Scopri anche

• Modalità di Isolamento Apple: la funzione di sicurezza che ha resistito all'FBI
• Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
• Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione
• Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
• Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
• iPhone e sicurezza: come riconoscere i segnali di un dispositivo compromesso e proteggersi dagli attacchi
• Data poisoning: bastano 250 documenti per compromettere un modello AI
• DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
• DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
• Data poisoning: quando 250 documenti bastano per compromettere un modello AI
• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
• Tensioni geopolitiche e minacce informatiche: i rischi emergenti per i mercati finanziari europei
• Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• iOS 26.4: Apple corregge oltre 35 vulnerabilità e introduce aggiornamenti di sicurezza automatici
• Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra

Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza

Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza

Telegram, una delle piattaforme di messaggistica più diffuse al mondo con 950 milioni di utenti attivi mensili, è diventata un obiettivo privilegiato per cybercriminali e attori malintenzionati. La sua architettura aperta, la creazione di account con solo numero di telefono e l'assenza di moderazione attiva nella maggior parte dei gruppi pubblici hanno creato un ambiente fertile per truffe sofisticate, campagne di phishing e, più recentemente, sfruttamento di vulnerabilità critiche. L'analisi delle fonti disponibili rivela un quadro articolato di minacce che spazia dalle falle tecniche zero-click alle truffe social engineering, con conseguenze potenzialmente gravi per la sicurezza dei dati personali e l'integrità dei dispositivi.

La vulnerabilità zero-click CVSS 9.8: gli sticker animati come vettore d'attacco

⬆ Torna su

I ricercatori della Zero Day Initiative (ZDI) di Trend Micro hanno identificato una vulnerabilità di tipo Remote Code Execution con punteggio CVSS 9.8 che colpisce Telegram su Android e Linux. Il vettore d'attacco è costituito dagli sticker animati: file multimediali costruiti ad arte che, una volta recapitati, attivano automaticamente l'esecuzione di codice malevolo senza richiedere alcuna interazione da parte dell'utente. Il sistema elabora questi file per generare anteprime, ed è proprio in questa fase che si consuma l'attacco. La natura 0-click della falla la rende particolarmente pericolosa, poiché non richiede click, aperture o conferme da parte della vittima. L'alert è stato diramato dallo CSIRT dell'Agenzia per la Cybersicurezza Italiana, e la vulnerabilità è stata scoperta da Michael DePlante (@izobashi) di TrendAI Zero Day Initiative.

Le conseguenze di questo sfruttamento sono potenzialmente devastanti: l'attaccante può ottenere il controllo del dispositivo, accedendo a messaggi, contatti e sessioni attive. Non si tratta di un accesso superficiale, ma di una compromissione completa che espone dati sensibili. L'assenza di indicatori di compromissione (IoC) forniti complica ulteriormente l'individuazione di eventuali attacchi già avvenuti.

Le contromisure raccomandate per la vulnerabilità zero-click

⬆ Torna su

Le contromisure indicate dalle fonti non sono eleganti ma necessarie. Per gli utenti business, la prima linea di difesa consiste nel ridurre la superficie di attacco limitando la ricezione di messaggi solo ai contatti fidati o agli utenti Premium. Questa scelta impatta la comunicazione ma riduce il rischio. Per l'utenza generale, le impostazioni di disattivazione del download automatico non sono sufficienti, poiché il parsing degli sticker avviene comunque a livello di sistema. Le opzioni suggerite sono due: disinstallare temporaneamente l'applicazione oppure utilizzare Telegram Web tramite browser aggiornati. La seconda soluzione sfrutta l'architettura sandbox dei browser moderni, che offre un livello di isolamento maggiore rispetto al client nativo.

È importante chiarire che nel contesto della Zero Day Initiative gli exploit non circolano liberamente. Il programma impone regole precise: la scoperta viene gestita in modo responsabile, con processi di disclosure controllata e l'obiettivo di arrivare a una correzione del problema tramite la Coordinated Vulnerability Disclosure (CVD). Questa dinamica differisce da quella dei mercati underground, dove vulnerabilità di questo tipo possono diventare asset criminali capaci di generare guadagni enormi.

La vulnerabilità EvilVideo: APK malevoli camuffati da video

⬆ Torna su

Una vulnerabilità critica denominata EvilVideo ha interessato le versioni di Telegram fino alla 10.14.4. Questa falla zero-day ha permesso agli attaccanti di camuffare file APK malevoli come innocui file video nelle chat di Telegram per Android. L'exploit era in vendita su un forum underground già dal mese di giugno, come confermato dai ricercatori di ESET che hanno analizzato una dimostrazione di Proof-of-concept condivisa su un canale Telegram pubblico.

Il meccanismo di EvilVideo sfrutta l'API di Telegram per creare messaggi che appaiono come video di 30 secondi. Sfruttando le impostazioni predefinite dell'app, che prevedono il download automatico dei file multimediali, gli utenti ricevevano inconsapevolmente il payload malevolo sul proprio dispositivo semplicemente aprendo la conversazione. Anche disabilitando il download automatico, un singolo tap sull'anteprima del video era sufficiente per avviare il download del file. Al tentativo di riprodurre il falso video, Telegram suggeriva l'utilizzo di un player esterno, inducendo gli utenti meno attenti a premere il pulsante "Apri" e avviando così l'esecuzione del payload. Per il completamento dell'attacco era tuttavia necessario un ulteriore passaggio: l'abilitazione dell'installazione di app da fonti sconosciute nelle impostazioni del dispositivo.

La vulnerabilità era limitata all'app Android di Telegram, non interessando il client web o la versione desktop. I ricercatori ESET hanno responsabilmente divulgato la falla a Telegram il 26 giugno e nuovamente il 4 luglio 2024. Telegram ha rilasciato prontamente la versione corretta dell'app l'11 luglio. I criminali informatici hanno avuto una finestra di circa cinque settimane per poter sfruttare la vulnerabilità. La correzione implementata nella versione 10.14.5 visualizza correttamente l'anteprima del file APK, evitando di essere ingannati da quello che appare come un normale file multimediale.

Il panorama delle truffe su Telegram: metodologie e varianti

⬆ Torna su

Telegram è diventata una piattaforma preferita per gli attori malintenzionati per diverse ragioni strutturali. La creazione di account richiede solo un numero di telefono, favorendo l'anonimato. Le funzionalità di condivisione file e il supporto per chatbot automatizzati permettono ai truffatori di raggiungere migliaia di utenti contemporaneamente. La popolarità della piattaforma tra gli appassionati di criptovalute la rende inoltre un punto focale per le truffe crypto.

Le campagne di phishing su Telegram coinvolgono account falsi che impersonano aziende legittime, influencer popolari o supporto tecnico. Queste truffe possono essere sofisticate e convincenti, utilizzando loghi ufficiali e immagini profilo rubate. I truffatori inviano messaggi non richiesti che mirano a far agire rapidamente la vittima: sostengono che l'utente ha vinto un premio, deve verificare le informazioni dell'account o che il suo account è a rischio. Il messaggio include spesso un link falso a un sito di phishing progettato per rubare informazioni personali o indurre il download di malware.

Alcuni truffatori utilizzano la funzione bot di Telegram per automatizzare i loro tentativi di phishing, inviando avvisi falsi, messaggi urgenti o prompt in stile supporto che spingono gli utenti a cliccare o condividere informazioni sensibili. I metodi variano ampiamente: un truffatore può impiegare mesi a costruire una relazione con la vittima prima di tentare di derubarla, mentre un altro può usare bot per inviare migliaia di link malevoli attraverso molteplici chat di gruppo o messaggi diretti.

Truffe di impregnamento: profili falsi e manipolazione dell'identità

⬆ Torna su

I criminali creano ogni sorta di profili falsi su Telegram per impersonare persone e aziende fidate e guadagnare la fiducia delle vittime. Possono creare mock-up di gruppi e canali Telegram reali per ingannare gli utenti e invitarli a unirsi, per poi abusare della fiducia rubando informazioni personali o tentando di prelevare denaro. Alcuni criminali convincono le vittime che c'è un problema con il loro account Telegram e che devono fornire il loro codice di accesso. Una volta che il truffatore ha il codice, può accedere all'account Telegram sul proprio dispositivo. Se attiva la verifica in due passaggi o disconnette la vittima, questa potrebbe non essere più in grado di riaccedere.

Le truffe del tipo "amico in difficoltà" vedono i criminali impersonare persone conosciute, fingendo emergenze e chiedendo denaro o link malevoli. I truffatori possono anche creare canali falsi che imitano quelli popolari e legittimi, copiando le immagini del profilo e i messaggi fissati e utilizzando nomi utente degli amministratori simili per ingannare le vittime. Queste truffe diventano dannose quando i falsi amministratori contattano direttamente gli utenti, invitandoli a cliccare su un link per scoprire di più: con alta probabilità questo link contiene malware che può infettare il dispositivo.

Truffe legate alle criptovalute: schemi pump-and-dump e investimenti fraudolenti

⬆ Torna su

I truffatori creano gruppi crypto falsi su Telegram per diverse ragioni. È facile creare gruppi pubblici che sembrano attivi popolandoli con un numero enorme di account bot. È facile trovare vittime, poiché questi gruppi sono progettati per intrappolare investitori inesperti o troppo fiduciosi che desiderano rendimenti immediati o alti senza fare ricerche. A volte i truffatori usano una criptovaluta legittima acquistabile da un exchange reale. Possono creare screenshot falsi o "testimonianze" per convincere le nuove vittime che possono realizzare profitti enormi inviando fondi direttamente al truffatore o acquistando la criptovaluta promossa.

In uno schema pump-and-dump, i truffatori gonfiano artificialmente il prezzo di un asset facendo comprare le persone. Man mano che il prezzo sale con l'hype, vendono o "dump" i loro asset al prezzo gonfiato, causando il crollo del valore. In altri casi, gli sviluppatori o gli insider della criptovaluta collaborano per gonfiare artificialmente il suo valore prima di scomparire con i fondi degli investitori, una tattica nota come "rug pull". I truffatori possono anche convincere le vittime a connettere il loro wallet crypto a un sito esterno, permettendo loro di prosciugare i fondi.

Truffe romantiche, offerte di lavoro false e prodotti inesistenti

⬆ Torna su

I truffatori romantici costruiscono relazioni romantiche con le vittime nel tempo. Di solito iniziano scambiando messaggi su un'app di incontri, ma alla fine il truffatore chiede alla vittima di passare a un'altra app come Telegram. L'intenzione è solitamente fingere un'emergenza o sostenere di trovarsi in una situazione finanziaria disperata. L'obiettivo è manipolare i sentimenti romantici e la connessione costruita per sfruttare finanziariamente la vittima. Queste truffe possono svolgersi per diversi mesi e causare danni finanziari significativi. Possono facilmente portare a estorsione o ricatto se la vittima ha fornito foto compromettenti o raccontato segreti personali.

Le false offerte di lavoro su Telegram includono posizioni ad alta retribuzione o che richiedono poca o nessuna esperienza. Queste offerte si diffondono rapidamente attraverso account bot e messaggi inoltrati nei gruppi pubblici. Normalmente queste false offerte di lavoro comportano un costo anticipato che il "dipendente" deve pagare per iniziare. Una volta che la vittima paga i costi anticipati, il truffatore solitamente blocca la vittima o cancella il proprio account prima di passare alla truffa successiva.

Nelle truffe di vendita di prodotti, i criminali pubblicizzano offerte eccezionali o falsi coupon per prodotti popolari. I canali pubblici di Telegram sono frequentemente usati come marketplace per annunci di prodotti fraudolenti. Quando la vittima invia il denaro, il truffatore scompare. In alcuni casi possono persino inviare numeri di tracciamento falsi per guadagnare tempo.

Bot malevoli e raccolta dati fraudolenta

⬆ Torna su

I bot malevoli su Telegram spesso si spacciano per servizi legittimi come crypto miner, app Telegram "aggiornate" o servizi di aggregazione streaming. Una volta che una vittima inizia a interagire con il bot, questo preme per ottenere informazioni personali o distribuisce link malevoli a grandi gruppi di persone contemporaneamente. Queste truffe spesso coinvolgono l'uso di strumenti AI per creare un gran numero di account bot falsi e generare messaggi o testimonianze convincenti, rendendo la truffa più affidabile.

I bot di raccolta dati su Telegram sono bot malevoli che raccolgono dati personali con la scusa di offrire contenuti apparentemente divertenti come quiz di personalità, trivia, oroscopi del giorno o previsioni. Vengono spesso promossi in gruppi, canali o messaggi diretti, promettendo risultati personalizzati o ricompense in cambio della partecipazione. In realtà, questi bot sono progettati per raccogliere dettagli personali come nome, indirizzo email, numero di telefono o informazioni ancora più sensibili. I dati vengono poi sfruttati per scopi malevoli, inclusi furto di identità, phishing mirato o spam.

Estorsione, ricatto e scareware

⬆ Torna su

Alcuni truffatori su Telegram lavorano per costruire la fiducia della vittima e poi convincerla a rivelare fotografie personali, segreti o dettagli su se stessa. Minacciano poi di rilasciare questo materiale a meno che non venga pagato un riscatto. A volte il truffatore può persino fabbricare prove "dannose". Utilizzano queste informazioni contro la vittima e la costringono a pagarli per mantenere il segreto. Questa tattica può essere molto efficace poiché sfrutta la paura delle persone di vedere danneggiata la propria reputazione. Molti estorsionisti non smettono dopo aver ricevuto il denaro: a volte ciò li incoraggia a chiedere di più.

Nelle truffe scareware, falsi avvisi di sicurezza spaventano gli utenti inducendoli a scaricare strumenti malevoli. Solitamente iniziano con un avviso contraffatto che il dispositivo o l'account è compromesso, poi spingono a cliccare su un link o scaricare un file per "risolvere" il problema. In realtà, il link o il file contiene malware o spyware che può infettare il dispositivo. Una volta installato, può rubare informazioni personali, spiare le comunicazioni private o dirottare gli account. Può persino includere ransomware che cifra i file o blocca il dispositivo finché non viene pagato un riscatto.

Indizi di compromissione e strategie di recupero dell'account

⬆ Torna su

Riconoscere i segnali di un account compromesso è il primo passo per intervenire tempestivamente. Gli indizi includono: accessi sospetti da città o paesi mai visitati; messaggi inviati senza il consenso dell'utente, segnalati da amici o contatti che ricevono strani messaggi con link sospetti o richieste insolite; disconnessione improvvisa dal dispositivo principale con impossibilità di utilizzare il codice di accesso; impossibilità di ricevere il codice di login perché il hacker potrebbe aver modificato i dati associati all'account. Un altro segnale è la modifica delle impostazioni personali: se la foto profilo, la biografia o il nome utente vengono cambiati senza permesso, è probabile che qualcuno stia tentando di assumere il controllo definitivo dell'identità su Telegram.

Per recuperare un account compromesso, il primo metodo è tentare l'accesso con il numero di telefono originale. Telegram invia normalmente un codice di conferma via SMS o chiamata. Se si riceve questo codice, è possibile effettuare nuovamente il login e poi rimuovere le sessioni sospesse nelle impostazioni di sicurezza. Una volta recuperato l'accesso, è necessario aprire le Impostazioni, poi Dispositivi, poi Sessioni attive. Qui è possibile vedere da dove l'account è connesso. È importante eliminare immediatamente tutte le sessioni non riconosciute. Se non si ricevono più codici di accesso o si nota che il numero è stato scollegato, resta solo la possibilità di contattare il supporto ufficiale tramite l'app o il sito telegram.org/support, fornendo la prova di essere il proprietario effettivo.

Prevenzione: best practice per la sicurezza su Telegram

⬆ Torna su

La verifica in due passaggi è una misura essenziale: se non è stata ancora attivata, è necessario impostare immediatamente un secondo fattore oltre al codice SMS. Questo rende significativamente più difficile per un hacker impossessarsi del profilo in futuro. È fondamentale non condividere mai i codici SMS o email ricevuti da Telegram, nemmeno con persone che si spacciano per "supporto ufficiale". Telegram non chiede mai questi codici agli utenti.

Le sessioni attive dovrebbero essere monitorate regolarmente e i dispositivi che non si usano più dovrebbero essere disconnessi. L'app Telegram e il sistema operativo devono essere costantemente aggiornati per beneficiare delle patch di sicurezza. L'uso di una SIM con protezione PIN e la richiesta al proprio operatore di attivare misure contro il clonaggio SIM costituiscono ulteriori layer di protezione. Un software antivirus affidabile aiuta a rilevare possibili malware sul dispositivo.

Una VPN (Virtual Private Network) non ferma direttamente le truffe ma protegge l'indirizzo IP e cifra il traffico internet. Questo è particolarmente utile su Telegram, dove i messaggi non sono crittografati end-to-end di default. Quando tutto il traffico è cifrato, è molto più difficile per un truffatore costruire un profilo sull'utente, e cambiare IP aiuta a impedire agli utenti malevoli di scoprire la posizione reale. Prima di interagire con nuovi contatti, gruppi o canali, è necessario verificarne l'autenticità cercandoli online o contattandoli attraverso canali fidati. I canali e gli utenti ufficiali hanno un segno di verifica blu accanto ai loro nomi.

Le limitazioni della crittografia su Telegram

⬆ Torna su

Un aspetto spesso frainteso riguarda la crittografia su Telegram. La crittografia end-to-end permette solo a chi invia un messaggio e a chi lo riceve di poterlo leggere, mentre chiunque intercetti i dati vedrà solo una stringa di caratteri senza senso. WhatsApp offre questo tipo di crittografia in modo automatico per tutti i messaggi dal 2016, mentre Telegram no. Le chat su Telegram sono crittografate solo se si attiva l'opzione "chat segreta" per ciascuno dei propri contatti. Se qualcuno al di fuori della lista contatti scrive, la chat non è sicura, anche se l'opzione era stata attivata per tutte le persone conosciute. Lo stesso vale per i gruppi e i canali Telegram, che non sono crittografati di default.

Telegram conserva i messaggi in "chat cloud", che l'azienda dichiara possono essere analizzati da "algoritmi automatizzati" per prevenire phishing o spam. Un'indagine di Motherboard nel 2018 ha rivelato che in Germania la polizia ha spiato i messaggi nei gruppi di Telegram per anni. Come WhatsApp, anche Telegram raccoglie metadati, inclusi l'indirizzo IP e il tipo di dispositivo utilizzato, e li conserva per un anno. Gli indirizzi IP possono essere usati per tracciare utenti singoli e persino i loro spostamenti.

Azioni da intraprendere in caso di truffa

⬆ Torna su

Se si è vittima di una truffa su Telegram, il primo consiglio è rimanere calmi. Il panico può portare a decisioni affrettate che peggiorano la situazione. Bisogna poi segnalare l'account o il canale truffa a @notoscam su Telegram con screenshot e dettagli. È possibile anche inviare una email a [email protected] con i dettagli della truffa, inclusi screenshot, link e descrizione. Se si è già inviato denaro, condiviso dettagli bancari o effettuato un acquisto tramite un link su Telegram, è necessario contattare immediatamente la banca o il fornitore di pagamenti, spiegare la situazione e richiedere un chargeback.

Nel caso di portafogli digitali o piattaforme crypto, è utile verificare se quella utilizzata ha sistemi di segnalazione frode o servizio clienti di emergenza. Le transazioni blockchain sono tipicamente irreversibili, ma alcune piattaforme possono congelare account sospetti se avvisate in tempo. È importante segnalare la truffa alle autorità locali affinché possano documentare il reato e possibilmente investigare se sono coinvolte più vittime.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di vulnerabilità critiche su una piattaforma con quasi un miliardo di utenti solleva interrogativi sulla resilienza dell'ecosistema Telegram. L'assenza di indicatori di compromissione rende difficile stabilire quanti dispositivi siano stati effettivamente compromessi durante le finestre di esposizione.

• Scenario 1: gli attori malintenzionati potrebbero combinare le vulnerabilità zero-click con le campagne di phishing già diffuse, moltiplicando le superfici di attacco e rendendo più efficace l'ingegneria sociale.
• Scenario 2: è plausibile che emergano ulteriori falle legate ad altri tipi di file multimediali, considerando che sia gli sticker animati sia i falsi video hanno rappresentato vettori efficaci.
• Scenario 3: le contromisure temporanee (disinstallazione, uso del client web) potrebbero incidere significativamente sull'engaggio degli utenti business, con ripercussioni sull'adozione della piattaforma in contesti professionali.

Cosa monitorare

⬆ Torna su

• Il rilascio di patch e aggiornamenti di sicurezza per i client mobili e desktop.
• La pubblicazione di IoC che permettano di verificare eventuali compromissioni passate.
• L'evoluzione delle tecniche di impersonificazione e dei canali falsi che imitano quelli legittimi.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.redhotcyber.com/post/basta-uno-sticker-su-telegram-per-hackerarti-lrce-critica-da-9-8-e-senza-patch/
• https://store.blackview.hk/en-us/blogs/langit-elettronica-3c/account-telegram-violato
• https://www.expressvpn.com/blog/telegram-scams/
• https://surfshark.com/blog/telegram-scams
• https://www.keepersecurity.com/blog/it/2024/09/20/common-telegram-scams-to-be-aware-of/
• https://www.cybersecurity360.it/news/evilvideo-la-zero-day-di-telegram-per-android-che-trasforma-apk-malevoli-in-video/
• https://www.cercolinfo.it/index.php/2020/12/18/telegram-la-nostra-privacy-e-al-sicuro/