: FBI 29/05/2025 — https://www.ic3.gov/CSA/2025/250529.pdf).
Tradotto: non arriva più “la” mail sospetta ogni tanto, ma ondate di link diversi, sempre nuovi. E i filtri fanno fatica perché i domini cambiano di continuo.
Cos’è un sito‑trappola (spiegato semplice)
È una copia credibile del sito di una banca, di un corriere, di un ministero, di un social. A volte è identica. Lo scopo non è “informarti”, ma prendere qualcosa da te: di solito username e password, talvolta codici OTP o dati della carta. Lo fanno con uno script a passi: ti mostrano il logo e una finta pagina di login, ti chiedono le credenziali, poi –se le inserisci– passano alla schermata “serve il codice” o “verifica carta”. Intanto, in sottofondo, un operatore usa in tempo reale la tua password sul sito vero. Se dai anche il codice, l’accesso è completo. In altri casi ti propongono un rimborso o un pacchetto sospeso: il modulo serve solo a prendere i dati del pagamento.
Questi siti arrivano tramite email, SMS (smishing), messaggi WhatsApp/Telegram o annunci truccati su motori di ricerca e social. Il testo punta sempre su urgenza e paura: “il tuo account sarà bloccato”, “pacco in giacenza”, “verifica immediata richiesta”.
Perché questi siti ingannano (anche gli attenti)
Non cascano solo i distratti. I truffatori curano i dettagli. Il nome del sito sembra giusto perché usa parole specchio del marchio (secure, verify, help, portal) e store economici. Il trucco più subdolo sono i subdomini: paypal non è PayPal; il dominio vero è security‑verify[.]com[.]security‑verify[.]net[.]net e tutto ciò che viene prima (paypal[.]com) è solo decorazione. La grafica è perfetta: loghi, colori, font, persino i popup sui cookie. C’è il lucchetto HTTPS? Certo: oggi quasi tutti i siti –anche quelli truffa– hanno un certificato valido. Il lucchetto indica cifratura del collegamento, non l’affidabilità del sito.
C’è poi la pressione psicologica. Gli SMS con ID chiamante falsificato possono apparire nello stesso thread della tua banca, facendo sembrare tutto più vero. Il testo è progettato per farti agire in fretta: “entro 30 minuti”, “ultima notifica”. E quando clicchi, la pagina è mobile‑friendly, veloce e spesso senza errori di ortografia: sembra proprio quella giusta.
Esempi pratici (innocui e commentati)
Gli URL qui sotto sono esempi didattici (non cliccabili: la parte [.] serve a impedire il click). Leggili come allenamento.
area-clienti[.]poste[.]it[.]conferma‑pagamenti[.]info/login
Sembra Poste perché a sinistra c’è poste.it, ma il dominio vero è conferma‑pagamenti[.]info. Tutto ciò che precede è un subdominio.paypal[.]com[.]verify‑center[.]support/security
C’è paypal[.]com all’inizio, ma il dominio vero è verify‑center[.]support. Parole come verify, secure, center sono esche.agenziaentrate[.]gov[.]it‑servizi[.]online/check
I truffatori giocano con il trattino: qui il dominio vero è servizi[.]online; agenziaentrate.gov.it‑ è solo scenografia.- SMS tipico (innocuo):
“[BancaXY] Pagamento sospeso. Verifica entro 30 min: banca‑xy‑sicurezza[.]com/ID8734”
Regola d’oro: non toccare il link; apri l’app ufficiale o digita l’indirizzo a mano.
Come leggere l’indirizzo
- Toccare/cliccare la barra dell’indirizzo per vedere tutto l’URL (su smartphone spesso è accorciato).
- Guardare la parte finale prima dello slash: è il dominio principale. In
itail dominio vero è client‑secure[.]poste[.]it[.]client‑secure[.]info/pagamenti[.]info. - Diffidare di trattini, parole extra e TLD insoliti (
.top,.xyz,.shop, ecc.). Non è sempre truffa, ma è un segnale. - Anteprima link: tenere premuto sul link (mobile) o passare il mouse (PC) per leggere l’URL prima di aprirlo.
- In caso di dubbio: non cliccare; aprire l’app ufficiale o digitare manualmente l’indirizzo del servizio.
Impostazioni salvavita (dove si trovano)
- Avvisi anti‑phishing del browser:
• Safari (iPhone/iPad) → Impostazioni > Safari > Avviso sito web fraudolento (se presente).
• Chrome → Impostazioni > Privacy e sicurezza > Navigazione sicura (se presente).
• Firefox → Impostazioni > Privacy e sicurezza > Protezione da contenuti ingannevoli (se presente).
• Edge → Impostazioni > Privacy, ricerca e servizi > Microsoft Defender SmartScreen (se presente). - Autenticazione a due fattori (2FA) su email e servizi: cercare Sicurezza/2FA nell’app (se presente).
- Clienti bancari: attivare notifiche push/SMS per movimenti e limiti per bonifici istantanei/nuovi beneficiari (se presenti).
- Password manager: suggerisce credenziali solo sul dominio giusto (se non compila, fermarsi e controllare).
Cosa fare se un link è arrivato comunque
- Non inserire credenziali: se le hai già inserite, cambia subito la password e disconnetti le sessioni attive (se presenti).
- OTP e carte: mai comunicare codici via telefono/chat. Se lo hai fatto, blocca subito carta/conti e avvisa la banca.
