olanda frode investimenti attacco taxi lidl 23andme

Olanda smantella maxi frode, cyberattacco blocca i taxi e 23andMe patteggia

🛡️ Executive Summary

  • Una rete con 20 call center e oltre 700 operatori sottraeva denaro attraverso false piattaforme di investimento e trasferimenti in criptovalute.
  • Un attacco malware ha interrotto prenotazioni e dispatch di Nihon Kotsu, mentre un provider esterno ha esposto dati dei clienti Lidl.
  • 23andMe pagherà 18 milioni di dollari e dovrà rafforzare autenticazione, monitoraggio, analisi dei rischi e cancellazione dei dati genetici.

Le autorità olandesi hanno colpito un’organizzazione internazionale capace di sottrarre oltre 100 milioni di euro al mese attraverso false piattaforme di investimento e una rete industriale di call center. Nello stesso quadro di minacce, il principale operatore di taxi giapponese Nihon Kotsu ha disattivato parte dei sistemi dopo un’infezione malware, mentre Lidl ha notificato una violazione indiretta dei dati provocata dalla compromissione di un fornitore. Negli Stati Uniti, 23andMe ha accettato un accordo da 18 milioni di dollari per chiudere l’indagine multistato sulla violazione del 2023 che espose informazioni genetiche di 6,9 milioni di clienti.

La rete di frodi olandese operava come un’azienda internazionale

Annuncio

L’organizzazione smantellata dalla polizia olandese gestiva almeno 20 call center in diversi Paesi e impiegava più di 700 persone, suddivise in gruppi con ruoli, procedure e obiettivi finanziari definiti. Gli operatori si presentavano come consulenti qualificati, contattavano potenziali investitori e costruivano gradualmente un rapporto di fiducia prima di proporre operazioni su criptovalute, titoli o strumenti finanziari. Le vittime visualizzavano piattaforme professionali nelle quali comparivano profitti fittizi e saldi apparentemente in crescita, ma il denaro trasferito veniva immediatamente sottratto dall’organizzazione. Le dashboard continuavano a mostrare risultati positivi per indurre nuovi versamenti e ritardare la scoperta della frode. Le perdite documentate attraverso 550 denunce raggiungono almeno 28,6 milioni di dollari, ma gli investigatori stimano decine di migliaia di vittime e un volume superiore a 100 milioni di euro mensili nel periodo di massima attività. La maggior parte delle persone coinvolte avrebbe perso più di 10.000 euro. Il modello conferma l’evoluzione delle truffe finanziarie verso strutture industriali, già osservata nelle operazioni europee contro reti di frode crypto da centinaia di milioni, nelle quali social engineering, piattaforme simulate e riciclaggio internazionale vengono gestiti come reparti di una stessa impresa criminale.

Arresti internazionali ricostruiti attraverso IP e flussi finanziari

Il principale sospettato è un cittadino israeliano-polacco di 46 anni, arrestato in Polonia il 26 maggio ed estradato nei Paesi Bassi. Le autorità lo considerano indispensabile per il funzionamento tecnico della rete e gli attribuiscono precedenti attività di hacking contro organizzazioni governative. Altri cittadini olandesi e belgi sono stati arrestati tra il 7 e il 10 luglio a Cipro, in Grecia e in Belgio, mentre ulteriori provvedimenti restano possibili. Il gruppo operava almeno dal 2021 e utilizzava pseudonimi, infrastrutture distribuite, servizi online e tecniche di occultamento per separare operatori, call center e beneficiari finali del denaro. Gli investigatori hanno correlato indirizzi IP, tracce digitali e movimenti finanziari, superando la frammentazione geografica delle attività. La componente umana rimaneva centrale: il successo non dipendeva soltanto dall’aspetto realistico delle piattaforme, ma dalla capacità degli operatori di mantenere contatti prolungati, rispondere ai dubbi e spingere le vittime a investire somme crescenti. Lo schema richiama il pig butchering, nel quale la fiducia viene coltivata prima della sottrazione definitiva dei fondi. Un precedente europeo comparabile aveva portato alla maxi operazione contro una frode in criptovalute superiore a 100 milioni di euro, confermando che la cooperazione giudiziaria e l’analisi finanziaria costituiscono gli strumenti più efficaci per colpire reti transnazionali.

Il cyberattacco a Nihon Kotsu interrompe dispatch e servizi sensibili

In Giappone, Nihon Kotsu ha rilevato un accesso esterno non autorizzato e un’infezione malware nelle prime ore di sabato, decidendo di disconnettere parte dell’infrastruttura per contenere l’incidente. L’azienda, che genera circa un miliardo di dollari di ricavi annuali, impiega oltre 18.000 persone e gestisce più di 8.500 taxi e 2.000 veicoli con conducente. L’attacco ha reso indisponibili il sistema di dispatch, le prenotazioni online, alcuni servizi telefonici, il noleggio auto e piattaforme interne utilizzate per coordinare mezzi e clienti. È stato sospeso anche il servizio “labor taxi”, destinato alle donne prossime al parto, in aree che comprendono Tokyo, Musashino, Mitaka, Tachikawa, Yokohama e Saitama. L’impatto mostra come un incidente informatico possa trasformarsi rapidamente in un problema di mobilità e assistenza, anche senza bloccare fisicamente i veicoli. Nihon Kotsu ha incaricato specialisti esterni di svolgere analisi forensi e ripristinare gradualmente le funzioni, mentre non risultano ancora conferme definitive sull’esfiltrazione di dati. Il gruppo AiLock ha rivendicato l’operazione e minacciato la pubblicazione delle informazioni sottratte, configurando un possibile attacco di doppia estorsione. Episodi precedenti hanno già dimostrato la fragilità dei sistemi centralizzati di mobilità, come nell’attacco che bloccò i taxi di Mosca attraverso la piattaforma Yandex. In attesa delle verifiche, l’azienda invita i clienti a utilizzare l’app GO o le postazioni fisiche e a ignorare email e messaggi sospetti che potrebbero sfruttare l’incidente per campagne di phishing.

Lidl subisce una violazione indiretta attraverso un provider

La violazione comunicata da Lidl non ha coinvolto direttamente l’infrastruttura principale del negozio online, ma un file separato conservato presso un fornitore di servizi informatici. Attaccanti sconosciuti hanno avuto accesso per un periodo limitato a dati relativi a clienti in Germania, Belgio e Paesi Bassi. Le informazioni esposte comprendono titolo, nome, cognome, numero telefonico, indirizzo email, data di nascita e codice cliente. Lidl sostiene che password, credenziali degli account, dati bancari, informazioni di pagamento e indirizzi di fatturazione o spedizione non siano stati compromessi. L’assenza di credenziali finanziarie riduce il rischio di prelievi diretti, ma il set di dati rimane sufficiente per costruire messaggi di phishing credibili, telefonate fraudolente e tentativi di furto d’identità. Un criminale può utilizzare nome, recapiti e data di nascita per impersonare il servizio clienti, chiedere verifiche aggiuntive o convincere la vittima ad aprire un collegamento malevolo. Lidl ha notificato l’autorità olandese per la protezione dei dati, mentre il provider ha presentato denuncia e incaricato esperti forensi di accertare portata e durata dell’accesso. Il caso evidenzia ancora una volta il rischio della supply chain digitale: un’azienda può proteggere adeguatamente il proprio e-commerce e subire comunque un data breach attraverso soggetti incaricati di conservare, elaborare o trasferire informazioni personali. La risposta deve quindi comprendere inventario dei fornitori, vincoli contrattuali, cifratura, segregazione dei dati e verifica continua delle misure applicate dai responsabili esterni.

23andMe paga 18 milioni per il breach di 6,9 milioni di profili

23andMe ha accettato un accordo da 18 milioni di dollari con una coalizione di 43 procuratori generali statunitensi per chiudere il procedimento relativo alla violazione avvenuta tra aprile e settembre 2023. Gli aggressori utilizzarono attacchi di credential stuffing, provando combinazioni di email e password recuperate da precedenti data breach contro gli account della piattaforma genetica. Una volta ottenuto l’accesso iniziale, sfruttarono le funzioni di condivisione e collegamento familiare per raggiungere informazioni appartenenti a milioni di utenti ulteriori. Il risultato fu l’esposizione di dati relativi a circa 6,9 milioni di clienti, comprese informazioni sull’ascendenza, rapporti genetici, profili personali e collegamenti familiari. Parte dei dati venne pubblicata come prova e offerta in vendita su forum criminali. L’indagine multistato ha contestato all’azienda l’assenza di difese fondamentali: mancato blocco delle password deboli, autenticazione multifattore non obbligatoria, rate limiting insufficiente, monitoraggio inadeguato degli accessi e incapacità di rilevare per cinque mesi attività anomale. La vicenda era stata ricostruita fin dalle prime conferme sul furto dei dati genetici grezzi e dei rapporti sanitari di 23andMe e ha assunto una gravità ulteriore perché le informazioni genetiche non possono essere modificate come una password o una carta di pagamento.

L’accordo impone governance, cancellazione e controlli di sicurezza

Oltre al pagamento, 23andMe dovrà adottare un programma più strutturato di sicurezza, istituire un comitato consultivo dedicato alla protezione dei dati, condurre analisi periodiche dei rischi e preservare il diritto degli utenti a cancellare campioni e informazioni genetiche. Gli obblighi assumono particolare importanza dopo la crisi finanziaria dell’azienda e i timori sulla possibile vendita o trasferimento del patrimonio informativo. La California aveva già contestato a 23andMe la gestione del breach, come descritto nell’approfondimento sulla causa per la violazione genetica e sui rischi per i dati sensibili. I quattro casi mostrano superfici d’attacco diverse ma una dinamica comune: fiducia e accesso vengono trasformati in strumenti criminali. Le false piattaforme di investimento sfruttano il rapporto costruito dagli operatori; l’attacco ai taxi colpisce la dipendenza dai sistemi centralizzati; la violazione Lidl passa attraverso un fornitore autorizzato; il breach 23andMe sfrutta credenziali riutilizzate e collegamenti tra profili. Contromisure efficaci richiedono quindi non soltanto patch, ma segmentazione, MFA resistente agli attacchi, controllo dei provider, monitoraggio comportamentale, procedure di risposta e capacità investigativa internazionale.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto