lunedì 29 novembre 2021

IKEA sotto attacco: colpito il sistema email con un diluvio di email di phishing interno ai dipendenti.


Bleeping Computer riporta notizia, grazie ad alcune fonti interne, di un cyber attacco che ha colpito i sistemi email della multinazionale IKEA. In dettaglio gli impiegati sarebbero sotto un diluvio di email di phishing interno che usa lo schema reply-chain email.

Reply-chain email: info sullo schema di attacco
Per prima cosa è utile delineare il tipo di attacco che ha colpito Ikea. Per  reply-chain email si intende un attacco in cui un attaccante riesce a rubare email legittime aziendali e inizia a rispondere a queste con un link contenente un allegato dannoso che, a sua volta, installa un malware sul dispositivo del ricevente. E' un tipo di attacco molto efficace perché le email sono solitamente inviate da account e server compromessi interni all'azienda: i destinatari quindi si fidano dei contenuti ricevuti, provenienti da fonti in teoria legittime e c'è un'alta probabilità che queste email siano aperte e i contenuti visualizzati.

Ikea: l'attacco è ancora in corso
Questa è la tipologia di attacco subita da Ikea e che il colosso sta ancora fronteggiando. Bleeping Computer ha avuto accesso ad alcune email con le quali IKEA avvisa i dipendenti dell'attacco in corso, della tipologia di attacco (risposte a scambi email precedenti) e del fatto che sono coinvolti anche fornitori e partner. 

Fonte: https://www.bleepingcomputer.com

"Questo significa l'attacco può arrivare via email da parte di qualcuno con cui lavori, da qualsiasi azienda esterna e come risposto ad una conversazione già in corso. (Questo attacco) è molto difficile da individuare, motivo per cui chiediamo a tutti estrema cautela" si legge.

Reply chain email: il falso documento Office

venerdì 26 novembre 2021

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l'alert è "reale" nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart. 

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt'altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l'ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online

Partiamo dall'inizio: MageCart, ovvero il "Carrello dei Maghi"  è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c'è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc... Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto. 

E' utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17%  degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L'alert dell'NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday. 

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo. 

MageCart e il web skimming: la tecnica di attacco

giovedì 25 novembre 2021

L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima


Il CERT AGiD lancia l'allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.

Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell'azienda / organizzazione di appartenenza della vittima. 

Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all'avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell'indirizzo email della vittima stessa. 

Phishing adattivo: un esempio pratico

martedì 23 novembre 2021

Disaster Recovery Plan: cosa è, perchè è necessario, come si appronta

Disaster Recovery Plan: che cosa é?
Il Disaster Recovery Plan (DRP) è parte integrante della più ampia strategia che ogni azienda dovrebbe implementare per garantire la continuità operativa (Business Continuity), ovvero la capacità di una azienda di mantenere le proprie attività nel caso si verifichi un incidente o una grave emergenza che possa compromettere i dispositivi e gli hardware, ma anche i dati, i software e i documenti ecc.. 

Il Disaster Recovery Plan altro non è che la formalizzazione di una serie di misure sia tecniche che organizzative da seguire per il ripristino più tempestivo possibile delle infrastrutture e dei sistemi di dati necessari per le attività aziendali. Precisiamo subito che il DRP non riguarda soltanto la minimizzazione del tempo in cui sistemi e dipendenti non possono essere operativi, ma anche la quantità di dati persi che un disastro può causare. 

Disaster Recovery Plan: perché è necessario?
Le notizie di aziende colpite duramente da attacchi malware o ransomware rimbalzano sempre più spesso, quindi non c'è troppo bisogno di dilungarsi sull'urgenza di inserire il cyber crime tra i rischi aziendali. Quel che forse è meno chiaro è che ormai non basta più il backup dei dati per riportare l'azienda all'operatività: dopo un incidente infatti si rende necessario non solo ripristinare i file, ma anche tutti i software e le funzionalità. Ad esempio, se un server è reso inattivo da un incidente, non basterà ripristinare i dati, ma sarà necessario reinstallarlo e/o riconfigurarlo. 

lunedì 22 novembre 2021

Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

E' stato rintracciato online, nel famoso forum dell'undergorund hacker RaidForums, dai ricercatori della cybersecurity firm italiana Yoroi: è un database contenente i dati di quasi 4000 tra CEO, responsabili team IT e responsabili comunicazione / marketing e non solo di centinaia di aziende italiane ed europee. Si va da istituzioni pubbliche a provider di servizi fino a società di consulenza, la maggior parte dei quali afferenti al settore bancario e finanziario italiano, ma anche Telco ecc..

Il post su RaidForum nel darkweb

Il post in questione si intitola "Contacts of 3K Executives and employees of Italian & EU fintech companies" e contiene, tra i tanti contatti a livello europeo, quelli di 3887 contatti di italiani: nella foto sotto la pivot ordinata per mansione della vittima

venerdì 19 novembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 06 - 12 Novembre
Nel corso della scorsa settimana sono state individuate e analizzate 34 campagne dannose, 30 mirate contro obiettivi italiani e 4 invece generiche ma veicolate anche nel cyber spazio italiano. 361 gli indicatori di compromissione messi a disposizione dal CERT. 

Le famiglie malware individuate sono state 7, diffuse con 9 campagne malware. Nello specifico:

  • AgentTesla è stato diffuso con due campagne mirate contro utenti italiani. Le campagne sono state a tema Pagamenti, con allegati .ISO e .GZ;
  • Dridex è stato veicolato con due diverse campagne, entrambe generiche, a tema Pagamenti. Le email contenevano allegati .XLB;
  • Flubot torna dopo 6 mesi di inattività. La campagna utilizza SMS per diffondere APK dannosi;
  • Formbook è stato diffuso con una campagna generica a tema Pagamenti: le email veicolavano allegati .ARJ;
  • Snake è stato diffuso con una campagna generica a tema Evento: l'email conteneva allegati .GZ;
  • Lokibot è stato diffuso con una campagna generica a tema Pagamenti: le email contenevano allegati .ZIP;
  • Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati .ZIP.

Flubot in breve:

giovedì 18 novembre 2021

Risolvibile la più recente versione del ransomware Thanos: qualche info tecnica

E' stata individuata una falla nell'algoritmo di criptazione della versione più recente del ransomware Thanos: è quindi risolvibile la maggior parte delle criptazioni eseguite con questo ransomware. Abbiamo ricevuto molte segnalazioni e richieste di supporto per questo ransomware, anche da utenti italiani: i dati telemetrici confermano una circolazione globale del ransomware, che però ha spesso colpito in Europa, Italia compresa. 

Coloro che hanno bisogno di assistenza possono consultare la pagina dedicata al servizio, contenente tutte le indicazioni necessarie per ricevere supporto > https://www.decryptolocker.it/

Thanos: come riconoscere l'infezione
Il primo problema che spesso si presenta alle vittime di ransomware è quello di riuscire a individuare il tipo di criptazione subite. Thanos ha alcune caratteristiche peculiari, che aiutano ad individuarlo:

> estensioni di criptazione: la maggior parte dei ransomware "aggiunge" al nome file una estensione che lo caratterizza. Le prime versioni di Thanos utilizzavano l'estensione .locked, le più recenti invece una estensione di 6 caratteri casuali. 

Esempio di file criptati da Thanos Ransomware

NB: le criptazioni in .locked non sono ancora risolvibili. Quelle con 6 caratteri casuali, ad opera della versione più recente del ransomware, sono invece risolvibili. 

martedì 16 novembre 2021

Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet



Di Emotet abbiamo parlato decine di volte: è unanimemente considerato il malware più diffuso al mondo nel passato, famoso (ma sarebbe meglio dire famigerato) per la sua botnet tramite la quale distribuiva milioni e milioni di email di spam con allegati dannosi ogni giorno. Questi allegati distribuivano il malware Emotet per infettare il dispositivo e renderlo parte della botnet, così da poter avviare ulteriori campagne di spam e installare altri payload. 

Emotet ha vantato nel passato collaborazioni con i malware di punta del cyber crime: parliamo di ransomware come Ryuk, Conti, Egregor ma anche altri malware, soprattutto QakBot (molto diffuso in Italia, anche nelle scorse settimane) e TrickBot. 

All'inizio dell'anno "il colpaccio" delle forze dell'ordine e dell'Europol: due persone finiscono in manette mentre la task force assume il controllo dell'infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l'infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall'infrastruttura.

Per approfondire > Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Bad news: Emotet is back

lunedì 15 novembre 2021

Il malware sLoad torna in diffusione in Italia dopo due mesi: individuata nuova campagna via email PEC

L'alert viene dal CERT che, assieme ad alcuni provider e gestori di infrastrutture PEC, ha individuato e analizzato una campagna email volta a veicolare il malware sLoad. Alert di questo tipo, con i relativi indicatori di compromissione, sono possibili grazie al lavoro congiunto che CERT e i provider PEC stanno svolgendo per monitorare, minimizzare e debellare i rischi informatici circolanti nel circuito PEC, del quale è imperativo garantire la massima sicurezza. 

La campagna in oggetto è stata distribuita il 14 Novembre, dalle ore 22.50: i destinatari si sono visti recapitare email PEC con un file allegato. 

Fonte: https://cert-agid.gov.it/

Questo file è un formato archivio .ZIP contenente, a sua volta, un altro .ZIP contenente un file DPF corrotto, un file immagine .PNG corrotto e un file .WSF (Windows Script File), il loader.

venerdì 12 novembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 30 Ottobre - 5 Novembre
Nel corso della scorsa settimana in CERT AgID ha analizzato 33 campagne dannose nel cyber spazio italiano: 30 hanno mirato ad obiettivi italiani, 3 sono state campagne generiche ma veicolate anche in Italia. 538 gli indicatori di compromissione messi a disposizione. 

5 sono state le famiglie malware individuate in diffusione, con 12 campagne. Ecco il dettaglio:

  • Dridex è stato diffuso con 4 campagne generiche a tema Pagamenti: il malware è stato diffuso tramite allegati EXCEL .XLS  .XLSM con macro dannosa e con archivio .ZIP;
  • Qakbot è stato diffuso con 3 campagne mirate a tema Resend: il file vettore era un allegato .ZIP:
  • AgenTesla è stato diffuso con 3 campagne generiche e allegato in formato immagine .ISO e GZ;
  • RedLine è stato rilevato in diffusione a seguito di attività di monitoraggio di una serie di domini sospetti. Il CERT ha pubblicato su questo malware una apposita news consultabile qui;
  • Lokibot è stato diffuso con una campagne generiche, una a tema Ordine e una a tema Pagamenti: vettori attacco gli allegati .GZ.

RedLine in breve:
RedLine è un infostealer conosciuto fin dagli inizi del 2020: già diffuso all'estero entro utility o giochi, sbarca per la prima volta in Italia. E' un MaaS, malware as a service, affittabile via Telegram sotto abbonamento, con un costo che varia dai 150 dollari al mese agli 800 per 3 mesi. E' molto utilizzato per rubare informazioni da rivendere ma anche, sopratutto, credenziali in vista di attacchi futuri. Molto spesso è utilizzato per rivendere le informazioni rubate agli autori di ransomware. 

mercoledì 10 novembre 2021

Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale


E' stato pubblicato il Rapporto Clusit 2021 e, di nuovo, è l'anno "peggiore di sempre" in termini di cybersecurity. Un dato su tutti può rendere chiaro il livello allarmante raggiunto dal cybercrime, anche sulla scia della pandemia e dell'aumento esponenziale delle superfici di attacco: il cybercrime ha superato il valore del 6% del PIL mondiale ed è divenuto, definitivamente e nei fatti, un'emergenza globale come hanno detto esplicitamente gli esperti che hanno presentato il Rapporto durante il Security Summit. 

Lo dice chiaro il Clusit, che presenta così il nuovo Report
"Fino all’anno scorso, avevamo l’abitudine di pubblicare a ottobre un rapporto di metà anno, che riprendeva in gran parte il rapporto principale, pubblicato ogni anno a marzo, con l’aggiornamento dei soli dati relativi agli attacchi del primo semestre dell’anno in corso. A partire da questa edizione, invece, abbiamo deciso di pubblicare un rapporto di metà anno con contenuti e dati completamente inediti rispetto a quello di marzo. E ciò è dovuto allo spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo (per la gravità del loro impatto), che necessita di una costante attenzione".

Nel primo semestre del 2021 le cyber minacce sono ancora in aumento, soprattutto quelli dagli effetti e conseguenze gravi: questi segnano un +24% rispetto allo stesso periodo del 2020. Si è passati cioè da 156 attacchi di entità grave al mese nel 2020 ai 170 attacchi gravi al mese nel 2021. Di certo c'è che la situazione è più grave perchè le cifre sono sottostimate. 

Cyber attacchi: le finalità di attacco più comuni

martedì 9 novembre 2021

MediaMarket colpito dal ransomware Hive: richiesta iniziale 240 milioni di dollari. Colpita anche MediaWorld in Italia?

Il gigante della vendita di elettrodomestici ed elettronica MediaMarkt, in Italia meglio conosciuto come MediaWorld, ha subito un cyber attacco ad opera del ransomware Hive: il riscatto iniziale ammonta a 240 milioni di dollari. L'attacco ha costretto la compagnia allo shut down dei sistemi IT e l'interruzione di una parte delle operazioni di vendita sia in Germania che in Olanda. Parliamo del più grande rivenditore di elettronica al dettagli in Europa, oltre 1000 store in 13 diverse nazioni, un fatturato di 20,8 miliardi di euro e oltre 53000 dipendenti. 

L'attacco ransomware è iniziato Domenica sera e si è concluso Lunedì mattina ed ha comportato la criptazione di server e workstation e obbligato l'azienda all'arresto dei sistemi IT per impedire l'ulteriore diffusione dell'attacco. L'attacco ha fatto sentire i suoi effetti in molti store, principalmente un quelli olandesi. Nonostante le vendite online continuino a funzionare come previsto, negli store fisici non è possibile pagare con carta di credito né stampare ricevute. Sospesa anche la gestione dei resi: gli store non hanno più accesso alle liste degli acquisti. Inoltre, stando a quanto riportato dai media locali, l'azienda ha invitato i dipendenti a non utilizzare né tentare di riavviare i sistemi criptati e disconnettere i registratori di cassa dalla rete aziendale. 

L'attacco è stato confermato dopo poche ore:

lunedì 8 novembre 2021

Il cybercrime non sempre paga: nessuno compra i dati della SIAE. Gli attaccanti provano a svendere i dati

Dell'attacco informatico contro la SIAE ne hanno parlato tutti i principali media, anche esteri: descritto inizialmente come un attacco ransomware, è risultato essere invece qualcosa di diverso. Il gruppo dietro l'attacco è, come già noto, Everest che si occupa anche di campagne ransomware ma, nel caso in dettaglio, gli attaccanti si erano limitati ad accedere alla rete e esfiltrare i dati lasciandoli integri sui sistemi informatici SIAE e cercare di monetizzarli.

Per approfondire > Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato

Il primo tentativo di monetizzazione è stata la classica estorsione post data breach: gli attaccanti hanno annunciato il furto dei dati mettendo dei sample a disposizione sul loro sito di leak e avanzando una richiesta di riscatto direttamente all'ente. La prima richiesta era stata di 3 milioni di euro in Bitcoin, ma fu prontamente rispedita al mittente dal direttore generale Gaetano Blandini: 

venerdì 5 novembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 23-29 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose attive nel cyber spazio italiano: 28 sono state campagne mirate contro utenti italiani, 7 invece campagne generiche ma veicolate anche in Italia. 438 gli indicatori di compromissione pubblicati.

Le campagne malware analizzate hanno diffuso 5 diverse famiglie ransomware, per un totale di 10 campagne email malware. Ecco le famiglie:

giovedì 4 novembre 2021

Italia sotto un diluvio di attacchi informatici: nuove vittime ASL Roma 3, Artsana, ASL 2 Savona e Comune di Perugia

Non si ferma il diluvio di attacchi informatici e ransomware contro aziende e pubblica amministrazione in Italia. Se già abbiamo parlato di quanto accaduto alla Siae, alla Maggioli e all'azienda alimentare San Carlo, ora dobbiamo aggiungere al novero delle vittime anche due ASL, una romana e quella di Savona, l'azienda sanitaria e di articoli per l'infanzia ArtSana e, ultimo in ordine cronologico, il Comune di Perugia. 

ASL Roma 3:  rete in down da 4 giorni
L'ASL Roma 3 è l'ennesima vittima nel settore sanitario laziale: la rete e il sito web sono down da oltre 3 giorni e la situazione non pare accennare a risolversi.  La home page del sito istituzionale si presenta così, al momento della scrittura di questo testo:

martedì 2 novembre 2021

Cyber attacchi in Italia: anatomia del ransomware Conti

Del ransomware Conti parlammo già in tempi non sospetti, nel Luglio 2020, quando aveva iniziato a ritagliarsi uno spazio sufficiente da poter rientrare nel novero dei "ransomware di punta". Al tempo la comunità dei ricercatori di sicurezza e degli ethical hacker lo aveva definito come il successore del famigerato ransomware Ryuk, uno dei primi ad adottare la tecnica della doppia estorsione che poi si è standardizzata e diffusa in tutte le maggiori gang ransomware (anche se ormai, siamo arrivati alla tripla estorsione con l'attacco DDoS che si aggiunge al furto e alla criptazione dei dati).  

Purtroppo tutte le aspettative nefaste sul ransomware Conti si sono confermate: è ad oggi una delle campagne ransomware più attive al mondo, con una particolare predilezione per gli ospedali statunitensi e, purtroppo, per la pubblica amministrazione e le piccole e medie imprese italiane. Di qualche giorno fa, solo per fare un esempio, è l'attacco registrato sui sistemi di Artsana, la nota azienda italiana i articoli per l'infanzia e sanitari mentre dell'attacco contro i sistemi San Carlo abbiamo dato notizia qui. Data la situazione, può essere utile fornire un aggiornamento su Conti. 

Qualche info tecnica
Conti è un ransomware as a service, uno degli ormai diffusissimi modelli di business con il quale più persone, dette affiliati, affittano il malware dai suoi sviluppatori e rendono loro una parte dei guadagni ricavati dalle estorsioni. Differisce dai modelli RaaS comuni, però, perché i suoi sviluppatori pagano ai distributori / affiliati non una percentuale dei proventi, ma quello che potremmo definire "uno stipendio" in aggiunta ai proventi dei riscatti.

Verso la fine di Settembre 2021 il CERT statunitense ha pubblicato uno specifico alert su questa minaccia a causa del numero sempre crescente di aziende statunitensi (soprattutto legati all'ambito sanitario) colpite tra il 2020 e i primi mesi del 2021. Qui si legge che Conti è diffuso principalmente tramite:

  • campagne di spear phishing, con utilizzo frequente di allegati email dannosi inviati come risposta entro conversazioni precedentemente già avviate dalla vittima. La maggior parte di questi allegati sono comunissimi file Word che contengono, integrati al loro interno, script che molto spesso sono usati per la diffusione di malware ulteriori, soprattutto TrickBot, IceID e CobalStrike. Quest'ultimo è un tool di penetration testing molto spesso usato per semplificare spostamenti laterali entro le reti bersaglio e ampliare la superficie di attacco;
  • attacchi sull'RDP (Remote Desktop Protocol) con l'uso di credenziali deboli o rubate;