- Controllo account: verifica accessi recenti, indirizzi di recupero e app collegate (se presenti).
- Segnala e denuncia: inoltra l’SMS/email sospetto ai canali ufficiali della banca/servizio e, se è una truffa, denuncia (Commissariato di PS).
Perché ne parlo ora
Perché le ondate di domini rendono più difficile “imparare a memoria” cosa evitare. Servono abitudini semplici: leggere bene il dominio, aprire solo da app/siti ufficiali, non credere al lucchetto, usare 2FA e password manager. E sapere che, se ci caschiamo, si rimedia con passi chiari.
Link utili
- Commissariato di PS – Polizia Postale: segnalazioni online → https://www.commissariatodips.it/segnalazioni/segnala-online/index.html
#2FA #DGA #dominiMalevoli #Funnull #IAGenerativa #LabHost #navigazioneSicura #PasswordManager #phishing #Privacy #sicurezzaDigitale
Domini “AI‑powered” e phishing: come riconoscere i siti‑trappola (con prove reali) Attenzione! Scopri come riconoscere i siti-trappola creati con l'aiuto dell'IA e evita di cadere in truffe online. Leggi ora! https://www.staipa.it/blog/?p=22769&fsp_sid=1835
#2FA #DGA #dominimalevoli #Funnull #IAgenerativa #LabHost #navigazionesicura #PasswordManager #phishing #Privacy #sicurezzadigitale #InformEtica #UsoConsapevoleDellaTecnologia #AI #cybersecurity
U.S. Sanctions Cloud Provider ‘Funnull’ as Top Source of ‘Pig Butchering’ #Scams – Krebs on #Security
#funnull #pigbutchering #philippines #privacy
US Treasury sanctioned the firm #Funnull #Technology as major cyber scam facilitator
https://securityaffairs.com/178450/cyber-crime/us-treasury-sanctioned-the-firm-funnull-technology.html
#securityaffairs #hacking
🚨 BREAKING NEWS: The U.S. government discovered that a cloud provider named "Funnull" is actually an all-you-can-eat buffet for #scammers. 🍖 Apparently, their servers are full of "pig butchering" acts—because why settle for small-time cons when you can go whole hog? 🐖🐷💸
https://krebsonsecurity.com/2025/05/u-s-sanctions-cloud-provider-funnull-as-top-source-of-pig-butchering-scams/ #BreakingNews #CloudProvider #Funnull #PigButchering #CyberFraud #HackerNews #ngated
U.S. Sanctions Cloud Provider 'Funnull' as Top Source of 'Pig Butchering' Scams
#HackerNews #U.S. #Sanctions #Funnull #Pig #Butchering #Scams #Cybersecurity
U.S. Sanctions Cloud Provider ‘Funnull’ as Top Source of ‘Pig Butchering’ Scams - Image: Shutterstock, ArtHead.
The U.S. government today imposed economic sanctions... https://krebsonsecurity.com/2025/05/u-s-sanctions-cloud-provider-funnull-as-top-source-of-pig-butchering-scams/ #starkindustriressolutionsltd #infrastructurelaundering #neer-do-wellnews #alittlesunshine #ivanneculiti #lazarusgroup #suncitygroup #yurineculiti #webfraud2.0 #zachedwards #silentpush #microsoft #funnull #amazon
U.S. Sanctions Cloud Provider ‘Funnull’ as Top Source of ‘Pig Butchering’ Scams
#StarkIndustriresSolutionsLtd #infrastructurelaundering #Ne'er-Do-WellNews #ALittleSunshine #IvanNeculiti #LazarusGroup #SuncityGroup #YuriNeculiti #WebFraud2.0 #ZachEdwards #SilentPush #microsoft #Funnull #Amazon
Infrastructure Laundering: Blending in with the Cloud
https://krebsonsecurity.com/2025/01/infrastructure-laundering-blending-in-with-the-cloud/
#infrastructurelaundering #U.S.DepartmentofCommerce #Ne'er-Do-WellNews #Crowell&MoringLLP #ALittleSunshine #MicrosoftAzure #NoName057(16) #RichardHummel #SuncityGroup #TimetoPatch #WebFraud2.0 #FangnengCDN #ZachEdwards #SilentPush #AmazonAWS #ACBGroup #AnjieCDN #NETSCOUT #polyfill #Funnull
🚨 New Cybercrime Tactic Alert: Infrastructure Laundering: Cybercriminals are exploiting cloud services like AWS & Azure to fuel phishing, scams, & money laundering. The #FUNNULL CDN is abusing IP rentals for large-scale fraud.
Read: https://hackread.com/funnull-aws-azure-abused-global-cybercrime-operations/
> #China-based company #Funnull acquired the domain and the GitHub account that hosted the #JavaScript code. On June 25, researchers from #security firm Sansec reported that code hosted on the polyfill domain had been changed to redirect users to adult- and gambling-themed websites. The code was deliberately designed to mask the redirections by performing them only at certain times of the day and only against visitors who met specific criteria.
https://go.theregister.com/feed/www.theregister.com/2024/06/28/polyfillio_cloudflare_malware/
Trustworthy business: „[…] #Funnull claims to be based in Slovenia while also "made in the USA," its various office addresses around the world on its website don't exist, and its WhatsApp and WeChat contact number is in the Philippines. The site's underlying language and Telegram profile is in Mandarin […]. The #Polyfill Twitter account meanwhile says it's based in the UK.“
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst